來自官方映像的 6 個(gè) Dockerfile 技巧

1. 選擇Debian 

　　官方鏡像的大多數(shù)Dockerfile，不管是直接還是通過其他鏡像，都是基于Debian的。Dockerfile版本通常跟特定的發(fā)行版掛鉤，正常是使用穩(wěn)定版(wheezy)，有些是測試版(jessie)，還有是不穩(wěn)定版(sid)。Debian鏡像的主要好處是文件小，加起來才85.1MB，而Ubuntu要200MB。指定準(zhǔn)確的發(fā)行版可以預(yù)防一些問題，比如，即使標(biāo)上latest的發(fā)行版升級了，構(gòu)建也不會(huì)崩潰。 

　　2. 確定來源 

　　如果要用戶信賴你的鏡像，你就要考慮如果驗(yàn)證此鏡像上的所有軟件的真實(shí)性。如果通過apt-get方式從Debian的倉庫獲取，這個(gè)驗(yàn)證過程已經(jīng)被解決了。如果從網(wǎng)上下載文件，或者從第三方倉庫安裝軟件，你就應(yīng)該通過校驗(yàn)和、數(shù)字簽名等方式驗(yàn)證這些文件。比如，為了驗(yàn)證nginx包，nginx的Dockerfile會(huì)做如下操作： 

　　RUN apt-key adv --keyserver pgp.mit.edu --recv-keys 573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62 

　　RUN echo "deb http://nginx.org/packages/mainline/debian/ wheezy nginx" >> /etc/apt/sources.list

　　ENV NGINX_VERSION 1.7.7-1~wheezy 

　　RUN apt-get update && apt-get install -y nginx=${NGINX_VERSION} 

　　注意nginx也是跟一個(gè)特定的版本關(guān)聯(lián)的。這種做法可以保證，維護(hù)者測試的鏡像跟構(gòu)建工具構(gòu)建的是相同的。但是，這個(gè)假設(shè)也不是絕對的，因?yàn)閚ginx本身的依賴也會(huì)隨時(shí)間變化(比如有些依賴會(huì)標(biāo)明>=某個(gè)版本)。 

　　你自己也可以對下載的文件做相似的操作，計(jì)算文件校驗(yàn)和，然后跟本地版本(stored version)比較。這些操作都由Redis Dockerfile做過了。另外，有些下載的文件可能包含簽名文件，你可以通過gpg來驗(yàn)證，通常這些操作都由官方鏡像做過了。 

　　不幸的是，一些官方鏡像也沒能定期正確地進(jìn)行這些驗(yàn)證操作，或者只驗(yàn)證了部分文件，所以查看官方Dockerfile時(shí)要注意下。 

　　3. 移除構(gòu)建依賴 

　　如果通過源碼編譯構(gòu)建，你的鏡像通常比需要的大很多?？赡艿脑挘谕粭lRUN指令中，安裝構(gòu)建工具、構(gòu)建軟件，然后移除構(gòu)建工具。雖然這樣做又詭異又惱人，但是可以省下幾百M(fèi)B空間。在不同的指令中刪除文件是沒有意義的，因?yàn)檫@些文件已經(jīng)被打包進(jìn)鏡像了。我們看下Redis Dockerfile是怎么做的： 

　　RUN buildDeps='gcc libc6-dev make'; \ 

　　set -x \ 

　　&& apt-get update && apt-get install -y $buildDeps --no-install-recommends \ 

　　&& rm -rf /var/lib/apt/lists/* \ 

　　&& mkdir -p /usr/src/redis \ 

　　&& curl -sSL "$REDIS_DOWNLOAD_URL" -o redis.tar.gz \ 

　　&& echo "$REDIS_DOWNLOAD_SHA1 *redis.tar.gz" | sha1sum -c - \ 

　　&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \ 

　　&& rm redis.tar.gz \ 

　　&& make -C /usr/src/redis \ 
    
　　&& make -C /usr/src/redis install \ 

　　&& ln -s redis-server "$(dirname "$(which redis-server)")/redis-sentinel" \ 
        http://cda.pinggu.org/
　　&& rm -r /usr/src/redis \ 

　　&& apt-get purge -y --auto-remove $buildDeps 

　　gcc, libc和make在同一條指令中先被安裝，使用，然后被刪掉。另外注意下，作者還刪除了不會(huì)被使用的tar.gz源文件夾。順帶提下，這些代碼也演示了如何使用sha1sum來驗(yàn)證Redis下載文件的校驗(yàn)和。 

　　4. 選擇gosu 

　　gosu實(shí)用工具，通常用在ENTRYPOINT指令調(diào)用的腳本中，這些ENTRYPOINT指令位于官方鏡像的Dockerfile中。它是個(gè)類sudo的簡單工具，接受并運(yùn)行特定用戶的特定指令。但是gosu可以避免sudo怪異惱人的TTY和信號轉(zhuǎn)發(fā)(signal-forwarding)行為。 

　　看下這篇編寫入口點(diǎn)腳本的官方建議https://docs.docker.com/articles/dockerfile_best-practices/，大多數(shù)官方鏡像都遵循該建議。 

　　5. 選擇buildpack-deps基礎(chǔ)鏡像 

　　很多Docker的"language-stack"鏡像都是基于 buildpack-deps 基 礎(chǔ)鏡像，該鏡像包含了通常開發(fā)所必須的頭文件和工具（比如源碼管理工具）。如果你想構(gòu)建一個(gè)language-stack鏡像，使用這個(gè)基礎(chǔ)鏡像可以省下 不少時(shí)間。但是向鏡像添加非必須的東西也遭受了很多批評，這導(dǎo)致了一些倉庫，如Node提供了直接基于Debian的可選slim包(完整的Node鏡像 有728MB，slim只有291.4MB)。但是記住用戶可能需要某些開發(fā)庫，同時(shí)也通過某種途徑下載了基礎(chǔ)鏡像。 

　　6. 使用描述性標(biāo)簽 

　　所有的官方鏡像都提供了很多標(biāo)簽。像latest標(biāo)簽一樣，提供一個(gè)版本標(biāo)簽是種好做法，這樣用戶就不用擔(dān)心基礎(chǔ)鏡像變更而破壞容器。官方鏡像做了更多， 提供了上文提及的精簡slim鏡像，以及自動(dòng)導(dǎo)入和編譯的onbuild鏡像。鏡像打上onbuild標(biāo)簽，即使轉(zhuǎn)移代碼再編譯，來新建子鏡像，用戶也不會(huì)太意外。