如何運用多階構建編寫優雅的Dockerfile

導讀

Kubernetes要從容器化開始，而容器又需要從Dockerfile開始，本文將介紹如何寫出一個優雅的Dockerfile檔案。

文章主要內容包括：

• Docker容器

• Dockerfile

• 使用多階構建

感謝公司提供大量機器資源及時間讓我們可以實踐，感謝在此專題上不斷實踐的部分專案及人員的支援。 

一、Docker容器

1.1 容器的特點

我們都知道容器就是一個標準的軟體單元，它有以下特點：

• 隨處執行：容器可以將程式碼與配置檔案和相關依賴庫進行打包，從而確保在任何環境下的執行都是一致的。

• 高資源利用率：容器提供程式級的隔離，因此可以更加精細地設定CPU和記憶體的使用率，進而更好地利用伺服器的計算資源。

• 快速擴充套件：每個容器都可作為單獨的程式予以執行，並且可以共享底層作業系統的系統資源，這樣一來可以加快容器的啟動和停止效率。

1.2 Docker容器

目前市面上的主流容器引擎有Docker、Rocket/rkt、OpenVZ/Odin等等，而獨霸一方的容器引擎就是使用最多的Docker容器引擎。

Docker容器是與系統其他部分隔離開的一系列程式，執行這些程式所需的所有檔案都由另一個映象提供，從開發到測試再到生產的整個過程中，Linux 容器都具有可移植性和一致性。相對於依賴重複傳統測試環境的開發渠道，容器的執行速度要快得多，並且支援在多種主流雲平臺（PaaS）和本地系統上部署。Docker容器很好地解決了“開發環境能正常跑，一上線就各種崩”的尷尬。

Docker容器的特點：

• 輕量：容器是程式級的資源隔離，而虛擬機器是作業系統級的資源隔離，所以Docker容器相對於虛擬機器來說可以節省更多的資源開銷，因為Docker容器不再需要GuestOS這一層作業系統了。

• 快速：容器的啟動和建立無需啟動GuestOS，可以實現秒級甚至毫秒級的啟動。

• 可移植性：Docker容器技術是將應用及所依賴的庫和執行時的環境技術改造包成容器映象，可以在不同的平臺執行。

• 自動化：容器生態中的容器編排工作（如：Kubernetes）可幫助我們實現容器的自動化管理。

二、Dockerfile

Dockerfile是用來描述檔案的構成的文字文件，其中包含了使用者可以在使用行呼叫以組合Image的所有命令，使用者還可以使用Docker build實現連續執行多個命令指今行的自動構建。

通過編寫Dockerfile生磁映象，可以為開發、測試團隊提供基本一致的環境，從而提升開發、測試團隊的效率，不用再為環境不統一而發愁，同時運維也能更加方便地管理我們的映象。

Dockerfile的語法非常簡單，常用的只有11個：

2.1 編寫優雅地Dockerfile

編寫優雅的Dockerfile主要需要注意以下幾點：

• Dockerfile檔案不宜過長，層級越多最終制作出來的映象也就越大。

• 構建出來的映象不要包含不需要的內容，如日誌、安裝臨時檔案等。

• 儘量使用執行時的基礎映象，不需要將構建時的過程也放到執行時的Dockerfile裡。

只要記住以上三點就能寫出不錯的Dockerfile。

為了方便大家瞭解，我們用兩個Dockerfile例項進行簡單的對比：

FROM ubuntu:16.04
RUN apt-get update
RUN apt-get install -y apt-utils libjpeg-dev \     
python-pip
RUN pip install --upgrade pip
RUN easy_install -U setuptools
RUN apt-get clean

 

FROM ubuntu:16.04
RUN apt-get update && apt-get install -y apt-utils \
  libjpeg-dev python-pip \
           && pip install --upgrade pip \
      && easy_install -U setuptools \
    && apt-get clean

 

我們看第一個Dockerfile，乍一看條理清晰，結構合理，似乎還不錯。再看第二個Dockerfile，緊湊，不易閱讀，為什麼要這麼寫？

• 第一個Dockerfile的好處是：當正在執行的過程某一層出錯，對其進行修正後再次Build，前面已經執行完成的層不會再次執行。這樣能大大減少下次Build的時間，而它的問題就是會因層級變多了而使映象佔用的空間也變大。

• 第二個Dockerfile把所有的元件全部在一層解決，這樣做能一定程度上減少映象的佔用空間，但在製作基礎映象的時候若其中某個組編譯出錯，修正後再次Build就相當於重頭再來了，前面編譯好的元件在一個層裡，得全部都重新編譯一遍，比較消耗時間。

從下表可以看出兩個Dockerfile所編譯出來的映象大小：

$ docker images | grep ubuntu      
REPOSITORY      TAG     IMAGE ID    CREATED     SIZE                                                                                                                                   
ubuntu                   16.04       9361ce633ff1  1 days ago 422MB
ubuntu                   16.04-1   3f5b979df1a9  1 days ago  412MB

 

呃…. 好像並沒有特別的效果，但若Dockerfile非常長的話可以考慮減少層次，因為Dockerfile最高只能有127層。

三、使用多階構建

Docker在升級到Docker 17.05之後就能支援多階構建了，為了使映象更加小巧，我們採用多階構建的方式來打包映象。在多階構建出現之前我們通常使用一個Dockerfile或多個Dockerfile來構建映象。

3.1單檔案構建

在多階構建出來之前使用單個檔案進行構建，單檔案就是將所有的構建過程（包括專案的依賴、編譯、測試、打包過程）全部包含在一個Dockerfile中之下：

FROM golang:1.11.4-alpine3.8 AS build-env
ENV GO111MODULE=off
ENV GO15VENDOREXPERIMENT=1
ENV BUILDPATH=github.com/lattecake/hello
RUN mkdir -p /go/src/${BUILDPATH}
COPY ./ /go/src/${BUILDPATH}
RUN cd /go/src/${BUILDPATH} && CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go install –v

CMD [/go/bin/hello]

 

這種的做法會帶來一些問題：

• Dockerfile檔案會特別長，當需要的東西越來越多的時候可維護性指數級將會下降；

• 映象層次過多，映象的體積會逐步增大，部署也會變得越來越慢；

• 程式碼存在洩漏風險。

以Golang為例，它執行時不依賴任何環境，只需要有一個編譯環境，那這個編譯環境在實際執行時是沒有任務作用的，編譯完成後，那些原始碼和編譯器已經沒有任務用處了也就沒必要留在映象裡。

上表可以看到，單檔案構建最終佔用了312MB的空間。

3.2 多檔案構建

在多階構建出來之前有沒有好的解決方案呢？有，比如採用多檔案構建或在構建伺服器上安裝編譯器，不過在構建伺服器上安裝編譯器這種方法我們就不推薦了，因為在構建伺服器上安裝編譯器會導致構建伺服器變得非常臃腫，需要適配各個語言多個版本、依賴，容易出錯，維護成本高。所以我們只介紹多檔案構建的方式。

多檔案構建，其實就是使用多個Dockerfile，然後通過指令碼將它們進行組合。假設有三個檔案分別是：Dockerfile.run、Dockerfile.build、build.sh。

• Dockerfile.run就是執行時程式所必須需要的一些元件的Dockerfile，它包含了最精簡的庫；

• Dockerfile.build只是用來構建，構建完就沒用了；

• build.sh的功能就是將Dockerfile.run和Dockerfile.build進行組成，把Dockerfile.build構建好的東西拿出來，然後再執行Dockerfile.run，算是一個排程的角色。

Dockerfile.build

FROM golang:1.11.4-alpine3.8 AS build-env
ENV GO111MODULE=off
ENV GO15VENDOREXPERIMENT=1
ENV BUILDPATH=github.com/lattecake/hello
RUN mkdir -p /go/src/${BUILDPATH}
COPY ./ /go/src/${BUILDPATH}
RUN cd /go/src/${BUILDPATH} && CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go install –v

 

Dockerfile.run

FROM alpine:latest
RUN apk –no-cache add ca-certificates
WORKDIR /root
ADD hello .
CMD ["./hello"]

 

Build.sh

#!/bin/sh
docker build -t –rm hello:build . -f Dockerfile.build
docker create –name extract hello:build
docker cp extract:/go/bin/hello ./hello
docker rm -f extract
docker build –no-cache -t –rm hello:run . -f Dockerfile.run
rm -rf ./hello

 

執行build.sh完成專案的構建。

從上表可以看到，多檔案構建大大減小了映象的佔用空間，但它有三個檔案需要管理，維護成本也更高一些。

3.3 多階構建

最後我們來看看萬眾期待的多階構建。

完成多階段構建我們只需要在Dockerfile中多次使用FORM宣告，每次FROM指令可以使用不同的基礎映象，並且每次FROM指令都會開始新的構建，我們可以選擇將一個階段的構建結果複製到另一個階段，在最終的映象中只會留下最後一次構建的結果，這樣就可以很容易地解決前面提到的問題，並且只需要編寫一個Dockerfile檔案。這裡值得注意的是：需要確保Docker的版本在17.05及以上。下面我們來說說具體操作。

在Dockerfile裡可以使用as來為某一階段取一個別名”build-env”：

FROM golang:1.11.2-alpine3.8 AS build-env

 

然後從上一階段的映象中複製檔案，也可以複製任意映象中的檔案：

COPY –from=build-env /go/bin/hello /usr/bin/hello 

 

看一個簡單的例子：

FROM golang:1.11.4-alpine3.8 AS build-env
 
ENV GO111MODULE=off
ENV GO15VENDOREXPERIMENT=1
ENV GITPATH=github.com/lattecake/hello
RUN mkdir -p /go/src/${GITPATH}
COPY ./ /go/src/${GITPATH}
RUN cd /go/src/${GITPATH} && CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go install -v
 
FROM alpine:latest
ENV apk –no-cache add ca-certificates
COPY --from=build-env /go/bin/hello /root/hello
WORKDIR /root
CMD ["/root/hello"]

 

執行docker build -t –rm hello3 .後再執行docker images ，然後我們來看映象的大小：

多階構建給我們帶來很多便利，最大的優勢是在保證執行映象足夠小的情況下還減輕了Dockerfile的維護負擔，因此我們極力推薦使用多階構建來將你的程式碼打包成Docker 映象。

內容來源：宜信技術學院