DOCKER最佳实践

让镜像保持小巧

  • 容器只运行单个应用。 从技术角度讲,你可以在Docker容器中运行多个进程。你可以将数据库,前端,后端,ssh,supervisor都运行在同一个Docker容器中。但是,这会让你非常痛苦:
    非常长的构建时间(修改前端之后,整个后端也需要重新构建)
    非常大的镜像大小
    多个应用的日志难以处理(不能直接使用stdout,否则多个应用的日志会混合到一起)
    横向扩展时非常浪费资源(不同的应用需要运行的容器数并不相同)
    僵尸进程问题 - 你需要选择合适的init进程
    因此,我建议大家为每个应用构建单独的Docker镜像

  • 基于一个合适的基础镜像。比如,如果你需要JDK,考虑让你的镜像基于官方的openjdk镜像,而不要从一个普通的ubuntu镜像开始再在Dockerfile中安装openjdk。
    使用多级构建。比如,你可以用maven镜像构建你的Java应用,然后重置(reset)到tomcat镜像并把构建好的Java组件拷贝到正确的位置来发布你的应用,所有这些操作都可以在一个Dockerfile中。这意味着你最后的镜像不会包含构建过程中被拉取的库和依赖,只包含最终的组件和运行他们所需的环境。

  • 如果你要使用不包含多级构建功能的docker版本,尝试减少镜像中层的数量,通过最小化Dockerfile中独立的RUN命令的数量。你可以把多条命令合并到一个RUN行并用shell技巧来把他们组合成一句。考虑下面的两种情况,前者在镜像中创建了两层,而后者只创建了一层。

RUN apt-get -y update
RUN apt-get install -y python

RUN apt-get -y update && apt-get install -y python

把应用数据存到哪里,怎样存储

不要通过存储引擎把应用数据存到容器的可写层中。这会增加容器的大小而且从I/O角度看比数据卷或挂载点效率更低。
取而代之的,使用宿主机数据卷存储数据(文件IO/内存IO/数据库IO)。

尽可能使用集群服务

  • Kubernetes和Docker Swarm这样的平台是容器管理和容器编排引擎,使用户能够指导容器部署并自动执行更新,运行状况监视和故障转移过程。

  • 如果可能,通过集群服务(swarm services)把你的应用设计成可扩展的。即使你只需运行一个应用实例,集群服务也能提供很多独立容器没有的优点。

使用持续集成/持续部署(CI/CD)进行开发和测试

当你在代码控制中进行了修改或创建了pull request时,用Docker Cloud或其他CI/CD流程自动构建docker镜像并打标签,然后测试它。Docker Cloud也能把测试过的应用直接发布到生产环境。


DOCKERFILE最佳实践

参考

以下知识点非常重要:
  • dockerfile中的每个指令都会创建一个新的镜像层。

  • 镜像层将被缓存和复用

  • 当Dockerfile的指令修改了,复制的文件变化了,或者构建镜像时指定的变量不同了,对应的镜像层缓存就会失效

  • 某一层的镜像缓存失效之后,它之后的镜像层缓存都会失效

  • 镜像层是不可变的,如果我们再某一层中添加一个文件,然后在下一层中删除它,则镜像中依然会包含该文件(只是这个文件在Docker容器中不可见了)

1、编写.dockerignore文件

构建镜像时,Docker需要先准备context ,将所有需要的文件收集到进程中。默认的context包含Dockerfile目录中的所有文件,但是实际上,我们并不需要.git目录,node_modules目录等内容。 .dockerignore 的作用和语法类似于 .gitignore,可以忽略一些不需要的文件,这样可以有效加快镜像构建时间,同时减少Docker镜像的大小。示例如下:

.git/
node_modules/
2、缓存的使用与强制更新

Dockerfile的每条指令都会将结果提交为新的镜像,下一个指令将会基于上一步指令的镜像的基础上构建,如果一个镜像存在相同的父镜像和指令(除了ADD),Docker将会使用镜像而不是执行该指令,即缓存。
为了有效地利用缓存,你需要保持你的Dockerfile一致,并且尽量在末尾修改。

FROM ubuntu
MAINTAINER Michael Crosby <michael@crosbymichael.com>
RUN echo "deb http://archive.ubuntu.com/ubuntu precise main universe" > /etc/apt/sources.list
RUN apt-get update && apt-get upgrade -y

更改MAINTAINER指令会使Docker强制执行RUN指令来更新apt,而不是使用缓存。

所以,我们应该使用常用且不变的Dockerfile开始(译者注:上面的例子)指令来利用缓存。

3、构建中的更新指令依赖基础层级镜像

基于第二点, 开始的层级镜像应该尽量保持不变, 除了尽量利用低层级的缓存外 , 把更新指令(例如APK更新)放到基础层级的镜像, 这也是防止高层级镜像变动持续带来镜像构建非常不确定。

4、基础镜像的标签不要使用latest

当镜像没有指定标签时,将默认使用latest 标签。因此, FROM ubuntu 指令等同于FROM ubuntu:latest。当时,当镜像更新时,latest标签会指向不同的镜像,这时构建镜像有可能失败。如果你的确需要使用最新版的基础镜像,可以使用latest标签,否则的话,最好指定确定的镜像标签。

5、设置WORKDIR和CMD

WORKDIR指令可以设置默认目录,也就是运行RUN / CMD / ENTRYPOINT指令的地方。

CMD指令可以设置容器创建是执行的默认命令。

6、CMD与ENTRYPOINT的语法注意以EXEC方式执行

CMD和ENTRYPOINT指令都非常简单,但它们都有一个隐藏的容易出错的“功能”,如果你不知道的话可能会在这里踩坑,这些指令支持两种不同的语法。

CMD /bin/echo
#or
CMD ["/bin/echo"]

这看起来好像没什么问题,但仔细一看其实两种方式差距很大。如果你使用第二个语法:CMD(或ENTRYPOINT)是一个数组,它执行的命令完全像你期望的那样。如果使用第一种语法,Docker会在你的命令前面加上/bin/sh -c, 如果你不知道Docker修改了CMD命令,在命令前加上/bin/sh -c可能会导致一些意想不到的问题以及难以理解的功能。因此,在使用这两个指令时你应当使用数组语法,因为数组语法会确切地执行你打算执行的命令。

使用CMD和ENTRYPOINT时,请务必使用数组语法。

7、COPY与ADD优先使用前者[COPY]

COPY指令非常简单,仅用于将文件拷贝到镜像中。ADD相对来讲复杂一些,可以用于下载远程文件以及解压压缩包(参考官方文档)。

8、设置默认的环境变量,映射端口和数据

运行Docker容器时很可能需要一些环境变量。在Dockerfile设置默认的环境变量是一种很好的方式。另外,我们应该在Dockerfile中设置映射端口和数据卷。示例如下:

FROM node:7-alpine
 
ENV PROJECT_DIR=/app
 
WORKDIR $PROJECT_DIR
 
COPY package.json $PROJECT_DIR 
RUN npm install 
COPY . $PROJECT_DIR
 
ENV MEDIA_DIR=/media \ 
    NODE_ENV=production \
    APP_PORT=3000
 
VOLUME $MEDIA_DIR 
EXPOSE $APP_PORT
 
ENTRYPOINT ["./entrypoint.sh"] 
CMD ["start"]
9、添加HEALTHCHECK

运行容器时,可以指定--restart always选项。这样的话,容器崩溃时,Docker守护进程(docker daemon)会重启容器。对于需要长时间运行的容器,这个选项非常有用。但是,如果容器的确在运行,但是不可(陷入死循环,配置错误)用怎么办?使用HEALTHCHECK指令可以让Docker周期性的检查容器的健康状况。我们只需要指定一个命令,如果一切正常的话返回0,否则返回1。对HEALTHCHECK感兴趣的话,可以参考这篇博客

推荐阅读更多精彩内容