平時(shí)我們構(gòu)建的 Docker 鏡像通常比較大,占用大量的磁盤空間,隨著容器的大規(guī)模部署,同樣也會(huì)浪費(fèi)寶貴的帶寬資源。本文將介紹幾種常用的方法來優(yōu)化 Docker 鏡像大小,這里我們使用 Docker Hub 官方上的 Redis 鏡像進(jìn)行說明。
手動(dòng)管理
我們能夠直接想到的方法就是直接修改官方的 Redis 鏡像 Dockerfile 文件,手動(dòng)刪除容器運(yùn)行后不需要的組件,然后重新構(gòu)建一個(gè)新鏡像。這種方法理論上是可行的,但是容易出錯(cuò),而且效果也不是特別明顯。主要是不能和官方的鏡像實(shí)時(shí)同步。
多階段構(gòu)建
Docker 在17.05 版本起提供了多階段構(gòu)建的功能來解決這個(gè)問題,這種方法是通過丟棄中間層來實(shí)現(xiàn)的,并通過中間層來提供有關(guān)如何創(chuàng)建最終鏡像及其內(nèi)容信息來完成的,只需要保留容器化應(yīng)用所需的組件即可。在更上層的實(shí)現(xiàn)如下所示:
- 以一些鏡像作為構(gòu)建的基礎(chǔ)
- 和平常一樣運(yùn)行命令來構(gòu)造你的應(yīng)用
- 將所需的制品復(fù)制到另外一個(gè)單獨(dú)的鏡像
Distroless
在嚴(yán)重依賴容器化技術(shù),尤其是 Docker 之后,谷歌早就意識(shí)到了使用臃腫鏡像的弊端。所以他們提供了自己的方法來解決這個(gè)問題,即 distroless 鏡像。與典型的Linux 基礎(chǔ)鏡像(綁定了很多軟件)不同,在 distroless 上對(duì)你的應(yīng)用進(jìn)行 docker化,最終的鏡像只包含應(yīng)用及其運(yùn)行時(shí)的依賴項(xiàng),大多數(shù) Linux 發(fā)行版中包含的標(biāo)準(zhǔn)軟件,如包管理器,甚至 shell 都被會(huì)被排除在外。同樣的,要使用 Google 的 distroless 鏡像,需要使用上面我們提到的多階段構(gòu)建,如下所示:
FROM redis:latest AS build
ARG TIME_ZONE
RUN mkdir -p /opt/etc && \
cp -a --parents /lib/x86_64-linux-gnu/libm.so.* /opt && \
cp -a --parents /lib/x86_64-linux-gnu/libdl.so.* /opt && \
cp -a --parents /lib/x86_64-linux-gnu/libpthread.so.* /opt && \
cp -a --parents /lib/x86_64-linux-gnu/libc.so.* /opt && \
cp -a --parents /usr/local/bin/redis-server /opt && \
cp -a --parents /usr/local/bin/redis-sentinel /opt && \
cp /usr/share/zoneinfo/${TIME_ZONE:-UTC} /opt/etc/localtime
FROM gcr.io/distroless/base
COPY --from=build /opt /
VOLUME /data
WORKDIR /data
ENTRYPOINT ["redis-server"]
使用redis:latest為基礎(chǔ)鏡像,然后保留需要的一些二進(jìn)制文件(redis-server二進(jìn)制文件以及所有的相關(guān)依賴),然后使用 distroless 鏡像作為構(gòu)建的最終鏡像的基礎(chǔ),將opt目錄內(nèi)容復(fù)制到該鏡像目錄中來。
然后我們只需要重新構(gòu)建鏡像即可:
$ docker build -t redis:distroless .$ docker imagesREPOSITORY TAG IMAGE ID CREATED SIZEredis distroless 7d50bd873bea 15 seconds ago 28.2MBredis latest 1319b1eaa0b7 3 days ago 104MB
我們可以看到鏡像由以前的 104MB 變成了 28.2MB,大大降低了鏡像的大小。
注意:在 Linux 下面我們可以使用 ldd 工具來查找指定的二進(jìn)制文件所需要的依賴,比如 $ ldd $(which redis-server) 。
使用 distroless 鏡像來降低 Docker 鏡像的大小是一個(gè)非常有效的方法,但是這樣做也有一個(gè)明顯的缺點(diǎn)就是最終的鏡像中沒有 shell 程序了,使得調(diào)試 Docker 容器就非常非常困難,當(dāng)然這樣也降低了應(yīng)用被攻擊的危險(xiǎn),使其更加安全,如果我們將應(yīng)用部署到 Kubernetes 集群的話,我們可以利用 kubectl-debug這樣的工具來輔助調(diào)試應(yīng)用。
Alpine Linux
另外一種比較常見的方式是選擇在 Alpine Linux 基礎(chǔ)上構(gòu)建應(yīng)用鏡像,Alpine Linux 是一個(gè)特別適合創(chuàng)建最小化 Docker 鏡像的發(fā)行版。Apline Linux 使用較小的 musl C 庫代替 glibc,并將其靜態(tài)鏈接,這意味著針對(duì) musl 編譯的程序?qū)⒆兂煽芍囟ㄎ坏?(relocatable)的二進(jìn)制文件,從而無需包含共享對(duì)象,從而可以顯著降低鏡像的大小。
redis:alpine 鏡像大概為 30MB 左右,這樣做的缺點(diǎn)是,通常 musl 的性能不如 glibc。當(dāng)然也有另外一個(gè)好處,那就是和上面的 distroless 相比,Alpine 是成熟的 Linux 發(fā)行版,提供基本的 shell 訪問,使得調(diào)試 Docker 容器應(yīng)用更為方便。在 Docker Hub 上面也可以找到幾乎所有流行軟件的 Alpine 版本,比如 Redis、Nginx、MySQL 等等。
GNU Guix
最后,我們可以使用 GNU Guix,一個(gè)多功能的軟件包管理工具,其中就有一項(xiàng)可以創(chuàng)建 Docker 鏡像的功能。Guix 區(qū)分了包的運(yùn)行時(shí)依賴與構(gòu)建依賴,所以 Guix 構(gòu)建的 Docker 鏡像將只包含明確指定的程序,加上他們的運(yùn)行時(shí)依賴,就像 distroless 的方法一樣。但和 distroless 不同的時(shí)候,distroless 需要你自己去查程序的運(yùn)行時(shí)依賴關(guān)系(當(dāng)然也要寫 Dockerfile),而 Guix 只需要運(yùn)行一條命令即可:$ guix pack -f docker redis 。
通過上面的命令創(chuàng)建的 Redis 鏡像大小約為 70MB,和原本的鏡像相比有明顯的減少,雖然比 distroless 和 Alpine 方法創(chuàng)建的鏡像稍大,但使用 Guinx 確實(shí)提供了一些其他的優(yōu)點(diǎn)。比如,如果你想讓你的最終鏡像也包含一個(gè) shell,以便像 Alpine 那樣去調(diào)試,那么只需要在 Guxi 打包的時(shí)候指定上就可以了:$ guix pack -f docker redis bash ,如果你想包含其他軟件,也可以繼續(xù)在后面添加即可。
Guix 的功能特性意味著包的構(gòu)建可以100%復(fù)用,所以我們可以在 CI/CD 流水線管道中加入 Guix 支持,這樣構(gòu)建過程就非常順暢了。
有的人可能會(huì)覺得 Guix 聽起來很酷,但是并不想為了構(gòu)建更小的 Docker 鏡像而去下載安裝另外一個(gè)工具,更何況 Guix 只在 Linux 下面工作,很多開發(fā)者還是 MacOS 用戶,去配置 Guix 也挺麻煩。其實(shí)這點(diǎn)并不用擔(dān)心,Guix 本身也有 Docker 鏡像在 Docker Hub 上,所以使用起來也并不會(huì)太復(fù)雜,只需要簡(jiǎn)單的使用 $ docker run guix 命令即可。
除了 Guix 之外,值得一提的還有一個(gè)名為 Nix 的軟件包管理工具,對(duì) Guix 所述的每一點(diǎn)都同樣有效并且適用于 Nix。
以上就是優(yōu)化 Docker 鏡像大小常見的方式的詳細(xì)內(nèi)容,更多關(guān)于優(yōu)化 Docker 鏡像大小的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!