点击上方“顶层架构领域”，关注精彩与你分享

在容器化技术飞速发展的今天，Docker已经成为了开发者和运维人员的重要工具。而Dockerfile作为构建Docker镜像的核心脚本，其编写质量直接影响到镜像的效率和性能。本文将分享一系列Dockerfile的最佳实践，帮助您写出更优质的Docker镜像。

在先前系列文章的基础上，我们将深入探讨以下几个核心方面，以实战为导向，进一步提升您的Dockerfile编写技能。

一、Dockerfile 简介

Dockerfile 是一种文本文件，包含了一系列的指令和参数，这些指令按顺序被 Docker 引擎解释并执行，以自动化构建 Docker 镜像。每个指令生成镜像的一个只读层，最终这些层叠加形成完整的镜像，支持版本控制和复用。

二、Dockerfile 高效构建建议

Dockerfile 的指令是忽略大小写的，建议使用大写，使用#作为注释，每一行只支持一条指令，每条指令可以携带多个参数。

Dockerfile 常用指令：

FROM（指定基础镜像）

• 使用 FROM <image>:<tag> 指定基础镜像及其标签，推荐使用官方镜像和精简的 Alpine 镜像以减小体积。

LABEL（向镜像添加元数据）

• 通过 LABEL <key>=<value> 格式添加元数据，帮助记录和组织镜像信息，支持多行键值对。

下面的示例展示了各种不同的可能格式：

# 设置一个或多个单独的标签
LABEL com.example.version="0.0.1-beta"
LABEL vendor="Aid"
LABEL com.example.release-date="2024-05-31"

但建议将多个标签放入到一个 LABEL 指令中。

# 一次设置多个标签，使用行延续字符断开长行
LABEL vendor=Aid\
    com.example.version="0.0.1-beta" \
    com.example.release-date="2015-02-12"

RUN（一般用于安装软件）

• 执行命令时，应将 apt-get update 与 apt-get install 结合在单个 RUN 指令中以打破 Docker 缓存，保证包的最新性。
• 避免使用 RUN apt-get upgrade 或 dist-upgrade，因为这可能在非特权容器中导致问题。
• 使用 && 连接命令以确保它们在单个层中按顺序执行。

RUN apt-get update && apt-get install -y \
    ruby1.9.1 \
    package-baz= v1.1.* \
 && rm -rf /var/lib/apt/lists/*

• 构建镜像后，所有的层都在 Docker 的缓存中。假设你后来又修改了其中的 apt-get install 添加了一个包。这里如果将 apt-get update 放在一条单独的 RUN 声明中可能会导致缓存问题以及后续的 apt-get install 失败。
• 使用 && 连接命令，确保你的 Dockerfiles 每次安装的都是包的最新的版本。这个过程不需要进一步的编码或额外干预。这项技术叫作 cache busting。你也可以显示指定一个包的版本号来达到 cache-busting，这就是所谓的固定版本
• 清理 apt 缓存（如 rm -rf /var/lib/apt/lists/*）以减小镜像大小。

CMD（设置容器启动时默认操作）

• 使用 CMD ["executable", "param1", "param2"] 格式指定容器启动时的默认命令和参数。

ENTRYPOINT（设置镜像主命令）

• 与 CMD 类似，ENTRYPOINT 定义了容器的主执行命令，当两者共存时，CMD 的参数会成为 ENTRYPOINT 的参数。

FROM ubuntu
CMD ["-l"]
ENTRYPOINT ["/usr/bin/ls"]

• CMD 命令且 CMD 是一个完整的可执行的命令，那么 CMD 指令和 ENTRYPOINT 会互相覆盖只有最后一个 CMD 或者 ENTRYPOINT 有效。

# CMD指令将不会被执行，只有ENTRYPOINT指令被执行
CMD echo “Hello, World!”
ENTRYPOINT ls -l

• ENTRYPOINT 指令也可以结合一个辅助脚本使用

COPY ./entrypoint.sh /
ENTRYPOINT ["/entrypoint.sh"]

EXPOSE（暴露容器端口）

• 使用 EXPOSE <port> 指令声明容器运行时监听的端口，便于映射到宿主机端口。
• 在执行 docker run 时使用 -p 标志来将容器的指定端口映射到宿主机所选择的端口。

ENV（设置环境变量）

• 使用 ENV <key>=<value> 设置环境变量，为后续指令或运行时的程序提供配置。

ENV PG_MAJOR 9.3
ENV PG_VERSION 9.3.4
RUN curl -SL http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress && …
ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH

• 使用 ENV 设置环境变量时，有几点需要注意：
• 1）具有传递性，也就是当前镜像被用作其它镜像的基础镜像时，新镜像会拥有当前这个基础镜像所有的环境变量
• 2）ENV 定义的环境变量，可以在 dockerfile 被后面的所有指令（CMD 除外）中使用，但不能被 docker run 的命令参数引用

ADD 和 COPY（复制文件到容器）

• 优先使用 COPY 指令复制本地文件到容器，因其操作更透明。
• 如果你的 Dockerfile 有多个步骤需要使用上下文中不同的文件。单独 COPY 每个文件，而不是一次性的 COPY 所有文件，这将保证每个步骤的构建缓存只在特定的文件变化时失效。

COPY requirements.txt /tmp/
RUN pip install --requirement /tmp/requirements.txt
COPY . /tmp/

• 如果将 COPY . /tmp/ 放置在 RUN 指令之前，只要 . 目录中任何一个文件变化，都会导致后续指令的缓存失效。
• ADD 可用于自动解压本地 tar 文件或从远程 URL 下载文件到容器。而是使用 curl 和 wget。这样你可以在文件提取完之后删掉不再需要的文件来避免在镜像中额外添加一层。

RUN mkdir -p /usr/src/things \
    && curl -SL http://example.com/big.tar.xz \
    | tar -xJC /usr/src/things \
    && make -C /usr/src/things all

上面使用的管道操作，所以没有中间文件需要删除。

VOLUME（指定挂载点）

• 使用 VOLUME 指令暴露容器内需要持久化或共享的目录。
• 强烈建议使用 VOLUME 来管理镜像中的可变部分和用户可以改变的部分。

USER（指定运行镜像时使用的用户）

• 使用 USER 指定非 root 用户运行容器，增强安全性。
• 你应该避免使用 sudo，因为它不可预期的 TTY 和信号转发行为可能造成的问题比它能解决的问题还多。最后，为了减少层数和复杂度，避免频繁地使用 USER 来回切换用户。

WORKDIR（切换目录）

• 使用 WORKDIR 设置工作目录，为后续指令提供上下文。
• 为了清晰性和可靠性，你应该总是在 WORKDIR 中使用绝对路径。

ONBUILD（在子镜像中执行）

• ONBUILD 指令在当前镜像作为其他镜像的基础镜像时触发，常用于传递构建行为。
• 任何构建指令都可以注册为触发器。如果 Onbuild 指令执行失败，子镜像的 FROM 指令就会中止。执行完触发器后，将从最终图像中清除触发器。换句话说，它们不会传递到“孙子代”版本镜像中。

# ONBUILD指令开始
ONBUILD RUN echo "在一个新镜像构建时，自动执行此命令：安装项目依赖..."
ONBUILD COPY package*.json ./
ONBUILD RUN npm ci --silent

ARG（设置构建镜像时变量）

• ARG 定义的变量仅在构建时有效，可用于构建时参数化 Dockerfile。
• docker build 时使用带有--build-arg = 标志的命令将变量传递给构建器。
• 同时使用ARG或ENV指令为 RUN 指令设置变量时，ENV 指令定义的环境变量 会始终覆盖ARG同名指令。

FROM ubuntu
ARG CONT_IMG_VER
ENV CONT_IMG_VER v1.0.0
RUN echo $CONT_IMG_VER

• 然后，使用以下命令构建镜像：

docker build --build-arg CONT_IMG_VER=v2.0.1 .

三、一般准则和建议

• 容器短暂性：设计容器为短暂和可替换极小的，便于快速重建和部署。
• .dockerignore 文件：创建 .dockerignore 文件排除不必要的文件和目录，加速构建过程。
• 多阶段构建：利用多阶段构建减少最终镜像大小，分离构建环境和运行环境。
• 避免不必要安装：仅安装运行应用所必需的包，减少镜像体积和潜在的安全风险。
• 单一职责原则：每个容器只运行一个应用或服务，简化管理和扩展。
• 优化镜像层数：在可读性和减少层数之间找到平衡，减少镜像复杂性。
• 参数排序：将多行按字母顺序对参数进行排序，反斜杠符号 \ 之前添加一个空格，提高 Dockerfile 的可读性和可维护性。
• 构建缓存利用：理解并利用 Docker 的构建缓存机制，避免不必要的重复构建。

总结

通过遵循这些 Dockerfile 最佳实践，开发者可以构建出更优化、更安全、更易于维护的 Docker 镜像。这不仅将提升开发效率，还能帮助企业充分利用容器化技术的优势，构建高效、可靠的云原生应用。

关注公众号｜顶层架构领域｜精彩与您分享