精简Docker镜像的五种通用方法

<p>精简 Docker 镜像的好处很多，不仅可以节省存储空间和带宽，还能减少安全隐患。优化镜像大小的手段多种多样，因服务所使用的基础开发语言不同而有差异。本文将介绍精简 Docker 镜像的几种通用方法。</p> <h3>精简 Docker 镜像大小的必要性</h3> <p>Docker 镜像由很多镜像层（Layers）组成（最多 127 层），镜像层依赖于一系列的底层技术，比如文件系统（filesystems）、写时复制（copy-on-write）、联合挂载（union mounts）等技术，你可以查看Docker 社区文档以了解更多有关 Docker 存储驱动的内容，这里就不再赘述技术细节。总的来说，Dockerfile 中的每条指令都会创建一个镜像层，继而会增加整体镜像的尺寸。</p> <p>下面是精简 Docker 镜像尺寸的好处：</p> <ol> <li>减少构建时间；</li> <li>减少磁盘使用量；</li> <li>减少上传、下载时间；</li> <li>因为包含文件少，攻击面减小，提高了安全性；</li> <li>提高部署速度,可以快速拉起服务；</li> </ol> <h2>五点建议减小Docker镜像尺寸</h2> <h3>一、优化基础镜像</h3> <p>优化基础镜像的方法就是选用合适的更小的基础镜像，常用的 Linux 系统镜像一般有 Ubuntu、CentOs、Alpine，其中 Alpine 更推荐使用。大小对比如下： <img src="https://www.showdoc.cc/server/api/common/visitfile/sign/65096e5c32019541f3e861f29c1be9d8?showdoc=.jpg" alt="" /></p> <p>Alpine 是一个高度精简又包含了基本工具的轻量级 Linux 发行版，基础镜像只有 5.58M，各开发语言和框架都有基于 Alpine 制作的基础镜像，强烈推荐使用它。</p> <p>查看上面的镜像尺寸对比结果，你会发现最小的镜像也有 5.58M，那么有办法构建更小的镜像吗？答案是肯定的，例如 <a href="http://gcr.io/google_containers/pause-amd64:3.1">http://gcr.io/google_containers/pause-amd64:3.1</a> 镜像仅有 742KB。为什么这个镜像能这么小？在为大家解密之前，再推荐两个基础镜像：</p> <h4>1、scratch 镜像</h4> <p>scratch 是一个空镜像，只能用于构建其他镜像，比如你要运行一个包含所有依赖的二进制文件，如Golang 程序，可以直接使用 scratch 作为基础镜像。现在给大家展示一下上文提到的 Google pause 镜像 Dockerfile： <img src="https://www.showdoc.cc/server/api/common/visitfile/sign/c3650f82f503749f964fa7ae4e83a019?showdoc=.jpg" alt="" /> Google pause 镜像使用了 scratch 作为基础镜像，这个镜像本身是不占空间的，使用它构建的镜像大小几乎和二进制文件本身一样大，所以镜像非常小。当然在我们的 Golang 程序中也会使用。对于一些Golang/C 程序，可能会依赖一些动态库，你可以使用自动提取动态库工具，比如 ldd、linuxdeployqt 等提取所有动态库，然后将二进制文件和依赖动态库一起打包到镜像中。</p> <h4>2、busybox 镜像</h4> <p>scratch 是个空镜像，如果希望镜像里可以包含一些常用的 Linux 工具，busybox 镜像是个不错选择，镜像本身只有 1.16M，非常便于构建小镜像。</p> <h3>二、串联 Dockerfile 指令</h3> <p>大家在定义 Dockerfile 时，如果太多的使用 RUN 指令，经常会导致镜像有特别多的层，镜像很臃肿，而且甚至会碰到超出最大层数（127层）限制的问题，遵循 Dockerfile 最佳实践，我们应该把多个命令串联合并为一个 RUN（通过运算符&amp;&amp;和/ 来实现），每一个 RUN 要精心设计，确保安装构建最后进行清理，这样才可以降低镜像体积，以及最大化的利用构建缓存。</p> <p>下面是一个优化前 Dockerfile： <img src="https://www.showdoc.cc/server/api/common/visitfile/sign/1ba87a4e0e246f399784954f3fe203d3?showdoc=.jpg" alt="" /> 构建镜像，名称叫 test/test:0.1。 我们对 Dockerfile 优化，优化后 Dockerfile： <img src="https://www.showdoc.cc/server/api/common/visitfile/sign/ec30d457bddd2e8ce462c198cae1ff11?showdoc=.jpg" alt="" /> 构建镜像，名称叫 test/test:0.2。 对比两个镜像大小： <img src="https://www.showdoc.cc/server/api/common/visitfile/sign/9c542e968f44a536f528b4f61e93ce0b?showdoc=.jpg" alt="" /> 可以看到，将多条 RUN 命令串联起来构建的镜像大小是每条命令分别 RUN 的三分之一。</p> <p>提示：为了应对镜像中存在太多镜像层，Docker 1.13 版本以后，提供了一个压扁镜像功能，即将 Dockerfile 中所有的操作压缩为一层。这个特性还处于实验阶段，Docke r默认没有开启，如果要开启，需要在启动Docker时添加-experimental 选项，并在Docker build 构建镜像时候添加 --squash 。我们不推荐使用这个办法，请在撰写 Dockerfile 时遵循最佳实践编写，不要试图用这种办法去压缩镜像。</p> <h3>三、使用多阶段构建</h3> <p>Dockerfile 中每条指令都会为镜像增加一个镜像层，并且你需要在移动到下一个镜像层之前清理不需要的组件。实际上，有一个 Dockerfile 用于开发（其中包含构建应用程序所需的所有内容）以及一个用于生产的瘦客户端，它只包含你的应用程序以及运行它所需的内容。这被称为“建造者模式”。Docker 17.05.0-ce 版本以后支持多阶段构建。使用多阶段构建，你可以在 Dockerfile 中使用多个 FROM 语句，每条 FROM 指令可以使用不同的基础镜像，这样您可以选择性地将服务组件从一个阶段 COPY 到另一个阶段，在最终镜像中只保留需要的内容。</p> <p>下面是一个使用 COPY --from 和 FROM … AS … 的 Dockerfile： <img src="https://www.showdoc.cc/server/api/common/visitfile/sign/5380cd153f12add399316fb799608b6e?showdoc=.jpg" alt="" /> 构建镜像，你会发现生成的镜像只有上面 COPY 指令指定的内容，镜像大小只有 2M。这样在以前使用两个 Dockerfile（一个 Dockerfile 用于开发和一个用于生产的瘦客户端），现在使用多阶段构建就可以搞定。</p> <h3>四、构建业务服务镜像技巧</h3> <p>Docker 在 build 镜像的时候，如果某个命令相关的内容没有变化，会使用上一次缓存（cache）的文件层，在构建业务镜像的时候可以注意下面两点：</p> <p>不变或者变化很少的体积较大的依赖库和经常修改的自有代码分开；因为 cache 缓存在运行 Docker build 命令的本地机器上，建议固定使用某台机器来进行 Docker build，以便利用 cache。</p> <p>下面是构建 Spring Boot 应用镜像的例子，用来说明如何分层。其他类型的应用，比如 Java WAR 包，Nodejs的npm 模块等，可以采取类似的方式。</p> <h4>1、在 Dockerfile 所在目录，解压缩 maven 生成的 jar 包。</h4> <p><img src="https://www.showdoc.cc/server/api/common/visitfile/sign/0b4556f83471858b8e24722eb6e5a016?showdoc=.jpg" alt="" /></p> <h4>2、Dockerfile</h4> <p>在Dockerfile我们把应用的内容分成 4 个部分 COPY 到镜像里面：其中前面 3 个基本不变，第 4 个是经常变化的自有代码。最后一行是解压缩后，启动 spring boot 应用的方式。 <img src="https://www.showdoc.cc/server/api/common/visitfile/sign/8ceea83342e10d5619530df7191aa52c?showdoc=.jpg" alt="" /> 这样在构建镜像时候可大大提高构建速度。</p> <h3>五、其他优化办法</h3> <h4>1、RUN命令中执行apt、apk或者yum类工具技巧</h4> <p>如果在 RUN 命令中执行 apt、apk 或者 yum 类工具，可以借助这些工具提供的一些小技巧来减少镜像层数量及镜像大小。举几个例子： （1）在执行 apt-get install -y 时增加选项— no-install-recommends ，可以不用安装建议性（非必须）的依赖，也可以在执行 apk add 时添加选项--no-cache 达到同样效果； （2）执行 yum install -y 时候， 可以同时安装多个工具，比如 yum install -y gcc gcc-c++ make …。将所有 yum install 任务放在一条 RUN 命令上执行，从而减少镜像层的数量； （3）组件的安装和清理要串联在一条指令里面，如 apk --update add php7 &amp;&amp; rm -rf /var/cache/apk/<em> ，因为 Dockerfile的每条指令都会产生一个文件层，如果将 apk add … 和 rm -rf … 命令分开，清理无法减小apk命令产生的文件层的大小。 Ubuntu或 Debian可以使用 rm -rf /var/lib/apt/lists/</em> 清理镜像中缓存文件；CentOS 等系统使用 yum clean all 命令清理。</p> <h4>2、压缩镜像</h4> <p>Docker 自带的一些命令还能协助压缩镜像，比如 export 和 import。 <img src="https://www.showdoc.cc/server/api/common/visitfile/sign/5cd61e72d6a76ceb18974762e501cd50?showdoc=.jpg" alt="" /> 使用这种方式需要先将容器运行起来，而且这个过程中会丢失镜像原有的一些信息，比如：导出端口，环境变量，默认指令。</p> <p>查看这两个镜像 history 信息，如下，可以看到 test/test:0.3 丢失了所有的镜像层信息： <img src="https://www.showdoc.cc/server/api/common/visitfile/sign/57406e52bde732821d87af2cf4abce3b?showdoc=.jpg" alt="" /></p>