容器鏡像是可執(zhí)行的軟件包，包括運行應用程序所需的所有內(nèi)容：代碼、運行時、系統(tǒng)工具、庫和設置。通過構建自定義鏡像，您可以在任何支持Docker的平臺上無縫地部署應用程序及其所有依賴項。

Dockerfile

構建容器鏡像的關鍵組件是 Dockerfile。它本質(zhì)上是一個包含有關如何組裝 Docker 鏡像的說明的腳本。Dockerfile 中的每個指令都會在鏡像中創(chuàng)建一個新層，從而更容易跟蹤更改并最小化鏡像大小。以下是 Dockerfile 的簡單示例：

# Use an official Python runtime as a parent image
FROM python:3.7-slim

# Set the working directory to /app
WORKDIR /app

# Copy the current directory contents into the container at /app
COPY . /app

# Install any needed packages specified in requirements.txt
RUN pip install --trusted-host pypi.python.org -r requirements.txt

# Make port 80 available to the world outside this container
EXPOSE 80

# Define environment variable
ENV NAME World

# Run app.py when the container launches
CMD ["python", "app.py"]

構建鏡像

創(chuàng)建 Dockerfile 后，您可以使用 docker build 命令構建鏡像。在包含 Dockerfile 的目錄中的終端中執(zhí)行以下命令：

docker build -t your-image-name .

此命令告訴 Docker 使用當前目錄中的 Dockerfile（.）構建鏡像，并為其指定名稱（-t your-image-name）。

檢查鏡像和層

成功構建后，您可以使用 docker image 命令檢查創(chuàng)建的鏡像：

docker image ls

要更仔細地查看鏡像的各個層，請使用 docker history 命令：

docker history your-image-name

要查看鏡像的層，也可以使用 docker inspect 命令：

docker inspect your-image-name

要刪除鏡像，請使用 docker image rm 命令：

docker image rm your-image-name

將鏡像推送到注冊表

構建鏡像后，您可以將其推送到容器注冊表（例如Docker Hub、Google Container Registry等），以輕松分發(fā)和部署應用程序。首先使用您的憑據(jù)登錄注冊表：

docker login

然后，使用注冊表 URL 標記您的鏡像：

docker tag your-image-name username/repository:tag

最后，將已標記的鏡像推送到注冊表：

docker push username/repository:tag

構建容器鏡像是使用 Docker 的重要方面，它使您可以輕松打包和部署應用程序。通過創(chuàng)建具有精確指令的 Dockerfile，您可以輕松地構建和分發(fā)各種平臺的鏡像。

高效的層緩存

在構建容器鏡像時，Docker會緩存新創(chuàng)建的層。這些層可以在構建其他鏡像時重復使用，減少構建時間并最小化帶寬使用。但是，要充分利用這種緩存機制，您需要了解如何有效地使用層緩存。

Docker層緩存的工作原理

Docker為Dockerfile中的每個指令（例如RUN、COPY、ADD等）創(chuàng)建一個新層。如果指令自上次構建以來沒有更改，Docker將重用現(xiàn)有的層。

例如，考慮以下Dockerfile:

FROM node:14WORKDIR /appCOPY package.json /app/RUN npm installCOPY . /app/CMD ["npm", "start"]

第一次構建鏡像時，Docker將執(zhí)行每個指令并為每個指令創(chuàng)建一個新層。如果對應用程序進行了一些更改并再次構建鏡像，Docker將檢查更改的指令是否影響任何層。如果沒有任何層受到更改的影響，Docker將重用緩存的層。

有效使用層緩存的技巧

• 最小化Dockerfile中的更改： 盡量減少Dockerfile中更改的頻率，并以使最常更改的行出現(xiàn)在底部的方式構造指令。
• 構建上下文優(yōu)化： 使用**.dockerignore*文件從構建上下文中排除不必要的文件，這些文件可能會導致緩存失效。
• 使用較小的基礎鏡像： 較小的基礎鏡像減少拉取基礎鏡像所需的時間以及需要緩存的層數(shù)。
• 利用Docker的-cachefrom標志： 如果您正在使用CI / CD流水線，則可以指定要用作緩存源的鏡像。
• 組合多個指令： 在某些情況下，組合指令（例如**RUN*）可以幫助最小化層數(shù)，使緩存更有效。

遵循這些最佳實踐，您可以優(yōu)化層緩存過程并減少Docker鏡像的構建時間，從而使您的開發(fā)和部署過程更加高效。

• Docker層緩存

鏡像大小和安全性

在構建容器鏡像時，了解鏡像大小和安全性非常重要。鏡像的大小會影響容器的構建和部署速度。較小的鏡像可以提高構建速度，并減少下載鏡像時的網(wǎng)絡開銷。安全性也非常重要，因為容器鏡像可能包含漏洞，這可能會對您的應用程序造成風險。

減小鏡像大小

• 使用適當?shù)幕A鏡像：選擇一個更小、更輕量級的基礎鏡像，僅包含應用程序所需的必要組件。例如，如果可用，請考慮使用官方鏡像的“alpine”變量，因為它通常比較小。

FROM node:14-alpine

• 在單個“RUN”語句中運行多個命令：每個“RUN”語句都會在鏡像中創(chuàng)建一個新的層，這會增加鏡像的大小。使用“&&”將多個命令組合到單個“RUN”語句中，以最小化層數(shù)并減小最終鏡像大小。

RUN apt-get update && \\\\    apt-get install -y some-required-package

• 在同一層中刪除不必要的文件：在鏡像構建過程中安裝軟件包或添加文件時，可以在同一層中刪除臨時或未使用的文件，以減小最終鏡像大小。

RUN apt-get update && \\\\    apt-get install -y some-required-package && \\\\    apt-get clean && \\\\    rm -rf /var/lib/apt/lists/*

• 使用多階段構建：使用多階段構建創(chuàng)建更小的鏡像。多階段構建允許您在 Dockerfile 中使用多個“FROM”語句。每個“FROM”語句在構建過程中創(chuàng)建一個新的階段。您可以使用“COPY --from”語句將文件從一個階段復制到另一個階段。

FROM node:14-alpine AS build
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
RUN npm run build

FROM node:14-alpine
WORKDIR /app
COPY --from=build /app/dist ./dist
COPY package*.json ./
RUN npm install --production
CMD ["npm", "start"]

• 使用“.dockerignore”文件：使用“.dockerignore”文件從構建上下文中排除不必要的文件，這些文件可能會導致緩存失效并增加最終鏡像大小。

node_modules
npm-debug.log

提高安全性

• 保持基礎鏡像更新：定期更新您在 Dockerfile 中使用的基礎鏡像，以確保它們包括最新的安全補丁。
• 避免使用 root 運行容器：始終在運行容器時使用非 root 用戶，以最小化潛在風險。在運行應用程序之前，創(chuàng)建一個用戶并切換到該用戶。

RUN addgroup -g 1000 appuser && \\\\    adduser -u 1000 -G appuser -D appuser
USER appuser

• 限制“COPY”或“ADD”指令的范圍：具體說明要復制到容器鏡像中的文件或目錄。避免使用“COPY . .”，因為它可能會意外包含敏感文件。

COPY package*.json ./
COPY src/ src/

• 掃描鏡像以查找漏洞：使用 Anchore 或 Clair 等工具掃描您的鏡像以查找漏洞，并在部署之前修復它們。

遵循這些最佳實踐，您將能夠構建更高效和安全的容器鏡像，從而提高性能并降低應用程序中漏洞的風險。

最后

為了方便其他設備和平臺的小伙伴觀看往期文章，鏈接奉上：

公眾號 Let us Coding，牛客，知乎，開源中國，CSDN，思否，掘金，InfoQ，簡書，博客園，慕課，51CTO，helloworld，騰訊開發(fā)者社區(qū)，阿里開發(fā)者社區(qū)

看完如果覺得有幫助，歡迎點贊、收藏和關注文章來源地址http://www.zghlxwxcb.cn/news/detail-578522.html

到了這里，關于Docker學習路線7：構建容器鏡像的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！