【Docker】来自官方映像的 6 个 Dockerfile 技巧

　本文将根据我从官方镜像学到的经验，讲解编写Dockerfile的技巧。

 

 

　　1. 选择Debian 

　　官方镜像的大多数Dockerfile，不论是直接仍是经过其余镜像，都是基于Debian的。Dockerfile版本一般跟特定的发行版挂钩，正常是使用稳定版(wheezy)，有些是测试版(jessie)，还有是不稳定版(sid)。Debian镜像的主要好处是文件小，加起来才85.1MB，而Ubuntu要200MB。指定准确的发行版能够预防一些问题，好比，即便标上latest的发行版升级了，构建也不会崩溃。 

　　2. 肯定来源 

　　若是要用户信赖你的镜像，你就要考虑若是验证此镜像上的全部软件的真实性。若是经过apt-get方式从Debian的仓库获取，这个验证过程已经被解决了。若是从网上下载文件，或者从第三方仓库安装软件，你就应该经过校验和、数字签名等方式验证这些文件。好比，为了验证nginx包，nginx的Dockerfile会作以下操做： 

　　RUN apt-key adv --keyserver pgp.mit.edu --recv-keys 573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62 

　　RUN echo "deb http://nginx.org/packages/mainline/debian/ wheezy nginx" >> /etc/apt/sources.list 

　　ENV NGINX_VERSION 1.7.7-1~wheezy 

　　RUN apt-get update && apt-get install -y nginx=${NGINX_VERSION} 

　　注意nginx也是跟一个特定的版本关联的。这种作法能够保证，维护者测试的镜像跟构建工具构建的是相同的。可是，这个假设也不是绝对的，由于nginx自己的依赖也会随时间变化(好比有些依赖会标明>=某个版本)。 

　　你本身也能够对下载的文件作类似的操做，计算文件校验和，而后跟本地版本(stored version)比较。这些操做都由Redis Dockerfile作过了。另外，有些下载的文件可能包含签名文件，你能够经过gpg来验证，一般这些操做都由官方镜像作过了。 

　　不幸的是，一些官方镜像也没能按期正确地进行这些验证操做，或者只验证了部分文件，因此查看官方Dockerfile时要注意下。 

　　3. 移除构建依赖 

　　若是经过源码编译构建，你的镜像一般比须要的大不少。可能的话，在同一条RUN指令中，安装构建工具、构建软件，而后移除构建工具。虽然这样作又诡异又恼人，可是能够省下几百MB空间。在不一样的指令中删除文件是没有意义的，由于这些文件已经被打包进镜像了。咱们看下Redis Dockerfile是怎么作的： 

　　RUN buildDeps='gcc libc6-dev make'; \ 

　　set -x \ 

　　&& apt-get update && apt-get install -y $buildDeps --no-install-recommends \ 

　　&& rm -rf /var/lib/apt/lists/* \ 

　　&& mkdir -p /usr/src/redis \ 

　　&& curl -sSL "$REDIS_DOWNLOAD_URL" -o redis.tar.gz \ 

　　&& echo "$REDIS_DOWNLOAD_SHA1 *redis.tar.gz" | sha1sum -c - \ 

　　&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \ 

　　&& rm redis.tar.gz \ 

　　&& make -C /usr/src/redis \ 

　　&& make -C /usr/src/redis install \ 

　　&& ln -s redis-server "$(dirname "$(which redis-server)")/redis-sentinel" \ 

　　&& rm -r /usr/src/redis \ 

　　&& apt-get purge -y --auto-remove $buildDeps 

　　gcc, libc和make在同一条指令中先被安装，使用，而后被删掉。另外注意下，做者还删除了不会被使用的tar.gz源文件夹。顺带提下，这些代码也演示了如何使用sha1sum来验证Redis下载文件的校验和。 

　　4. 选择gosu 

　　gosu实用工具，一般用在ENTRYPOINT指令调用的脚本中，这些ENTRYPOINT指令位于官方镜像的Dockerfile中。它是个类sudo的简单工具，接受并运行特定用户的特定指令。可是gosu能够避免sudo怪异恼人的TTY和信号转发(signal-forwarding)行为。 

　　看下这篇编写入口点脚本的官方建议https://docs.docker.com/articles/dockerfile_best-practices/，大多数官方镜像都遵循该建议。 

　　5. 选择buildpack-deps基础镜像 

　　不少Docker的"language-stack"镜像都是基于 buildpack-deps 基 础镜像，该镜像包含了一般开发所必须的头文件和工具（好比源码管理工具）。若是你想构建一个language-stack镜像，使用这个基础镜像能够省下 很多时间。可是向镜像添加非必须的东西也遭受了不少批评，这致使了一些仓库，如Node提供了直接基于Debian的可选slim包(完整的Node镜像 有728MB，slim只有291.4MB)。可是记住用户可能须要某些开发库，同时也经过某种途径下载了基础镜像。 

　　6. 使用描述性标签 

　　全部的官方镜像都提供了不少标签。像latest标签同样，提供一个版本标签是种好作法，这样用户就不用担忧基础镜像变动而破坏容器。官方镜像作了更多， 提供了上文说起的精简slim镜像，以及自动导入和编译的onbuild镜像。镜像打上onbuild标签，即便转移代码再编译，来新建子镜像，用户也不会太意外。原文 

　　原文出自：http://www.oschina.net/translate/6-dockerfile-tips-official-images 

 

 

参考资料：

http://www.cstor.cn/textdetail_7886.html