镜像命名规范与Dockerfile编写规范

小鲸鱼,大本领

镜像命名规范

镜像地址:镜像仓库/项目名/镜像名:标签名

  1. 项目名,公共项目使用名称:base,并设置为公开;其它项目使用英文小写项目名,设置为私有。
  2. 镜像名中应该包含使用的组件名称及版本信息,使用-连接。
    • 基础镜像命名规则
      基础镜像命名应按照操作系统大版本:版本号-构建版本的格式命名,例如:base/rehl7:7.6-1
    • 公共镜像全名规则
      公共镜像命名应按照服务名-中间件-上级中间件:服务版本号-中间件
      版本号-上级中间件版本号-构建版本的格式命名,中间件名称可以包含大版本号,例如:base/tomcat8-openjdk8:8.5.23-jre8u212-1
    • 应用命名规则
      使用格式:系统-模块:系统版本-模块版本-构建版本,例如:sys/sys-rs:1.1-1.1-1
  3. 同一应用镜像在以上标签的规则下,还可以根据发布流程设置多个标签,以满足部署时版本依赖的管理要求。例如sys/sys-rs:v1代表v1.x的最新版本。

镜像制作规范

  1. 关键字使用大写
  2. FROM镜像,指定明确的Tag,不要使用latest
  3. 发布向后兼容的镜像可以使用同一个Tag号,否则使用新的Tag号
  4. 尽量将命令放在同一个RUN命令下,减少层数
  5. 镜像中避免多进程,如果一定要使用,请引入tini命令,用来管理进程
RUN yum install tini -y && yum clean all -y
ENTRYPOINT ['tini', '--']
  1. 尽量使用exec,使真正应用的进程ID为1
  2. 清理临时文件,如yum install后需要执行yum clean all -y
  3. 优化Dockerfile命令的顺序,尽量把不变的放在前面
  4. 使用WORKDIR指定工作目录,避免绝对路径扩散
  5. 使用 set -o pipefail 避免管道错误被忽略
RUN set -o pipefail && wget -O - https://some.site | wc -l > /number 
  1. 优先使用COPY,比ADD更简单明了
  2. 始终暴露重要端口
  3. 习惯使用环境变量,同时在Dockerfile中为环境变量设置默认值
ENV APP_PORT=8761
  1. 避免设置默认密码
  2. 镜像中不要安装sshd
  3. 使用volume显示设置挂载点,以方便镜像的使用者知道需要如何定义存储卷
  4. 支持任一用户运行,对于需要访问的目录文件执行以下命令更新权限
RUN chgrp -R 0 /some/directory && \
    chmod -R g+rwX /some/directory

Dockerfile的最后使用USER指定数字用户

USER 1001
  1. 容器内部应用使用Service访问k8s/OCP平台的其他服务。
  2. 应用基础镜像应该安装公用的依赖库
  3. 为镜像设置元数据,例如说明镜像的用途等,UI界面可以根据这些元数据进行定制功能
LABEL io.openshift.tags="mongodb,mongodb24,nosql" \
      io.openshift.min-memory="8Gi" \
      io.openshift.min-cpu"=4" \
      io.openshift.non-scalable"=true" \
      io.k8s.description="The MySQL 5.5 Server with master-slave replication support" \
      io.openshift.wants="mongodb,redis"
  1. 尽量将应用的日志以标准输出的形式输出,这样可以被容器平台统一收集管理。
  2. 镜像中为应用准备好健康检查的探针,方便容器平台对应用进行健康检查。

下图为使用EXEC格式与SHELL格式,执行ENTRYPOINT CMD的区别。

使用`EXEC`格式与`SHELL`格式,执行ENTRYPOINT CMD的区别

OpenShift官方文档——镜像构建规范
Dockerfile最佳实践
ENTRYPOINT 入口点
dockerfile最佳实践
常用的Dockerfile镜像地址
nginx的Dockerfile实例:把日志输出到标准输出

RUN ln -sf /dev/stdout /var/log/nginx/access.log \
    && ln -sf /dev/stderr /var/log/nginx/error.log