关于Dockerfile的优化

如今各个公有镜像仓库中已经包含了成千上万的镜像文件，但并不是所有的镜像都是精简高效的。很多初学者刚开始都习惯使用FROM centos然后RUN 一堆yum install，这样还停留在虚拟机层面的使用，这样创建出来的镜像往往体积比较大。其实我们可以参考官方制作的dockerfile文件，或者以alpine版本的镜像为基础镜像进行定制，但是alpine初期的时候问题有点多，而且缺少很多软件包，不易进行排错，但现在很多常用的镜像都有alpine版本了，我们可以直接使用。本文将分享一些在工作中的具体使用经验，尽量以此来帮助大家编写出更精简更优雅的Dockerfile。

本文使用一个基于 Maven 的 Java 项目作为示例，然后不断优化 Dockerfile 的写法，直到最后写出一个比较合适的Dockerfile。中间的每一个步骤都是为了说明从某一方面的最佳实践。

一、减少构建时间

一个开发周期大致包括代码开发，构建 Docker 镜像，代码测试，代码修改，然后重新构建 Docker 镜像。在构建镜像的过程中，如果能够利用缓存，可以减少不必要的重复构建步骤，大大加快制作镜像的速度。

1、构建顺序影响缓存的利用率

[root@k8s-m1 docker1]# cat Dockerfile 
FROM openjdk:7u131-jdk-alpine
RUN yum install vim ssh -y    
ADD wg-kms-pm.jar /opt/wvmp/
### yum install vim ssh -y  放在add的前面更好
ENTRYPOINT ["java" "-Djava.security.egd=file:/dev/./urandom " "-jar" "/opt/wvmp/wg-kms-pm.jar"]

镜像的构建顺序很重要，当向 Dockerfile 中添加文件，或者修改其中的某一行时，那一部分的缓存就会失效，并且该缓存的后续所有操作都需要重新构建。所以优化缓存的最佳方法是把不需要经常更改的行放到最前面（如安装一些基础包），更改最频繁的行放到最后面（如从外部添加的jar业务包）。

2、只拷贝需要的文件，防止缓存溢出

[root@k8s-m1 docker1]# cat Dockerfile 
FROM openjdk:7u131-jdk-alpine
RUN yum install vim ssh -y    
###ADD . /opt/wvmp/    由于文件夹中可能包含其他不需要的文件
ADD wg-kms-pm.jar /opt/wvmp/
ENTRYPOINT ["java" "-Djava.security.egd=file:/dev/./urandom " "-jar" "/opt/wvmp/wg-kms-pm.jar"]

当拷贝文件到镜像中时，尽量只拷贝需要的文件，最好不要使用COPY . 指令拷贝整个目录。因为如果被拷贝的文件夹中任意一个文件内容发生了更改，缓存就会被破坏。在上面的示例中，镜像中只需要构建好的 jar 包，因此只需要拷贝这个文件就行，这样即使其他不相关的文件发生了更改也不会影响缓存。

3、尽量减少可缓存的层数

FROM openjdk:7u131-jdk-alpine

### RUN yum update
### RUN yum install vim ssh -y    
RUN yum update && yum install vim ssh -y   #将上面两行合并
### ADD adb_server-V1.2.0.12.tar.gz /opt/wvmp/
### ADD bootstrap.yml /opt/wvmp/
ADD bootstrap.yml wg-kms-pm.jar /opt/wvmp/ #将上面两个add合并，因为都是拷贝到同一文件夹下
ENTRYPOINT ["java" "-Djava.security.egd=file:/dev/./urandom " "-jar" "/opt/wvmp/wg-kms-pm.jar"]

通过前面的了解知道，docker镜像是分层的，每一个命令在制作镜像时都会生产一个新的镜像层。太多的命令行指令会增加镜像的层数，增大镜像体积，而如果能通过适当优化将某些命令放到同一行就能减少层数；但是如果将所有都放入同一行指令中，某一部分发生改变又会破坏缓存，影响构建速度。如当使用包管理器安装软件时，一般都会先更新软件索引信息，然后再安装软件。推荐将更新索引和安装软件放在同一个 RUN 指令中，这样可以形成一个可缓存的执行单元，否则你可能会安装旧的软件包。

二、减小镜像体积

镜像的体积很重要，因为镜像越小，部署的速度更快，攻击范围也越小。

1、选择镜像体积小的作为基础镜像

在能满足使用，功能正常的情况下，尽量选择镜像大小比较小的作为基础镜像。如openjdk和jdk-alpine版本的大小从下图可以看出体积相差还是挺大的。
在这里插入图片描述

2、删除不必要依赖

[root@k8s-m1 docker1]# cat Dockerfile 
FROM openjdk:7u131-jdk-alpine
### RUN yum install vim ssh -y    
##vim和ssh都不是运行java包的必须依赖包，可以不安装
ADD wg-kms-pm.jar /opt/wvmp/
ENTRYPOINT ["java" "-Djava.security.egd=file:/dev/./urandom " "-jar" "/opt/wvmp/wg-kms-pm.jar"]

删除不必要的依赖，不要安装调试工具。如果实在需要调试工具，可以在容器运行之后再安装或者只在测试镜像安装，调试完成后从新构建镜像。某些包管理工具（如 apt）除了安装用户指定的包之外，还会安装推荐的包，这会无缘无故增加镜像的体积。apt可以通过添加参数 -–no-install-recommends 来确保不会安装不需要的依赖项。如果确实需要某些依赖项，请在后面手动添加。

3、删除包管理工具的缓存

[root@k8s-m1 docker1]# cat Dockerfile 
FROM openjdk:7u131-jdk-alpine
RUN yum install vim ssh -y    && rm -rf /var/lib/yum/repos/
##增加删除缓存。但是yum默认没有缓存yum包，如果修改了配置需要删除
ADD wg-kms-pm.jar /opt/wvmp/
ENTRYPOINT ["java" "-Djava.security.egd=file:/dev/./urandom " "-jar" "/opt/wvmp/wg-kms-pm.jar"]

有时候，我们设置了包管理工具缓存安装的yum包，这些缓存会保留在镜像文件中，推荐的处理方法是在每一个 RUN 指令的末尾删除缓存（可以根据实际配置添加）。如果你在下一条指令中删除缓存，不会减小镜像的体积。

当然了，还有其他更高级的方法可以用来减小镜像体积，如下文将会介绍的多阶段构建。接下来我们将探讨如何优化 Dockerfile 的可维护性、安全性和可重复性。

三、可维护性

一、尽量使用官方镜像

官方的hubdocker仓库地址已经变成了https://hub-stage.docker.com/

使用官方镜像可以节省大量的维护时间，因为官方镜像的所有安装步骤都使用了最佳实践。如果你有多个项目，可以共享这些镜像层，因为他们都可以使用相同的基础镜像。

2、指定具体的标签

在这里插入图片描述

如openjdk，基础镜像尽量不要使用 latest 标签。虽然这很方便，但是latest 镜像随时可能发生更新而变得不适用，而且latest镜像比其他的alpine镜像体积大很多。因此在 Dockerfile 中最好指定基础镜像的具体标签。具体某个标签请参考官网提供的。

3、使用体积最小的基础镜像

在功能满足的情况下，使用体积小的基础镜像。基础镜像的标签风格不同，镜像体积就会不同。slim 风格的镜像是基于 Debian 发行版制作的，而 alpine 风格的镜像是基于体积更小的 Alpine Linux 发行版制作的。其中一个明显的区别是：Debian 使用的是 GNU 项目所实现的 C 语言标准库，而 Alpine 使用的是 Musl C 标准库，它被设计用来替代 GNU C 标准库（glibc）的替代品，用于嵌入式操作系统和移动设备。因此使用 Alpine 在某些情况下会遇到兼容性问题。以 openjdk 为例，jre 风格的镜像只包含 Java 运行时，不包含 SDK，这么做也可以大大减少镜像体积。

四、重复利用

到目前为止，我们一直都在假设你的 jar 包是在某个服务器上提前编译好，但还不是最理想方案，因为没有充分利用容器提供的一致性环境。例如，如果Java 应用依赖于某一个特定的操作系统的库，有可能只在这一台服务器上正常编译（服务器配置了特殊环境），在其他环境编译运行就可能会出现问题，因为环境不一致（具体取决于构建 jar 包的机器）。

1、在一致的环境中从源代码构建

源代码是你构建 Docker 镜像的最终来源，Dockerfile 里面只提供了构建步骤，通过镜像容器提供一个一致的编译环境，就不用在本地编译好jar包。

[root@k8s-m1 docker1]# cat Dockerfile 
##基础镜像为官方提供的，如果不适用，可以自行制作一个基础镜像
FROM maven:alpine
WORKDIR /opt/wvmp/
COPY pom.xml
COPY scr ./src
RUN mvn -e -B package
ENTRYPOINT ["java" "-Djava.security.egd=file:/dev/./urandom " "-jar" "/opt/wvmp/wg-kms-pm.jar"]

首先应该确定构建应用所需的所有依赖，本文的示例 Java 应用很简单，只需要 Maven 和 JDK，所以基础镜像应该选择官方的体积最小的 maven 镜像，该镜像也包含了 JDK。如果你需要安装更多依赖，可以通过RUN就在该镜像基础上安装好或者自行先制作好基础镜像。pom.xml文件和 src 文件夹需要被复制到镜像中，因为最后执行 mvn package 命令（-e 参数用来显示错误，-B 参数表示以非交互式的“批处理”模式运行）打包的时候会用到这些依赖文件。

通过使用docker直接提供编译环境我们解决了环境不一致的问题，但还有另外一个问题：每次代码更改之后，都要重新获取一遍 pom.xml 中描述的所有依赖项，这样就比较耗费时间。下面我们来解决这个问题。

2、在单独的步骤中获取依赖项

[root@k8s-m1 docker1]# cat Dockerfile 
##基础镜像为官方提供的，如果不适用，可以自行制作一个基础镜像
FROM maven:alpine
WORKDIR /opt/wvmp/
COPY pom.xml
RUN mvn -e -B package dependency:resolve
COPY scr ./src
RUN mvn -e -B package
ENTRYPOINT ["java" "-Djava.security.egd=file:/dev/./urandom " "-jar" "/opt/wvmp/wg-kms-pm.jar"]

结合前面提到的分层缓存机制，我们可以让获取依赖项这一步变成可缓存单元，只要 pom.xml 文件的内容没有变化，无论代码如何更改，都不会破坏这一层的缓存。上图中两个 COPY 指令中间的 RUN 指令用来告诉 Maven 只获取依赖项。
现在又出现一个新问题：跟之前直接拷贝 jar 包相比，镜像体积变得更大了，因为它包含了很多运行应用时不需要的构建依赖项。

3、使用多阶段构建来删除构建时的依赖项

[root@k8s-m1 docker1]# cat Dockerfile 
##基础镜像为官方提供的，如果不适用，可以自行制作一个基础镜像
FROM maven:alpine AS mid-builder
WORKDIR /opt/wvmp/
COPY pom.xml
RUN mvn -e -B package dependency:resolve
COPY scr ./src
RUN mvn -e -B package

FROM openjdk:7u131-jdk-alpine
COPY --from=mid-builder /opt/wvmp/wg-kms-pm.jar /opt/wvmp/
ENTRYPOINT ["java" "-Djava.security.egd=file:/dev/./urandom " "-jar" "/opt/wvmp/wg-kms-pm.jar"]

多阶段构建可以由多个 FROM 指令识别，每一个 FROM 语句表示一个新的构建阶段，阶段名称可以用 AS 参数指定。本例中指定第一阶段的名称为 mid-builder，它可以被第二阶段直接引用。两个阶段环境一致，并且第一阶段包含所有构建依赖项。

第二阶段是构建最终镜像的最后阶段，它将包括应用运行时的所有必要条件，本例是基于 Alpine 的最小 JRE 镜像。上一个构建阶段虽然会有大量的缓存，但不会出现在第二阶段中。为了将构建好的 jar 包添加到最终的镜像中，可以使用 COPY --from=STAGE_NAME 指令，其中 STAGE_NAME 是上一构建阶段的名字。

多阶段构建是删除构建依赖的首选方案。

本文从多方面对镜像的制作过程进行优化，目的就是为了创建一个精简的镜像，提高效率，使用率。

更多关于docker容器和运维相关的知识，请前往博客主页。