律师事务所 网站备案,wordpress 新浪微博登入,成都手机网站设计,自己做视频网站的流程简介#xff1a;云原生时代下软件的构建和部署离不开容器技术。提到容器#xff0c;几乎大家下意识都会联想到 Docker 。而 Docker 中有两个非常重要的概念#xff0c;一个是Image#xff08;镜像#xff09;#xff0c;一个是Container#xff08;容器#xff09;。前…简介云原生时代下软件的构建和部署离不开容器技术。提到容器几乎大家下意识都会联想到 Docker 。而 Docker 中有两个非常重要的概念一个是Image镜像一个是Container容器。前者是一个静态视图打包了应用的目录结构、运行环境等后者是一个动态视图进程展示的是程序的运行状态cpu、memory、storage等信息。接下来的文章主要分享的是如何编写能使 Dockerfile 构建过程更快速、构建镜像更小的技巧。 大家好我是陈泽锋我在云效负责Flow流水线编排、任务调度引擎相关的工作。在云效的产品体系下我们服务了各种研发规模、技术深度的的企业用户收到了非常多的用户反馈。对于使用 Flow 进行云上构建的用户来说构建速度是大家普遍关心的关键要素在深入分析用户案例的过程中我们发现了许多通用问题只需要修改优化自己的项目或工程配置就可以大大提升构建的性能从而进一步加速 CICD 的效率。今天我们会以容器镜像构建作为切入点总结一些在实际工程中非常实用的优化技巧。
云原生时代下软件的构建和部署离不开容器技术。提到容器几乎大家下意识都会联想到 Docker 。而 Docker 中有两个非常重要的概念一个是Image镜像一个是Container容器。前者是一个静态视图打包了应用的目录结构、运行环境等后者是一个动态视图进程展示的是程序的运行状态cpu、memory、storage等信息。接下来的文章主要分享的是如何编写能使 Dockerfile 构建过程更快速、构建镜像更小的技巧。
镜像定义
首先我们先来了解一下 Docker 镜像它由多个只读层堆叠到一起每一层是上一层的增量修改。基于镜像创建新容器时将在基础层的顶部添加一个新的可写层。该层通常称为“容器层”。下图展示了一个基于 docker.io/centos 基础镜像构建的应用镜像创建出容器时的视图。 从图中我们可以看到镜像构建、容器启动的过程。
首先是拉取基础镜像 docker.io/centos基于 docker.io/centos 来启动一个容器运行指令 yum update 后进行 docker commit 提交出一个新的只读层 v1可以理解为生成了一个新的临时镜像 A只不过用户并不会直接引用到它基于临时镜像A启动新的容器运行安装和配置 http server等软件后提交出一个新的只读层 v2也生成了这里最终被开发者引用的镜像版本 B基于镜像版本B运行的容器会再追加一层读写层对容器的文件创建、修改、删除等操作都在这一层生效
镜像来源
镜像主要是 Docker 通过读取、运行 Dockerfile 的指令来生成。举官网上的一个 Dockerfile 例子 FROM ubuntu:18.04
COPY . /app
RUN make /app
CMD python /app/app.py
它的核心逻辑是定义引用的基础镜像 base image执行如 COPY 指令从上下文 context 里复制文件到容器中运行 RUN 执行用户自定义构建脚本最后定义容器启动的 CMD 或 ENTRYPOINT。构建更高效的镜像也要围绕上述涉及到的概念进行优化。
Dockerfile 优化技巧
使用国内的基础镜像
Flow 作为云上构建产品每次构建都会给用户提供全新的构建环境以避免环境污染导致带来过高运维成本。正因为如此Flow 每次构建都会重新去下载 Dockerfile 中指定的基础镜像。
如果 Dockerfile 中指定基础镜像来源于 Docker Hub则有可能因为网络延时问题导致下载缓慢比如
From NginxFrom java:8FROM openjdk:8-jdk-alpine
典型现象如下 可以将自己的基础镜像文件转存至国内镜像仓库并修改自己的 Dockerfile 文件操作步骤如下
将境外镜像在 pull 到本地。docker pull openjdk:8-jdk-alpine将基础镜像 push 到阿里云镜像仓库cr.console.aliyun.com的国内 region比如北京、上海等。docker tag openjdk:8-jdk-alpine registry.cn-beijing.aliyuncs.com/yournamespace/openjdk:8-jdk-alpinedocker push registry.cn-beijing.aliyuncs.com/yournamespace/openjdk:8-jdk-alpi修改你的 dockerfile 中 FROM从你自己的镜像仓库下载镜像 。From registry.cn-beijing.aliyuncs.com/yournamespace/openjdk:8-jdk-alpine
尽量小的、够用的基础镜像
大镜像除了占用更多的磁盘空间外在应用部署时也会占用更多的网络消耗导致更长的服务启动耗时。使用更小的基础镜像例如使用 alpine 作为 base image。这里我们看一个打包 mysql-client 二进制的镜像基于 alpine 和 ubuntu 的镜像大小对比。 FROM alpine:3.14
RUN apk add --no-cache mysql-client
ENTRYPOINT [mysql] FROM ubuntu:20.04
RUN apt-get update \ apt-get install -y --no-install-recommends mysql-client \ rm -rf /var/lib/apt/lists/*
ENTRYPOINT [mysql] 由此可以看到使用尽量小的 base 镜像有利于大幅度减少镜像的大小。
减少上下文关联目录文件
docker 是 c/s 的架构设计当用户执行 docker build 时并不是在 client 直接进行构建而是将 build 指定的目录作为上下文传递到 server 端再执行上述提到的镜像构建的过程。如果执行镜像构建的上下文中关联大量不必要的文件那可以使用 .dockerignore 来忽略这些文件与 .gitignore 类似定义的文件不会被跟踪、传输。
以下举一个官网上的例子通过构建日志可以观察看 context 的大小只有几十 byte
mkdir myproject cd myprojectecho hello helloecho -e FROM busybox\nCOPY / /\nRUN cat /hello Dockerfiledocker build -t helloapp:v1 --progressplain . #7 [internal] load build context
#7 sha256:6b998f8faef17a6686d03380d6b9a60a4b5abca988ea7ea8341adfae112ebaec
#7 transferring context: 26B done
#7 DONE 0.0s
当我们在 myproject 下放置一个与程序无关的大文件或无关小文件如应用构建的依赖包等时重新构建 helloapp:v3 时发现需要传输 70 MB的内容到服务端并且镜像大小到 71MB。 #5 [internal] load build context
#5 sha256:746b8f3c5fdd5aa11b2e2dad6636627b0ed8d710fe07470735ae58682825811f
#5 transferring context: 70.20MB 1.0s done
#5 DONE 1.1s 减少层的数量、控制层的大小
如果把镜像构建的简单等同为 bash 等脚本指令执行的过程往往就会踩中镜像层过多镜像层包含无用文件的坑。下面让我们看三个 dockerfile 的写法和它们分别构建出来的镜像大小。
首先是 centos_git_nginx:normal 镜像它基于 centos 基础镜像增加了两层分别安装了 git 和 nginx两个二进制可以看到镜像的大小大概在 402MB。
FROM centos
RUN yum install -y git
RUN yum install -y nginx接着我们对 dockerfile 做一下优化将它改成以下只增加一层的写法可以看到镜像的大小缩减到 384 MB证明了层的减少能减少镜像的大小。
FROM centos
RUN yum install -y git yum install -y nginx 由于 yum install 过程会生成一些缓存数据这些在应用运行过程中是不需要的我们在安装完软件后立即将其删除后观察镜像再次缩小到 357 MB。
FROM centos
RUN yum install -y git \yum install -y nginx \yum clean all rm -rf /var/cache/yum/*TIPS: 我们知道了镜像构建过程生成每一层为只读层是不能再被修改的以下的写法并不能对减少镜像的大小起到作用反而还增加了一层无用镜像层。
FROM centos
RUN yum install -y git \yum install -y nginx
RUN yum clean all rm -rf /var/cache/yum/*
需要注意的是过于追求层次的少也不一定是好的做法这样会使得构建或拉取镜像时减少了层被缓存的概率。
将不变层放到前面可变层放到后面
当我们在同个时间内多次执行 docker build 可以发现在构建完一次镜像后再次构建docker 会利用缓存中的镜像数据直接进行复用。
事实上 Docker 会逐步完成 Dockerfile 中的指令并按指定的顺序执行每个指令。在检查每条指令时Docker在其缓存中查找可以重用的现有镜像。Docker 从缓存中已存在的父镜像开始将下一条指令与从该基本镜像派生的所有子镜像进行比较以查看其中是否有一条是使用完全相同的指令生成的。否则缓存将无效。
举个例子我们可以将简单、经常被依赖到的基本软件如 git、make等不常变化却常用的指令放到前面执行这样镜像构建的过程层就能直接利用前面生成的缓存而不是重复的下载软件即浪费带宽又消耗时间。
这里我们对两种写法进行对比首先初始化相关目录与文件 mkdir myproject cd myprojectecho hello hello第一种 dockerfile 的写法为先 COPY 文件再进行 RUN 安装软件操作。FROM ubuntu:18.04
COPY /hello /
RUN apt-get update --fix-missing apt-get install -y \aufs-tools \automake \build-essential \curl \dpkg-sig \libcap-dev \libsqlite3-dev \mercurial \reprepro \ruby1.9.1 \ rm -rf /var/lib/apt/lists/*
通过对 time docker build -t cache_test -f Dockerfile . 进行镜像构建构建成功再多次执行可以发现后续构建直接命中缓存生成镜像。 time docker build -t cache_test -f Dockerfile .
[] Building 59.8s (8/8) FINISHED [internal] load build definition from Dockerfile 0.0s transferring dockerfile: 35B 0.0s [internal] load .dockerignore 0.0s transferring context: 2B 0.0s [internal] load metadata for docker.io/library/ubuntu:18.04 0.0s [internal] load build context 0.0s transferring context: 26B 0.0s [1/3] FROM docker.io/library/ubuntu:18.04 0.0s CACHED [2/3] COPY /hello / 0.0s [3/3] RUN apt-get update apt-get install -y aufs-tools automake build-essential curl dpkg-sig rm -rf /var/lib/apt/lists/* 58.3s exporting to image 1.3s exporting layers 1.3s writing image sha256:5922b062e65455c75a74c94273ab6cb855f3730c6e458ef911b8ba2ddd1ede18 0.0s naming to docker.io/library/cache_test 0.0sdocker build -t cache_test -f Dockerfile . 0.33s user 0.31s system 1% cpu 1:00.37 total
time docker build -t cache_test -f Dockerfile .
docker build -t cache_test -f Dockerfile . 0.12s user 0.08s system 34% cpu 0.558 total
修改 hello 文件的内容 echo world hello 再次执行 time docker build -t cache_test -f Dockerfile . , 此时镜像构建的耗时又回到了1分钟左右。
第二种写法的 dockerfile 如下我们将基本不变的基础软件安装放到上面将可能变化的 hello 文件放到下面。
FROM ubuntu:18.04
RUN apt-get update apt-get install -y \aufs-tools \automake \build-essential \curl \dpkg-sig \ rm -rf /var/lib/apt/lists/*
COPY /hello /通过对 time docker build -t cache_test -f Dockerfile . 进行镜像构建第一次构建耗时在1分钟左右(构建成功再多次执行一样命中缓存生成镜像)。
修改 hello 文件的内容 date hello 再次执行 time docker build -t cache_test -f Dockerfile . , 此时镜像构建的耗时在1s内即成功复用第二层构建过的缓存层。
使用多阶段来分离 build 和 runtime
这里举一个 golang 的例子首先将 example 代码库 https://github.com/golang/example clone 到本地添加一个 dockerfile 进行构建应用镜像。 FROM golang:1.17.6
ADD . /go/src/github.com/golang/example
WORKDIR /go/src/github.com/golang/example
RUN go build -o /go/src/github.com/golang/example/hello /go/src/github.com/golang/example/hello/hello.go
ENTRYPOINT [/go/src/github.com/golang/example/hello]
我们可以看到镜像的大小是 943 MB程序正常输出 Hello, Go examples! 接着让我们使用多阶段构建和尽量小的 runtime 来优化以上的过程。
FROM golang:1.17.6 AS BUILDER
ADD . /go/src/github.com/golang/example
RUN go build -o /go/src/github.com/golang/example/hello /go/src/github.com/golang/example/hello/hello.goFROM golang:1.17.6-alpine
WORKDIR /go/src/github.com/golang/example
COPY --fromBUILDER /go/src/github.com/golang/example/hello /go/src/github.com/golang/example/hello
ENTRYPOINT [/go/src/github.com/golang/example/hello]
可以看到目前的镜像大小只有 317 MB。通过多阶段构建将应用构建和运行时依赖进行分离只有将 runtime 依赖的软件会最终打到应用镜像中去。 原文链接
本文为阿里云原创内容未经允许不得转载。
