这4个超实用的Docker镜像构建技巧你还不知道？

　　最近做了一个好玩的工具，叫xbin。io。其中有一项工作是为不同的工具来构建Docker镜像，让他们都运行在Docker中（实际上，是兼容Dockerimage的其他sandbox系统，没有直接用Docker）。支持的工具越来越多，为了节省资源，Build的Dockerimage就越小越好，文件越少，其实启动速度也会略微快一些，也会更安全一些。
　　这篇文章来介绍一下做DockerImage的一些技巧。
　　在之前的博客Docker（容器）的原理中介绍过Dockerimage是如何工作的。简单来说，就是使用Linux的overlayfs，overlayfilesystem可以做到，将两个filesystemmerge在一起，下层的文件系统只读，上层的文件系统可写。如果你读，找到上层就读上层的，否则的话就找到下层的给你读。然后写的话会写入到上层。这样，其实对于最终用户来说，可以认为只有一个merge之后的文件系统，用起来和普通文件系统没有什么区别。
　　有了这个功能，Docker运行的时候，从最下层的文件系统开始，merge两层，得到新的fs然后再merge上一层，然后再merge最上一层，最后得到最终的directory，然后用chroot改变进程的root目录，启动container。
　　了解了原理之后，你会发现，这种设计对于Docker来说非常合适：如果2个image都是基于Ubuntu，那么两个Image可以共用Ubuntu的baseimage，只需要存储一份；如果pull新的image，某一层如果已经存在，那么这一层之前的内容其实就不需要pull了；
　　后面buildimage的技巧其实都是基于这两点。
　　另外稍微提一下，Dockerimage其实就是一个tar包。一般来说我们通过Dockerfile用dockerbuilt命令来构建，但是其实也可以用其他工具构建，只要构建出来的image符合Docker的规范，就可以运行。比如，之前的博文Build一个最小的RedisDockerImage就是用Nix构建出来的。技巧1：删除缓存
　　一般的包管理器，比如apt，pip等，下载包的时候，都会下载缓存，下次安装同一个包的时候不必从网络上下载，直接使用缓存即可。
　　但是在DockerImage中，我们是不需要这些缓存的。所以我们在Dockerfile中下载东西一般会使用这种命令：RUNdnfinstallysetopttsflagsnodocshttpdvimsystemctlenablehttpddnfcleanall
　　在包安装好之后，去删除缓存。
　　一个常见的错误是，有人会这么写：FROMfedoraRUNdnfinstallymariadbRUNdnfinstallywordpressRUNdnfcleanall
　　Dockerfile里面的每一个RUN都会创建一层新的layer，如上所说，这样其实是创建了3层layer，前2层带来了缓存，第三层删除了缓存。如同git一样，你在一个新的commit里面删除了之前的文件，其实文件还是在git历史中的，最终的dockerimage其实没有减少。
　　但是Docker有了一个新的功能，dockerbuildsquash。squash功能会在Docker完成构建之后，将所有的layers压缩成一个layer，也就是说，最终构建出来的Dockerimage只有一层。所以，如上在多个RUN中写clean命令，其实也可以。我不太喜欢这种方式，因为前文提到的，多个image共享baseimage以及加速pull的feature其实就用不到了。小编为你们精心准备了2TB的各类学习资料，包括系统运维、数据库、redis、MogoDB、电子书、Java基础课程、Java实战项目、架构师综合教程、架构师实战项目、大数据、Docker容器、ELKStack、机器学习、BAT面试精讲视频等。只需在民工哥技术之路的公众号后台回复1024，然后按照提示加入网盘的分享组即可。
　　一些常见的包管理器删除缓存的方法：
　　另外，上面这个命令其实还有一个缺点。因为我们在同一个RUN中写多行，不容易看出这个dnf到底安装了什么。而且，第一行和最后一行不一样，如果修改，diff看到的会是两行内容，很不友好，容易出错。
　　可以写成这种形式，比较清晰。RUNtruednfinstallysetopttsflagsnodocshttpdvimsystemctlenablehttpddnfcleanalltrue技巧2：改动不频繁的内容往前放
　　通过前文介绍过的原理，可以知道，对于一个Dockerimage有ABCD四层，B修改了，那么BCD会改变。
　　根据这个原理，我们在构建的时候可以将系统依赖往前写，因为像apt，dnf这些安装的东西，是很少修改的。然后写应用的库依赖，比如pipinstall，最后copy应用。
　　比如下面这个Dockerfile，就会在每次代码改变的时候都重新Build大部分layers，即使只改了一个网页的标题。FROMpython：3。7bustercopysourceRUNmkdirpoptappCOPYmyappoptappmyappWORKDIRoptappinstalldependenciesnginxRUNaptgetupdateaptgetinstallnginxRUNpipinstallrrequirements。txtRUNchownRwwwdata：wwwdataoptappstartserverEXPOSE8020STOPSIGNALSIGTERMCMD〔optappstartserver。sh〕
　　我们可以改成，先安装Nginx，再单独copyrequirements。txt，然后安装pip依赖，最后copy应用代码。FROMpython：3。7busterinstalldependenciesnginxRUNaptgetupdateaptgetinstallnginxCOPYmyapprequirements。txtoptappmyapprequirements。txtRUNpipinstallrrequirements。txtcopysourceRUNmkdirpoptappCOPYmyappoptappmyappWORKDIRoptappRUNchownRwwwdata：wwwdataoptappstartserverEXPOSE8020STOPSIGNALSIGTERMCMD〔optappstartserver。sh〕技巧3：构建和运行Image分离
　　我们在编译应用的时候需要很多构建工具，比如gcc，golang等。但是在运行的时候不需要。在构建完成之后，去删除那些构建工具是很麻烦的。
　　我们可以这样：使用一个Docker作为builder，安装所有的构建依赖，进行构建，构建完成后，重新选择一个Baseimage，然后将构建的产物复制到新的baseimage，这样，最终的image只含有运行需要的东西。
　　比如，这是安装一个golang应用pup的代码：FROMgolangasbuildENVCGOENABLED0RUNgoinstallgithub。comericchiangpuplatestFROMalpine：3。15。4asrunCOPYfrombuildgobinpupusrlocalbinpup
　　我们使用golang这个1G多大的image来安装，安装完成之后将binary复制到alpine，最终的产物只有10M左右。这种方法特别适合一些静态编译的编程语言，比如golang和rust。技巧4：检查构建产物
　　这是最有用的一个技巧了。
　　pe是一个TUI，命令行的交互式App，它可以让你看到docker每一层里面都有什么。
　　peubuntu：latest命令可以看到ubuntuimage里面都有什么文件。内容会显示为两侧，左边显示每一层的信息，右边显示当前层（会包含之前的所有层）的文件内容，本层新添加的文件会用黄色来显示。通过tab键可以切换左右的操作。
　　一个非常有用的功能是，按下ctrlU可以只显示当前层相比于前一层增加的内容，这样，就可以看到增加的文件是否是预期的了。
　　按ctrlSpace可以折叠起来所有的目录，然后交互式地打开他们查看，就像是Docker中的ncdu。
　　参考资料：https：jvns。cablog20191118howcontainersworkoverlayfshttps：www。kernel。orgdochtmllatestfilesystemsoverlayfs。htmlhttp：docs。projectatomic。iocontainerbestpractices
　　来源：kawabangga。composts4676
　　免责声明：本文内容来源于网络，所载内容仅供参考。转载仅为学习和交流之目的，如无意中侵犯您的合法权益，请及时联系Docker中文社区！