docker镜像瘦身&优化

原文首发于个人博客: lailin.xyz/post/51252.…

为何在存储如此便宜的今天咱们仍然须要对 Docker 镜像进行瘦身?

小镜像的优势

1. 加速构建/部署

   虽然存储资源较为廉价，可是网络 IO 是有限的，在带宽有限的状况下，部署一个 1G 的镜像和 10M 的镜像带来的时间差距可能就是分钟级和秒级的差距。特别是在出现故障，服务被调度到其余节点时，这个时间尤其宝贵。

2. 提升安全性，减小攻击面积

   越小的镜像表示无用的程序越少，能够大大的减小被攻击的目标

3. 减小存储开销

小镜像的制做原则

1. 选用最小的基础镜像

2. 减小层，去除非必要的文件

   在实际制做镜像的过程当中，一味的合并层不可取，须要学会充分的利用 Docker 的缓存机制，提取公共层，加速构建。

   • 依赖文件和实际的代码文件单独分层
   • 团队/公司采用公共的基础镜像等

3. 使用多阶段构建

   每每咱们在构建阶段和实际运行阶段须要的依赖环境是不一样的，例如golang编写的程序实际运行的时候仅仅须要一个二进制文件便可，对于Node来讲，可能最后运行的只是一些打包以后的js文件而不须要包含node_modules里成千上万的依赖

基础镜像

• distroless

  "Distroless" images contain only your application and its runtime dependencies. They do not contain package managers, shells or any other programs you would expect to find in a standard Linux distribution.

  distroless是 Google 推出的一个仅仅包含运行时环境，不包含包管理器，shell等其余程序。若是你的程序没有其余依赖的话，这是一个不错的选择

• alpine

  Alpine Linux is a security-oriented, lightweight Linux distribution based on musl libc and busybox.

  alpine 是一个基于musl, busybox的安全的linux发行版。麻雀虽小五脏俱全，虽然不到 10M, 可是包含了一个包管理器和shell环境，这在咱们实际的使用调试当中将很是有用。

  可是请注意，因为alpine使用了更小的muslc替代glibc，会致使某些应用没法使用，须要从新编译

• scratch

  scratch 是空白镜像，通常用于基础镜像构建，例如alpine镜像的dockerfile即是从scratch开始的

  FROM scratch
  ADD alpine-minirootfs-20190228-x86_64.tar.gz / CMD ["/bin/sh"] 复制代码

• busybox

通常而言，distroless相对会更加的安全，可是在实际使用的过程当中可能会遇到添加依赖以及调试方面的问题，alpine更小，自带包管理器，更加贴合使用习惯，可是muslc可能会带来兼容性的问题，通常而言我会选择alpine做为基础镜像使用。

除此以外，在Docker Hub当中咱们能够发现经常使用的Debian的镜像也会提供的只包含基础功能的小镜像

基础镜像对比

此处直接拉取基础镜像，查看镜像大小， 经过观察咱们能够发现，alpine只有 5M 左右为debian的 20 分之一

alpine      latest    5cb3aa00f899        3 weeks ago         5.53MB
debian      latest    0af60a5c6dd0        3 weeks ago         101MB
ubuntu      18.04     47b19964fb50        7 weeks ago         88.1MB
ubuntu      latest    47b19964fb50        7 weeks ago         88.1MB
alpine      3.8       3f53bb00af94        3 months ago        4.41MB
复制代码

彷佛从上面看，感受差距不大，实践中，不一样语言的基础镜像都会提供一些采用不一样基础镜像制做的 tag，下面咱们以ruby的镜像为例，查看不一样基础镜像的差别。能够看到默认的 latest 镜像881MB而alpine仅仅只有不到50MB这个差距就十分的可观了

ruby   latest   a5d26127d8d0        4 weeks ago         881MB
ruby   alpine   8d8f7d19d1fa        4 weeks ago         47.8MB
ruby   slim     58dd4d3c99da        4 weeks ago         125MB
复制代码

减小层，去除非必要的文件

1. 删除文件不要跨行

# dockerfile 1
FROM alpine

RUN wget https://github.com/mohuishou/scuplus-wechat/archive/1.0.0.zip 
# dockerfile 2
FROM alpine

RUN wget https://github.com/mohuishou/scuplus-wechat/archive/1.0.0.zip RUN rm 1.0.0.zip 
# dockerfile 3
FROM alpine

RUN wget https://github.com/mohuishou/scuplus-wechat/archive/1.0.0.zip && rm 1.0.0.zip 复制代码

test   3  351a80e99c22        5 seconds ago        5.53MB
test   2  ad27e625b8e5        49 seconds ago       6.1MB
test   1  165e2e0df1d3        About a minute ago   6.1MB
复制代码

能够发现 1，2 两个大小同样，可是 3 小了 0.5MB，这是由于 docker 几乎每一行命令都会生成一个层，删除文件的时候：由于底下各层都是只读的，当须要删除这些层中的文件时，AUFS 使用 whiteout 机制，它的实现是经过在上层的可写的目录下创建对应的 whiteout 隐藏文件来实现的，因此在当前层去删除上一层的文件，只是会把这个文件隐藏掉罢了

2. 使用单行命令

除了删除语句须要放在一行之外，因为层的机制，咱们安装依赖的一些公共的语句最好也使用条RUN命令生成，减小最终的层数

3. 分离依赖包，以及源代码程序，充分利用层的缓存

   这是一个最佳实践，在实际的开发过程当中，咱们的依赖包每每是变更不大的，可是咱们正在开发的源码的变更是较为频繁，若是咱们实际的代码只有10M，可是依赖项有1G, 若是在COPY的时候直接COPY . .会致使每次修改代码都会时这一层的缓存失效，致使浪费复制以及推送到镜像仓库的时间，将 COPY 语句分开，每次 push 就能够只变动咱们频繁修改的代码层，而不是连着依赖一块儿

4. 使用.dockerignore

   在使用Git时，咱们能够经过.gitignore忽略文件，在 docker build 的时候也可使用.dockerignore在 Docker 上下文中忽略文件，这样不只能够减小一些非必要文件的导入，也能够提升安全性，避免将一些配置文件打包到镜像中

多阶段构建

多阶段构建其实也是减小层的一种，经过多阶段构建，最终镜像能够仅包含最后生成的可执行文件，和必须的运行时依赖，大大减小镜像体积。

以GO语言为例，实际运行的过程当中只须要最后编译生成的二进制文件便可，而GO语言本省以及扩展包，代码文件都是没必要要的，可是咱们在编译的时候这些依赖又是必须的，这时候就可使用多阶段构建的方式，减小最终生成的镜像体积

# 使用golang镜像做为builder镜像
FROM golang:1.12 as builder

WORKDIR /go/src/github.com/go/helloworld/ 
COPY app.go . 
RUN go build -o app . 
# 编译完成以后使用alpine镜像做为最终的基础镜像
FROM alpine:latest as prod

RUN apk --no-cache add ca-certificates 
WORKDIR /root/ 
# 从builder中复制编译好的二进制文件
COPY --from=builder /go/src/github.com/go/helloworld/app . 
CMD ["./app"] 复制代码

因为本文篇幅较长，这里不对多阶段构建展开讲解，详情能够参考多阶段构建

奇淫技巧

1. 使用dive查看 docker 镜像的层，能够帮助你分析减小镜像体积

2. 使用docker-slim 能够自动帮助你减小镜像体积，对于 Web 应用较为有用

3. 安装软件时去除依赖

# ubuntu
apt-get install -y — no-install-recommends

#alpine
apk add --no-cache &&  apk del build-dependencies

# centos
yum install -y ... && yum clean all
复制代码

4. 使用--flatten参数，减小层(不推荐)

5. 使用docker-squash压缩层

不一样语言的示例

添加中......

Ruby(Rails)

1. 只安装生产所需的依赖

2. 删除不须要的依赖文件

bundle install --without development:test:assets -j4 --retry 3 --path=vendor/bundle \
    # Remove unneeded files (cached *.gem, *.o, *.c)
    && rm -rf vendor/bundle/ruby/2.5.0/cache/*.gem \
    && find vendor/bundle/ruby/2.5.0/gems/ -name "*.c" -delete \
    && find vendor/bundle/ruby/2.5.0/gems/ -name "*.o" -delete
复制代码

3. 删除前端的node_modules以及缓存文件

rm -rf node_modules tmp/cache app/assets vendor/assets spec
复制代码

上述内容能够结合多阶段构建实现

Golang

Golang 在使用多阶段构建以后，只剩下了一个二进制文件，这时候再要优化，就只有使用upx之类的工具压缩二进制文件的体积了

参考资料

1. Docker 容器镜像瘦身的三个小窍门
2. 基础镜像 | 再谈 Docker 瘦身
3. Docker —— 从入门到实践这是一本很不错的 Docker 开源书
4. Docker 基本原理简析
5. Ruby on Rails — Smaller docker images

License

• 本文做者： mohuishou 1@lailin.xyz
• 本文连接： lailin.xyz/post/51252.…