devops的世界｜docker如何構建儘可能小的容器鏡像？

2018-10-13 01:28:22 波波說運維

概述

Docker使構建容器鏡像變得輕而易舉。只需將標準 Dockerfile 放入您的文件夾，運行 docker build 命令，然後運行，芝麻開門！您的容器鏡像已構建成功！

這種簡單性的缺點是，很容易構建出大體積的容器鏡像，其中包含很多不需要的東西——包括潛在的安全漏洞。

因為使用的是解釋型語言還是編譯型語言，創建容器鏡像的過程會有所不同。下面一起深入瞭解（下面通過dockerfile模擬）：

解釋型語言的容器化

解釋型語言，如Ruby，Python，Node.js，PHP和其他語言通過發送源代碼到解釋器來運行代碼。這樣的好處是可以跳過編譯步驟，但其缺點是要求將解釋器與代碼一起丟進去。

幸運的是，大多數這些語言都提供了預構建的Docker容器，其中包含一個輕量級環境，允許運行更小的容器。

我們來看一個Node.js應用程序並對其進行容器化。

首先，使用node：onbuild鏡像作為基礎。 Docker容器的onbuild版本預先打包了您需要的所有內容，因此無需執行大量配置即可搞定。這意味著Dockerfile非常簡單（只有兩行！）。但是要付出的磁盤大小代價——差不多700MB！

通過使用較小的基礎鏡像（如Alpine），您可以顯著減少容器的大小。Alpine Linux是一款體積小，輕量級的Linux發行版，在Docker用戶中非常受歡迎，因為它與許多應用程序兼容，同時仍然保持小體積。

幸運的是，Node.js（以及其他流行語言）有一個官方的Alpine圖像，可以滿足您的一切需求。與默認的node鏡像不同，node：alpine會刪除許多文件和程序，只留下足以運行應用程序的部分。

基於Alpine Linux的Dockerfile創建起來有點複雜，因為必須運行一些針對onbuild的命令。

但是，產生的鏡像只有65MB！

編譯型語言的容器化

諸如Go，C，C ++，Rust，Haskell等編譯型語言可以創建在沒有許多外部依賴性的情況下運行的二進制文件。這意味著你可以提前構建二進制文件並將其投入生產，而無需把創建二進制文件（如編譯器）放進去。

下面採用Go應用程序並使用此模式對其進行容器化。

首先，使用golang：onbuild鏡像作為基礎。和以前一樣，Dockerfile只有兩行，但需付出磁盤大小超過700MB的代價！

下一步是使用更小的基礎鏡像，也就是golang：alpine鏡像。

同樣，使用Alpine基礎鏡像創建Dockerfile有點複雜，因為必須運行一些執行onbuild鏡像相關的命令。

但同樣，由此產生的鏡像要小得多，大小隻有256MB！

但是，我們可以使鏡像更小：假設不需要Go附帶的任何編譯器或其他構建和調試工具，可以從最終容器中刪除它們。

下面使用多階段構建來獲取由golang：alpine容器創建的二進制文件並將其自行打包。

下面的這個容器鏡像只有12MB大小！

在Kubernetes上拉取鏡像

雖然你可能不關心構建和推送容器鏡像所需的時間，但應該非常關心拉取容器鏡像所需的時間。對於Kubernetes，這可能是您的生產集群最重要的指標。

例如，假設有一個三節點集群，其中一個節點崩潰。如果使用的是像Kubernetes Engine這樣的託管系統，系統會自動生成一個新節點來代替它。

但是，這個新節點將是全新的，並且必須先拉取所有容器鏡像才能開始工作。拉取容器鏡像所需的時間越長，集群執行的時間就越長！

當增加群集大小（例如，使用Kubernetes Engine Autoscaling）或將節點升級到新版本的Kubernetes時，可能會發生這種情況（接下來的幾集中會關注這個問題）。

我們可以看到來自多個部署的多個容器的拉取性能可以在這裡真正體現出來，使用小容器可能會浪費幾分鐘的部署時間！

安全性和漏洞

除了性能之外，使用較小的容器鏡像還有很大的安全性提升。與使用大基礎鏡像的容器鏡像相比，小容器鏡像通常具有較小的攻擊面。

幾個月前，我構建了Go onbuild和multi-age容器鏡像，因此它們可能包含一些已被發現的漏洞。使用Google Container Registry的內置漏洞掃描，可以輕鬆掃描容器中的已知漏洞。

小容器鏡像

較小容器鏡像中只有三個“中級”漏洞，而較大容器鏡像中有16個嚴重漏洞和300多個其他漏洞。

大容器鏡像

大多數存在的問題與應用程序無關，甚至沒有應用程序！因為多階段構建使用的是更小的基礎鏡像，所以可以產生漏洞的東西更少。

總結

使用小容器鏡像的性能和安全優勢不言而喻。使用小的基礎鏡像和builder pattern可以更容易地構建小鏡像，並且還有許多其他技術可用於單個技術棧和編程語言，以最小化容器體積。無論做什麼，都可以確信保持容器鏡像最小化的努力是值得的！

後期內容會更多分享DBA和DEVOPS內容，感興趣的朋友可以關注下！

分享到:

閱讀更多 波波說運維 的文章

關鍵字: Node.js 構建 Haskell

Devops度量--DevOps 現狀快速檢查表

從 DevOps 到 NoOps，Serverless 技術的落地方式探討

Gitee 企業版上線 DevOps 工具「Gitee Go」

配置Jenkins Generic WebHook觸發器

DevOps 和敏捷：究竟有什麼區別？

GitLab 12.9發佈集成HashiCorp Vault、自定義的價值流質量報告等

Devops 之LDAP的分析和選擇

ITIL 與 DevOps 之間的差異

176條DevOps人員常用的Linux命令速查表

實現GitLab代碼自動同步到GitHub

「DevOps平臺架構」基於Docker的DevOps流程

「DevOps平臺架構」devops-jenkins，devops多環境部署

持續集成平臺與SonarQube質量平臺集成實踐（三）

GitOps入門與實踐：如何集成Git和K8S？

用開源軟件打造企業級 DevOps 工作流（三）：持續集成

03.07 用開源軟件打造企業級 DevOps 工作流（三）：持續集成

用開源軟件打造企業級 DevOps 工作流（二）：版本控制

03.07 用開源軟件打造企業級 DevOps 工作流（二）：版本控制

用開源軟件打造企業級 DevOps 工作流（一）：概述

02.26 「Kubernetes系列」第8篇 CI

02.26 DevOps VS 敏捷

代碼視角深入淺出理解 DevOps

10000小時DevOps計劃

macOS&&GoLand-GoLand介紹

macOS&&Pycharm-Pycham集成Git\GitHub及其應用

macOS&&IntelliJ IDEA-IntelliJ IDEA介紹

C語言核心技術-使用Visual Studio Code和GCC開發C程序

12.11 如何打造高效 DevOps 工具鏈？

你真的會用TOP嗎

DevOps 巔峰戰役 02

11.18 推薦幾款2019 年必學的 DevOps 流行工具

安全測試只做代碼靜態掃描是不夠的，還需要做這個

基於sonarqube、jenkins和gitlab的持續集成代碼檢查

「DevOps系列」 Terraform 實戰（上）——如何管理Terraform狀態

DevOps 對你意味著什麼？

如何用docker在5分鐘搭建完DNS服務器?

[DevOps ]使用PowerShell和Chocolatey進行軟件部署

[DevOps] 三分鐘全面瞭解Windows平臺的Apt和Yum：Chocolatey

如何基於 Kubernetes 構建完整的 DevOps 流水線

「Devops」docker一鍵安裝部署nginx 值得收藏！

「Devops」Dockerfile的書寫規則及常用指令使用方法

DevOps 實踐指南

DevOps——究竟爲什麼會興起？

08.27 Kubernetes命名空間

08.20 CoreDNS介紹

DevOps 如何幫助你將很酷的應用交付給用戶

05.28 如何5招搞定Kubernetes監控

05.18 JFrog發佈Enterprise+，無阻力的二進制文件端到端管理！

第二章 IoC容器和Bean配置

bean是一個對象，它是由Spring

運算裡不得不說的python模塊—math

Help

Devops度量--DevOps 現狀快速檢查表

今天主要分享一個DevOps

SOP是什麼（解讀）

SOP不是單個的，是一個體系，雖然我們可以單獨地定義每一個SOP，但真正從企業管理來看，SOP不可能只是單個的，必然是一個整體和體系，也是企業不可或缺的。

還不知道交換機上如何配置DHCP，趕緊過來圍觀吧，一分鐘包你學會

隨著終端設備的越來越多，人工干預配置IP地址，不僅工作效率低，而且，還很容易導致IP衝突，影響正常的網絡訪問。到此已經完成了，DHCP服務的配置了，我們可以在終端驗證。

還在手動配置IP地址嗎？太Low了，一分鐘教會您如何配置DHCP

Python爬蟲自學筆記：分析頭條文章網頁源文件

這兩天分析了一下頭條文章網頁的源文件，現在將分析的結果分享給大家。首先以一篇文章為例，其網址如下：https://www.toutiao.com/i6822245428176617998/如上圖網頁所示，文章中包含文字和圖片。

DNS偵查工具

我們只需要打開瀏覽器輸入例如:www.baidu.com就可以解析到該網站.為了便於記住不需要輸入長長的IP地址去訪問這就是DNS域名解析.關於域名域名的層次劃分用點來分割這時DNS把相對應的域名解析成IP地址高的在右邊.例如:www. NS簡介訪問某網站的時候最低在左邊

國人開源的異步 Python ORM：GINO

程序測評：Create React App 3.3中有哪些酷炫新功能？

Create

“明學”的魅力？我只要我覺得：駕馭終端，提高生產力

最後一個要介紹的命令是

（必收藏系列）Linux面試題——命令集

關注，後臺私信【Linux】分享Linux入門到進階電子書、Linux入門到精通視頻教程（免費）。文件管理命令cat

五分鐘學會如何在 IPFS 上部署網站

原文標題:五分鐘學會如何在

「正點原子NANO STM32F103開發板資料連載」第29章內存管理實驗

1）實驗平臺：【正點原子】

小白怎麼學Web前端開發如何成為技術達人

Web前端開發工程師已經成為了很多年輕人心中的理想工作，不僅入行門檻低、而且薪資待遇和發展前景都不錯，自然吸引了大批人加入行業。

如何開發一個web靜態服務器

我們都知道如今的web服務器有很多，比如著名的有apache，有nginx，有tomcat，有resin服務器，有sphere，有iis服務器等等，這些服務器都能提供web服務，並且幾乎都能和多種語言進行搭配使用，那麼一個web服務器都需要那些功能，開發一個web服務器都需要那些

學Java編程還有前景嗎如何才能拿到高薪

需求大、薪資高似乎是Java開發人員的標籤，不過學Java編程還有前景嗎？它架構在操作系統之上，屏蔽了底層的差異，真正實現了“Writeonce run

Python網絡爬蟲之配置篇（一）

pip

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertTo&useSSL=falseusername:rootpassword:

Python的運行效率太低？幾行代碼快速提升！

return的就是是你所需要的結果2.3、運行這一步就是最後一步了，只要像下面一樣輸入上述函數名，賦予參數值，點擊運行Run，就能得到你想要的結果arg1=5

python的優點是什麼？最新Python400集視頻（附教程）

2020，最新Python零基礎到精通資料教材，乾貨分享，新基礎Python教材，穩穩找到過萬工作，看這裡，這裡有你想要的所有資源哦，最強筆記，教你怎麼入門提升！獲取方式：私信小編“

MySQL中OOM故障應如何下手-愛可生

作者：孫祚龍愛可生南區分公司交付服務部成員，實習工程師。負責公司產品問題排查及日常運維工作。本文來源：原創投稿*愛可生開源社區出品，原創內容未經授權不得隨意使用，轉載請聯繫小編並註明來源。

像專家一樣使用 panic

|go

30種不同的編程語言怎麼寫“Hello, World”

printfn

percona QAN 介紹

一、背景QAN慢查詢日誌分析工具是PMM

面試官：你可以用純CSS判斷鼠標進入的方向嗎？

雖然沒什麼軟用，但是對付面試官應該是夠用了。感謝面試官提出的問題，讓我實現了這個功能，對CSS

網絡工程師職業生涯中，哪兩點是最重要的？

網絡工程師最重要的技能是紮實的基礎和非常開放的思維，微觀知識紮實、宏觀能力突出。項目經驗也會讓網絡工程師基礎更牢靠，網絡工程師是要實戰的，要避免紙上談兵，我認為對基礎理論的理解，比你清楚配置更重要。

交換機中相關術語代表什麼意思，有必要弄清楚

由淺入深瞭解以太坊 2.0：最常見問題和最全學習清單

有關以太坊2.0

【Linux簡單實用小命令001】CentOS 7、8的防火牆端口開放

yuminstall

吃透這些IPFS硬核知識點，日後搶頭礦隨時“彎道超車”

今天的你捉住IPFS機遇了嗎？我們都知道在Filecoin網絡中作為一名存儲礦工，信譽對於我們是非常重要的——信譽越高，爆塊幾率越大。那麼信譽系統現在怎麼樣了呢？

Hive分桶表

fieldsterminated

Spring中資源的加載原來是這麼一回事啊！

自己動手搭建郵件系統：怎樣讓Exchange Server 發出第一封郵件？

編輯Exchange

$【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫$

【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫

在阿里雲控制檯，我們能下載的文件是一個壓縮包，解壓之後，是.idb和.frm文件，你可能要問了，我可以直接把解壓好的問題件覆蓋到MySQL的data目錄下嗎？

NLP算法入門系列：隱含馬爾可夫鏈(HMM)模型的簡單介紹

即，最大化

第一章 Spring Framework概述

您可以在任何web

opencv人工智能深度學習這樣實現人臉的年齡檢測

前期的文章我們分享了人臉的識別以及如何進行人臉數據的訓練，本期文章我們結合人臉識別的模型進行人臉年齡的檢測人臉年齡的檢測步驟1、首先需要進行人臉的檢測2、把檢測到的人臉數據給年齡檢測模型去檢測3、把檢測結果呈現到圖片上人臉年齡檢測import

嵌入式linux網絡編程之——5年程序員給你深度講解socket套接字

圖8-1

深入瞭解ProcessFunction的狀態操作(Flink-1.10)

先反思為何會有上述疑惑上述疑惑產生的原因，應該是受到平時使用HashMap的影響，HashMap獲取值就是在調用get方法時指定key，設置值也是在put時指定key，所以看到state.value，看懂了這些，其實也是在瞭解DataStream/DataSetAPI的設計思路：

Redis內存分析工具--rdr安裝與使用

分析Redis

資深架構師教你源碼講解zookeeper實現分佈式鎖以及集群搭建步驟

//getData發現前一個子節點被刪除，拋出異常

一行代碼提升遷移性能

論文原址：https://arxiv.org/pdf/2003.12237.pdf開源地址：https://github.com/cuishuhao/BNM在發表在CVPR2020

利用相似幾何信息，做可泛化3D形狀分割模型

更具體的有以下三種典型的分割方案：FullyConvolutional-Like

這麼好用的開源計算器SpeedCrunch，沒有不嘗試一下的道理

介紹SpeedCrunch是一款高精度科學計算器，具有快速，鍵盤驅動的用戶界面。獲取方式在GitHub上搜索SpeedCrunch，就可以去到

分佈式緩存，真香

他是前易寶支付架構師、阿里雲MVP、騰訊雲

特徵工程的力量

在本文中，我希望教給您一些有關特徵工程的知識，以及如何使用它來對非線性決策邊界進行建模。為了說明這一點，假設恢復時間與身高和體重具有以下關係：Y=β₀+β₁+β2+β₃+noise從第三項來看，我們可以看到Y與身高和體重沒有線性關係。

java架構：天天寫面向接口編程，你考慮過性能嗎？大神都是這麼寫

public

SpringBoot如何優雅的使用RocketMQ

源碼編譯需要Maven3.2x，JDK8在根目錄進行打包:Copymvn-Prelease-all

css代碼規範工具stylelint

"mixin"

devops的世界｜docker如何構建儘可能小的容器鏡像？

概述

解釋型語言的容器化

編譯型語言的容器化

在Kubernetes上拉取鏡像

安全性和漏洞

總結

相關文章:

Devops度量--DevOps 現狀快速檢查表

從 DevOps 到 NoOps，Serverless 技術的落地方式探討

Gitee 企業版上線 DevOps 工具「Gitee Go」

配置Jenkins Generic WebHook觸發器

DevOps 和敏捷：究竟有什麼區別？

GitLab 12.9發佈集成HashiCorp Vault、自定義的價值流質量報告等

Devops 之LDAP的分析和選擇

ITIL 與 DevOps 之間的差異

176條DevOps人員常用的Linux命令速查表

實現GitLab代碼自動同步到GitHub

「DevOps平臺架構」基於Docker的DevOps流程

「DevOps平臺架構」devops-jenkins，devops多環境部署

持續集成平臺與SonarQube質量平臺集成實踐（三）

GitOps入門與實踐：如何集成Git和K8S？

用開源軟件打造企業級 DevOps 工作流（三）：持續集成

03.07 用開源軟件打造企業級 DevOps 工作流（三）：持續集成

用開源軟件打造企業級 DevOps 工作流（二）：版本控制

03.07 用開源軟件打造企業級 DevOps 工作流（二）：版本控制

用開源軟件打造企業級 DevOps 工作流（一）：概述

02.26 「Kubernetes系列」第8篇 CI

02.26 DevOps VS 敏捷

代碼視角深入淺出理解 DevOps

10000小時DevOps計劃

macOS&&GoLand-GoLand介紹

macOS&&Pycharm-Pycham集成Git\GitHub及其應用

macOS&&IntelliJ IDEA-IntelliJ IDEA介紹

C語言核心技術-使用Visual Studio Code和GCC開發C程序

12.11 如何打造高效 DevOps 工具鏈？

你真的會用TOP嗎

DevOps 巔峰戰役 02

11.18 推薦幾款2019 年必學的 DevOps 流行工具

安全測試只做代碼靜態掃描是不夠的，還需要做這個

基於sonarqube、jenkins和gitlab的持續集成代碼檢查

「DevOps系列」 Terraform 實戰（上）——如何管理Terraform狀態

DevOps 對你意味著什麼？

如何用docker在5分鐘搭建完DNS服務器?

[DevOps ]使用PowerShell和Chocolatey進行軟件部署

[DevOps] 三分鐘全面瞭解Windows平臺的Apt和Yum：Chocolatey

如何基於 Kubernetes 構建完整的 DevOps 流水線

「Devops」docker一鍵安裝部署nginx 值得收藏！

「Devops」Dockerfile的書寫規則及常用指令使用方法

DevOps 實踐指南

DevOps——究竟爲什麼會興起？

08.27 Kubernetes命名空間

08.20 CoreDNS介紹

DevOps 如何幫助你將很酷的應用交付給用戶

05.28 如何5招搞定Kubernetes監控

05.18 JFrog發佈Enterprise+，無阻力的二進制文件端到端管理！

第二章 IoC容器和Bean配置

運算裡不得不說的python模塊—math

Devops度量--DevOps 現狀快速檢查表

SOP是什麼（解讀）

還不知道交換機上如何配置DHCP，趕緊過來圍觀吧，一分鐘包你學會

還在手動配置IP地址嗎？太Low了，一分鐘教會您如何配置DHCP

Python爬蟲自學筆記：分析頭條文章網頁源文件

DNS偵查工具

國人開源的異步 Python ORM：GINO

程序測評：Create React App 3.3中有哪些酷炫新功能？

“明學”的魅力？我只要我覺得：駕馭終端，提高生產力

（必收藏系列）Linux面試題——命令集

五分鐘學會如何在 IPFS 上部署網站

「正點原子NANO STM32F103開發板資料連載」第29章 內存管理實驗

小白怎麼學Web前端開發 如何成為技術達人

如何開發一個web靜態服務器

學Java編程還有前景嗎 如何才能拿到高薪

Python網絡爬蟲之配置篇（一）

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

Python的運行效率太低？幾行代碼快速提升！

python的優點是什麼？最新Python400集視頻（附教程）

MySQL中OOM故障應如何下手-愛可生

像專家一樣使用 panic

30種不同的編程語言怎麼寫“Hello, World”

「正點原子NANO STM32F103開發板資料連載」第29章內存管理實驗

小白怎麼學Web前端開發如何成為技術達人

學Java編程還有前景嗎如何才能拿到高薪