优化 Docker 镜像大小常见的方式

平时我们构建的 Docker 镜像通常比较大,占用大量的磁盘空间,随着容器的大规模部署,同样也会浪费宝贵的带宽资源。本文将介绍几种常用的方法来优化 Docker 镜像大小,这里我们使用 Docker Hub 官方上的 Redis 镜像进行说明。

手动管理

我们能够直接想到的方法就是直接修改官方的 Redis 镜像 Dockerfile 文件,手动删除容器运行后不需要的组件,然后重新构建一个新镜像。这种方法理论上是可行的,但是容易出错,而且效果也不是特别明显。主要是不能和官方的镜像实时同步。

多阶段构建

Docker 在17.05 版本起提供了多阶段构建的功能来解决这个问题,这种方法是通过丢弃中间层来实现的,并通过中间层来提供有关如何创建最终镜像及其内容信息来完成的,只需要保留容器化应用所需的组件即可。在更上层的实现如下所示:

  • 以一些镜像作为构建的基础
  • 和平常一样运行命令来构造你的应用
  • 将所需的制品复制到另外一个单独的镜像

Distroless

在严重依赖容器化技术,尤其是 Docker 之后,谷歌早就意识到了使用臃肿镜像的弊端。所以他们提供了自己的方法来解决这个问题,即 distroless 镜像。与典型的Linux 基础镜像(绑定了很多软件)不同,在 distroless 上对你的应用进行 docker化,最终的镜像只包含应用及其运行时的依赖项,大多数 Linux 发行版中包含的标准软件,如包管理器,甚至 shell 都被会被排除在外。同样的,要使用 Google 的 distroless 镜像,需要使用上面我们提到的多阶段构建,如下所示:

FROM redis:latest AS build
ARG TIME_ZONE
RUN mkdir -p /opt/etc && \
 cp -a --parents /lib/x86_64-linux-gnu/libm.so.* /opt && \
 cp -a --parents /lib/x86_64-linux-gnu/libdl.so.* /opt && \
 cp -a --parents /lib/x86_64-linux-gnu/libpthread.so.* /opt && \
 cp -a --parents /lib/x86_64-linux-gnu/libc.so.* /opt && \
 cp -a --parents /usr/local/bin/redis-server /opt && \
 cp -a --parents /usr/local/bin/redis-sentinel /opt && \
 cp /usr/share/zoneinfo/${TIME_ZONE:-UTC} /opt/etc/localtime 

FROM gcr.io/distroless/base
COPY --from=build /opt /
VOLUME /data
WORKDIR /data
ENTRYPOINT ["redis-server"] 

使用redis:latest为基础镜像,然后保留需要的一些二进制文件(redis-server二进制文件以及所有的相关依赖),然后使用 distroless 镜像作为构建的最终镜像的基础,将opt目录内容复制到该镜像目录中来。

然后我们只需要重新构建镜像即可:

$ docker build -t redis:distroless .$ docker imagesREPOSITORY  TAG     IMAGE ID     CREATED    SIZEredis      distroless  7d50bd873bea  15 seconds ago  28.2MBredis      latest    1319b1eaa0b7  3 days ago   104MB

我们可以看到镜像由以前的 104MB 变成了 28.2MB,大大降低了镜像的大小。

注意:在 Linux 下面我们可以使用 ldd 工具来查找指定的二进制文件所需要的依赖,比如 $ ldd $(which redis-server) 。

使用 distroless 镜像来降低 Docker 镜像的大小是一个非常有效的方法,但是这样做也有一个明显的缺点就是最终的镜像中没有 shell 程序了,使得调试 Docker 容器就非常非常困难,当然这样也降低了应用被攻击的危险,使其更加安全,如果我们将应用部署到 Kubernetes 集群的话,我们可以利用 kubectl-debug这样的工具来辅助调试应用。

Alpine Linux

另外一种比较常见的方式是选择在 Alpine Linux 基础上构建应用镜像,Alpine Linux 是一个特别适合创建最小化 Docker 镜像的发行版。Apline Linux 使用较小的 musl C 库代替 glibc,并将其静态链接,这意味着针对 musl 编译的程序将变成可重定位的 (relocatable)的二进制文件,从而无需包含共享对象,从而可以显著降低镜像的大小。

redis:alpine 镜像大概为 30MB 左右,这样做的缺点是,通常 musl 的性能不如 glibc。当然也有另外一个好处,那就是和上面的 distroless 相比,Alpine 是成熟的 Linux 发行版,提供基本的 shell 访问,使得调试 Docker 容器应用更为方便。在 Docker Hub 上面也可以找到几乎所有流行软件的 Alpine 版本,比如 Redis、Nginx、MySQL 等等。

GNU Guix

最后,我们可以使用 GNU Guix,一个多功能的软件包管理工具,其中就有一项可以创建 Docker 镜像的功能。Guix 区分了包的运行时依赖与构建依赖,所以 Guix 构建的 Docker 镜像将只包含明确指定的程序,加上他们的运行时依赖,就像 distroless 的方法一样。但和 distroless 不同的时候,distroless 需要你自己去查程序的运行时依赖关系(当然也要写 Dockerfile),而 Guix 只需要运行一条命令即可:$ guix pack -f docker redis 。

通过上面的命令创建的 Redis 镜像大小约为 70MB,和原本的镜像相比有明显的减少,虽然比 distroless 和 Alpine 方法创建的镜像稍大,但使用 Guinx 确实提供了一些其他的优点。比如,如果你想让你的最终镜像也包含一个 shell,以便像 Alpine 那样去调试,那么只需要在 Guxi 打包的时候指定上就可以了:$ guix pack -f docker redis bash ,如果你想包含其他软件,也可以继续在后面添加即可。

Guix 的功能特性意味着包的构建可以100%复用,所以我们可以在 CI/CD 流水线管道中加入 Guix 支持,这样构建过程就非常顺畅了。

有的人可能会觉得 Guix 听起来很酷,但是并不想为了构建更小的 Docker 镜像而去下载安装另外一个工具,更何况 Guix 只在 Linux 下面工作,很多开发者还是 MacOS 用户,去配置 Guix 也挺麻烦。其实这点并不用担心,Guix 本身也有 Docker 镜像在 Docker Hub 上,所以使用起来也并不会太复杂,只需要简单的使用 $ docker run guix 命令即可。

除了 Guix 之外,值得一提的还有一个名为 Nix 的软件包管理工具,对 Guix 所述的每一点都同样有效并且适用于 Nix。

以上就是优化 Docker 镜像大小常见的方式的详细内容,更多关于优化 Docker 镜像大小的资料请关注我们其它相关文章!

(0)

相关推荐

  • vue-cli3 项目从搭建优化到docker部署的方法

    1. 创建一个vue项目 相信大部分人都已经知道怎么创建项目的,可以跳过这一节,看下一节. 1.1 安装@vue/cli # 全局安装 vue-cli脚手架 npm install -g @vue/cli 等待安装完成后开始下一步 1.2 初始化项目 vue create vue-cli3-project (1)选择一个预设 可以选择默认预设,默认预设包含了 babel , eslint 我们选择更多功能 Manually select features 回车后来到选择插件 (2)插件选择 这边

  • 使用Docker多阶段构建来减小镜像大小的方法

    本文讲述了如何通过 Docker 的多阶段构建功能来大幅度减小镜像大小,适用于需要在 Dockerfile 中构建程式(如 javac),且需要另外安装编译工具链的镜像.(如 Java) 先来学习单词(本文全部采用中文词汇,如需查询外文文档可对照该词汇表.理论上个人不赞成翻译术语): multi-stage 多阶段 build 构建 image 镜像 stage 阶段 再来看一下效果: 原 110M+,现 92M. 对比一下 Dockerfile 优化前 Dockerfile: FROM ope

  • 优化 Docker 镜像大小常见的方式

    平时我们构建的 Docker 镜像通常比较大,占用大量的磁盘空间,随着容器的大规模部署,同样也会浪费宝贵的带宽资源.本文将介绍几种常用的方法来优化 Docker 镜像大小,这里我们使用 Docker Hub 官方上的 Redis 镜像进行说明. 手动管理 我们能够直接想到的方法就是直接修改官方的 Redis 镜像 Dockerfile 文件,手动删除容器运行后不需要的组件,然后重新构建一个新镜像.这种方法理论上是可行的,但是容易出错,而且效果也不是特别明显.主要是不能和官方的镜像实时同步. 多阶

  • 优化Docker镜像安全性的12个技巧总结

    目录 1前言 2避免泄露构建密钥 多阶段构建 BuildKit的密钥 题外话:不要推送在开发机上构建的镜像 3以非root用户身份运行 4使用最新的基础镜像构建和更新系统包 背景知识 6对你的镜像进行漏洞扫描 7扫描你的Dockerfile是否违反了最佳实践 8不要对DockerHub使用Docker内容信任 9扫描你自己的代码是否有安全问题 10使用docker-slim来删除不必要的文件 11使用最小的基础镜像 12使用受信任的基础镜像 背景知识 13测试你的镜像是否能在降低能力的情况下工作

  • 详解六种减小Docker镜像大小的方法

    我从2017年做Vulhub开始,一直在和一个麻烦的问题做斗争:在编写Dockerfile的时候, 如何减小 docker build 生成的镜像大小 ?这篇文章就给大家总结一下我自己使用过的六种减小镜像大小的方法. 1. 使用Alpine Linux Alpine Linux是一个基于BusyBox和Musl Libc的Linux发行版,其最大的优势就是小.一个纯的基础Alpine Docker镜像在压缩后仅有2.67MB. 不少Docker官方镜像都有Alpine版本,比如PHP: 比较之下

  • SpringBoot构建Docker镜像的3种方式

    本文将介绍3种技术,通过 Maven 把 SpringBoot 应用构建成 Docker 镜像. (1)使用 spring-boot-maven-plugin 内置的 build-image. (2)使用 Google 的 jib-maven-plugin. (3)使用 dockerfle-maven-plugin. Spring Boot 应用 为了方便实践,需要一个 Spring Boot 项目. Demo 项目地址: https://github.com/davelms/medium-ar

  • 详解SpringBoot构建Docker镜像的3种方式

    本文将介绍3种技术,通过 Maven 把 SpringBoot 应用构建成 Docker 镜像. (1)使用 spring-boot-maven-plugin 内置的 build-image. (2)使用 Google 的 jib-maven-plugin. (3)使用 dockerfle-maven-plugin. Spring Boot 应用 为了方便实践,需要一个 Spring Boot 项目. Demo 项目地址: https://github.com/davelms/medium-ar

  • 利用Dockerfile优化Nestjs构建镜像大小详情

    目录 前言 原文开始 开始编写Dockerfile 在本地测试下 Dockerfile 生产环境优化 使用Alpine node镜像 添加 NODE_ENV 环境变量 使用npm ci 而不是npm install 使用User指令 使用多阶段构建 最终的Dockerfile 前言 众所周知,Node.js项目在部署的时候,无论是在虚拟机部署,还是使用docker进行部署,无非都是要先npm install,然后把整个node_modules丢上去,最后启动服务 但是有些开发依赖在生产环境部署的

  • Docker 镜像优化(从1.16GB到22.4MB)

    目录 第一步优化:使用轻量化基础镜像 第二步优化:多阶段构建 Docker 是一个供软件开发人员和系统管理员使用容器构建.运行和与分享应用程序的平台.容器是在独立环境中运行的进程,它运行在自己的文件系统上,该文件系统是使用 docker 镜像构建的.镜像中包含运行应用程序所需的一切(编译后的代码.依赖项.库等等).镜像使用 Dockerfile 文件定义. 术语 dockerization 或 containerization 通常用于定义创建 Docker 容器的过程. 因为容器具备如下优点,

  • docker镜像与传统vm虚拟机区别及分析

    目录 前言碎语 前言:非常重要 大白话docker docker和传统vm的区别 大白话:什么是镜像(image)? 前言碎语 这篇博文是博主在公司内推进docker+k8s落地时的部分内容.目的是为了让公司内的开发不管有没有接触过docker这个技术,都能准确的了解docker是什么,怎么打出符合自己项目需要docker镜像,最终交付给容器环境运行. 前言:非常重要 今天分享的内容主要以实际改造为主,剖开docker的神秘面纱,力求让大家都知道docker是什么,怎么打dcoker镜像,doc

  • 详解Docker镜像与容器的常见操作

    镜像加速器 国内从 Docker Hub 拉取镜像有时会遇到困难,此时可以配置镜像加速器.国内很多云服务商都提供了国内加速器服务,例如: 网易云加速器 https://hub-mirror.c.163.com 阿里云加速器(需登录账号获取): https://cr.console.aliyun.com/cn-hangzhou/mirrors 国内各大云服务商均提供了 Docker 镜像加速服务,建议根据运行 Docker 的云平台选择对应的镜像加速服务,具体请参考官方文档. 在CentOS7系统

随机推荐