Dockerfile最佳实践:如何创建高效的容器

news2024/11/24 6:25:26

在微服务和云计算时代,Docker就已经成为应用开发和部署不可或缺的工具。如今虽处大模型时代,但这些基础技术仍然是我们需要掌握的。

容器化允许开发者将应用程序及其依赖打包到一个单一的、可移植的单元中,确保了可预测性、可扩展性和快速部署。然而,你的容器的效率很大程度上取决于你的Dockerfile写得有多好。

图片

在这篇文章中,我们将探讨创建Dockerfile的最佳实践,帮助你构建轻量级、快速和安全的容器。

Dockerfile基础

什么是Dockerfile?

Dockerfile是一个文本文件,包含一系列指令来组装一个Docker镜像。每个指令执行一个特定动作,比如安装包、复制文件或定义启动命令。正确使用Dockerfile指令对于构建高效容器至关重要。

关键Dockerfile指令

  • FROM:设置新镜像的基础镜像。

  • RUN:在当前镜像顶部执行命令并提交结果。

  • CMD:指定容器启动时默认运行的命令。

  • COPY:从构建上下文复制文件和目录到容器文件系统。

  • ADD:类似于COPY,但有额外功能,比如解压缩归档。

  • ENV:设置环境变量。

  • EXPOSE:告知Docker容器在运行时监听的端口。

  • ENTRYPOINT:配置容器作为可执行文件运行。

  • VOLUME:创建外部存储卷的挂载点。

  • WORKDIR:设置后续指令的工作目录。

编写Dockerfile的最佳实践

使用最小基础镜像

基础镜像作为你的Docker镜像的基础。选择一个轻量级的基础镜像可以显著减少最终镜像的大小并最小化攻击面。

  • Alpine Linux:一个流行的最小镜像,大约5MB大小。

  FROM alpine:latest

优点:体积小,安全性高,下载速度快。

缺点:可能需要额外配置;一些包可能缺失或因为使用musl而不是glibc而行为不同。

  • Scratch:一个空镜像,适合可以编译静态二进制的语言(Go, Rust)。

  FROM scratch
  COPY myapp /myapp
  CMD ["/myapp"]

减少层数

每个RUNCOPYADD指令都会向镜像添加一个新层。合并命令有助于减少层数和整体镜像大小。

低效:

RUN apt-get update
RUN apt-get install -y python
RUN apt-get install -y pip

高效:

RUN apt-get update && apt-get install -y \
    python \
    pip \
 && rm -rf /var/lib/apt/lists/*

优化层缓存

Docker使用层缓存来加速构建。指令的顺序影响缓存效率。

  • 先复制依赖文件:先复制不经常变化的文件(比如package.jsonrequirements.txt),然后再复制其余的源代码。

  COPY package.json .
  RUN npm install
  COPY . .

  • 最小化早期层的变化:早期层的变化会使所有后续层的缓存失效。

明智地安装依赖

安装包后删除临时文件和缓存以减少镜像大小。

RUN pip install --no-cache-dir -r requirements.txt

谨慎管理机密

永远不要在Dockerfile中包含敏感数据(密码、API密钥)。

  • 使用环境变量:在运行时使用环境变量传递机密。

  • 利用Docker机密:使用Docker Swarm或Kubernetes机制管理机密。

优化镜像大小

  • 删除不必要的文件:清理安装后的缓存、日志和临时文件。

  RUN apt-get clean && rm -rf /var/lib/apt/lists/*

  • 最小化安装的包:只安装你需要的包。

  RUN apt-get install -y --no-install-recommends package

  • 使用优化工具:像Docker Slim这样的工具可以自动优化你的镜像。

使用.dockerignore

.dockerignore文件允许你排除构建上下文中的文件和目录,减少发送到Docker守护进程的数据量,并保护敏感信息。

示例.dockerignore:

.git
node_modules
Dockerfile
.dockerignore

使用多阶段构建

多阶段构建允许你使用中间镜像,并将仅必要的构件复制到最终镜像中。

Go应用程序示例:

# 构建阶段
FROM golang:1.16-alpine AS builder
WORKDIR /app
COPY . .
RUN go build -o myapp

# 最终镜像
FROM alpine:latest
WORKDIR /app
COPY --from=builder /app/myapp .
CMD ["./myapp"]

以非根用户运行

为了增强安全性,避免以root用户运行应用程序。

RUN adduser -D appuser
USER appuser

扫描漏洞

  • 使用扫描工具:像TrivyAnchoreClair这样的工具可以帮助识别已知漏洞。

  • 定期更新镜像:保持你的基础镜像和依赖更新。

日志和监控

  • 将日志定向到STDOUT/STDERR:这有助于更容易地收集和分析日志。

  • 集成监控系统:使用像Prometheus或ELK Stack这样的工具监控容器健康。

示例和建议

Node.js应用程序优化的Dockerfile示例

# 使用基于Alpine Linux的官方Node.js镜像
FROM node:14-alpine

# 设置工作目录
WORKDIR /app

# 复制包文件并安装依赖
COPY package*.json ./
RUN npm ci --only=production

# 复制其余的应用程序代码
COPY . .

# 创建一个非根用户并切换到它
RUN addgroup appgroup && adduser -S appuser -G appgroup
USER appuser

# 暴露应用程序端口
EXPOSE 3000

# 定义运行应用程序的命令
CMD ["node", "app.js"]

其他建议

  • 固定版本:使用基础镜像和包的特定版本以确保构建可重现性。

  FROM node:14.17.0-alpine

  • 保持更新:定期更新依赖和基础镜像以包含安全补丁。

  • 使用元数据:添加LABEL指令提供镜像元数据。

  LABEL maintainer="yourname@example.com"

  • 设置适当权限:确保文件和目录具有适当的权限。

  • 避免使用根用户:始终切换到非根用户运行应用程序。

结论

创建高效的Docker镜像既是一门艺术也是一门科学。通过遵循编写Dockerfile的最佳实践,可以显著提高容器的性能、安全性和管理性。不断更新我们的知识,了解容器化生态系统中的新工具和方法论。而且优化是一个持续的过程,总有改进的空间。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2211275.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

反射机制(Reflection)

1. 反射 Java的反射机制(reflection)是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意方法和属性;这种动态获取信息以及动态调用对象方法的功能称为java语言的反…

创建一个c#程序,实现字符串类型转整数类型

首先,创建一个c#程序 在代码编辑器中编写代码,点击Run按钮或者按下F5键来运行程序。 下面,编写将字符串类型转换为整数类型的代码。 sing System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Task…

安装samples/1_Utilities/deviceQuery等文件

本文章摘抄来自https://zhuanlan.zhihu.com/p/666647168 从cuda11.6开始cuda toolkit就不自带cuda-samples了,而deviceQuery又是cuda-sample的一个子库,所以需要自己手动装一下。 我的系统是ubuntu20.04,已经安装了CUDA Toolkit 12.2。 第…

【深度学习】使用FasterRCNN模型训练自己的数据集(记录全流程

此处用的FasterRCNN模型使用的是B导的源码,读者可以去B站搜B导的视频进行了解和学习,视频中B导非常细心讲解了如何训练自己的数据集以及预测。 文章目录 前言一、准备数据集二、环境配置2.1 基础环境2.2 其他依赖包安装2.3 预训练权重下载 二、训练数据集…

程序员成长秘籍:是迈向管理巅峰,还是深耕技术架构?

专业在线打字练习平台-巧手打字通,只输出有价值的知识。 一 管理和架构 做技术的同学一般有两条职业发展路径,横向的管理路线和纵向的技术路线。管理路线对应的是管理岗,讲究的是排兵布阵,通过各种资源的优化配置发挥价值。技术路…

(Linux驱动学习 - 10).MISC驱动实验

一.MISC介绍 1.MISC定义 misc 的意思是混合、杂项的,因此 MISC 驱动也叫做杂项驱动,也就是当我们板子上的某 些外设无法进行分类的时候就可以使用 MISC 驱动。 MISC 驱动其实就是最简单的字符设备驱 动,通常嵌套在 platform 总线驱动中&…

智能贴身监测,健康生活建议,圆道妙医智能手表体验

如今热衷于运动和健康生活的爱好者越来越多,相关的赛事等活动也是逐年增多,很多朋友为了能够直观的了解自己的健康状况,都会配备一款智能手表,这样戴在身上就可以随时了解自己的心率、血氧等数据。最近我尝试了一款圆道妙医推出的…

MobaXterm连接Cloudflare Tunnel内网穿透的SSH

背景 如官方文档所示,Cloudflare Tunnel要求我们对SSH客户端进行配置,使本地的cloudflared软件代理SSH才能连接。 存在问题 由于MobaXterm的Session实质为嵌入式PuTTY,不使用OpenSSH样式的配置文件(即~/.ssh/config&#xff09…

SpringBoot框架下购物推荐网站的设计模式与实现

3系统分析 3.1可行性分析 通过对本东大每日推购物推荐网站实行的目的初步调查和分析,提出可行性方案并对其一一进行论证。我们在这里主要从技术可行性、经济可行性、操作可行性等方面进行分析。 3.1.1技术可行性 本东大每日推购物推荐网站采用JAVA作为开发语言&…

对层级聚类树进行模块分割,定位基因在哪个模块中

拷贝数据到 ImageGP (http://www.ehbio.com/Cloud_Platform/front/#/analysis?pageb%27Ng%3D%3D%27),并设置参数. ID untrt_N61311 untrt_N052611 untrt_N080611 untrt_N061011 trt_N61311 trt_N052611 trt_N080611 trt_N061011 ENSG000…

【ROS2实操二】服务通信

简介 服务通信也是ROS中一种极其常用的通信模式,服务通信是基于请求响应模式的,是一种应答机制。也即:一个节点A向另一个节点B发送请求,B接收处理请求并产生响应结果返回给A。比如如下场景:机器人巡逻过程中&#xff0…

cuda入门学习

最近接触cuda 编程,记录一下。 1 工作实现一个【0-100)的加法 如果用python sum 0 for i in range(200):sumi print(sum)2 cuda 的一些简单的概念 一维情况下大概是这样的 (1个grid * 2个blocks * 4个thread) 3 代码直接上代码 我把100分为20个b…

Jenkins---01

什么是敏捷开发 敏捷开发以用户的需求进化为核心,采用迭代、循序渐进的方法进行软件开发。在敏捷开 发中,软件项目在构建初期被切分成多个子项目,各个子项目的成果都经过测试,具备可视、 可集成和可运行使用的特征。换言之&…

2024年编程资料【9月份部分】

资料列表 「CSDN会员免费电子书1000本」 https://pan.quark.cn/s/5019390a751a 【黑马程序员】年度钻石会员-人工智能AI进阶 https://pan.quark.cn/s/1d14a2a179c2 JavaScript从入门到高级教程 - 带源码课件 https://pan.quark.cn/s/c16ed07eac93 【马哥教育】云原生微服务治理…

测试常用插件: ModHeader - Modify HTTP headers插件进行IP模拟/IP欺骗

由于公司是做海外项目的,所以付款时有要求进行模拟不同IP登录进去时会优先显示该地区的支付方式。 1.安装插件 这里以Microsoft Edge为例,打开扩展 搜索:ModHeader - Modify HTTP headers,进行获取安装即可 安装完成后&#xff…

CVESearch部署、使用与原理分析

文章目录 前言1、概述2、安装与使用2.1、源码安装2.1.1、部署系统依赖组件2.1.1.1、下载安装基础组件2.1.1.2、下载安装MongoDB Community Edition 7.0 2.1.2、使用源码安装系统2.1.2.1、安装CVESearch2.1.2.2、填充MongoDB数据库2.1.2.3、填充Redis数据库 2.2、使用方法 3、测…

LeetCode | 704.二分查找

标准的二分查找&#xff0c;直接上模板&#xff01; class Solution(object):def search(self, nums, target):""":type nums: List[int]:type target: int:rtype: int"""l 0r len(nums) - 1while l < r:mid (l r 1) / 2if nums[mid] …

Telnet命令详解:安装、用法及应用场景解析

&#x1f49d;&#x1f49d;&#x1f49d;欢迎莅临我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐&#xff1a;「storm…

笔试算法总结

文章目录 题目1题目2题目3题目4 题目1 使用 StringBuilder 模拟栈的行为&#xff0c;通过判断相邻2个字符是否相同&#xff0c;如果相同就进行删除 public class Main {public static String fun(String s) {if (s null || s.length() < 1) return s;StringBuilder builde…

EventLoop模块 --- 事件循环模块

目录 1 设计思想 eventfd 创建eventfd 2 实现 3 联合调试 4 整合定时器模块 5 联合超时模块调试 1 设计思想 EventLoop 模块是和线程一一绑定的&#xff0c;每一个EventLoop模块内部都管理了一个Poller对象进行事件监控&#xff0c;同时管理着多个Connection对象&…