MK
摩柯社区 - 一个极简的技术知识社区
AI 面试

优化容器镜像大小的实用技巧

2023-09-171.3k 阅读

选择基础镜像

在容器镜像优化的旅程中,基础镜像是我们迈出的第一步,也是至关重要的一步。选择一个合适的基础镜像,就如同为高楼大厦打下坚实的地基。

1. 官方基础镜像与轻量级基础镜像

  • 官方基础镜像:许多开发者习惯使用官方提供的基础镜像,比如在基于 Python 开发的项目中,使用 python:latest 这样的官方镜像。这类镜像的优点是具有广泛的兼容性和丰富的软件包,官方也会持续更新维护,安全性相对较高。例如,官方的 Java 基础镜像会根据 Java 版本的发布及时更新,确保开发者能使用到最新的特性和安全补丁。然而,其缺点也较为明显,为了满足各种场景的需求,官方镜像往往内置了大量可能并不需要的工具和依赖,导致镜像体积较大。以 python:latest 为例,它可能包含了多种开发工具、文档以及不同架构的预编译库,即使我们的项目只需要一个简单的 Python 运行环境,这些额外的内容也会被包含在镜像中。
  • 轻量级基础镜像:为了解决官方镜像体积过大的问题,轻量级基础镜像应运而生。像 Alpine Linux 就是一种非常流行的轻量级基础镜像。Alpine Linux 基于 musl libc 和 busybox,设计初衷就是小巧和快速。它的镜像体积通常只有几 MB,相比官方的 Ubuntu 或 CentOS 镜像要小很多。以使用 Python 开发的 Web 应用为例,如果选择 Alpine 作为基础镜像,在安装 Python 运行环境时,可以通过 Alpine 特有的包管理工具 apk 安装精简版的 Python 及其依赖。这样得到的镜像大小可能只有几十 MB,而使用官方 Python 镜像构建的镜像可能会达到几百 MB。

2. 匹配应用需求

在选择基础镜像时,必须紧密结合应用的实际需求。如果应用是一个简单的静态文件服务器,只需要提供文件的 HTTP 访问服务,那么选择 Nginx 官方的轻量级基础镜像就非常合适。例如,nginx:alpine 镜像,它基于 Alpine Linux,体积小巧,并且内置了 Nginx 服务器的核心功能,能快速搭建起静态文件服务。但如果应用是一个复杂的企业级 Java 应用,依赖大量的 Java 类库和特定的系统工具,那么选择 Oracle 官方提供的 Java 基础镜像,并根据应用需求进行定制化配置可能更为合适。即使它的体积较大,但能确保应用在运行时所需的所有依赖和环境都能得到满足。

下面以一个简单的 Node.js 应用为例,展示选择不同基础镜像对镜像大小的影响。

首先,使用官方的 node:latest 镜像:

FROM node:latest
WORKDIR /app
COPY. /app
RUN npm install
EXPOSE 3000
CMD ["node", "app.js"]

构建这个镜像后,通过 docker images 命令查看镜像大小,假设得到的镜像大小为 900MB 左右。

然后,切换到基于 Alpine 的 Node.js 镜像:

FROM node:14-alpine
WORKDIR /app
COPY. /app
RUN npm install
EXPOSE 3000
CMD ["node", "app.js"]

再次构建镜像并查看大小,可能会发现镜像大小缩小到了 150MB 左右。这就是选择合适基础镜像带来的显著效果。

精简镜像内容

在选定了合适的基础镜像后,下一步就是对镜像的内容进行精简,去除不必要的文件和依赖,让镜像轻装上阵。

1. 最小化包安装

  • 只安装必要的包:在安装软件包时,要明确应用所需的最小依赖集。以 Python 应用为例,假设我们开发一个基于 Flask 的 Web 应用,只需要安装 Flask 及其必要的依赖,如 WerkzeugJinja2。在使用 pip 安装包时,避免使用 pip install -r requirements.txt 这种可能会安装大量不必要依赖的方式。如果 requirements.txt 文件中包含了开发时使用的测试框架、代码格式化工具等依赖,而这些在生产环境中并不需要,就会导致镜像体积增大。可以手动列出生产环境所需的依赖,如 pip install flask werkzeug jinja2
  • 避免安装开发工具:开发工具在开发过程中非常有用,但在生产镜像中是多余的。例如,在 C++ 开发中,编译器(如 g++)、调试器(如 gdb)等工具在应用构建完成后就不再需要。在基于 Ubuntu 的镜像构建过程中,如果执行了 apt - get install build - essential 命令来安装编译工具链,这些工具会显著增加镜像体积。在镜像构建完成后,应该将这些开发工具从镜像中删除。可以在安装完应用运行所需的包后,通过 apt - get remove --purge build - essential 命令来删除这些工具。

2. 清理包管理器缓存

  • APT 缓存清理:对于基于 Debian 或 Ubuntu 的镜像,使用 apt - get 安装包时会在本地缓存下载的包文件。这些缓存文件在安装完成后就不再需要,但会占用大量空间。在安装完所有需要的包后,执行 apt - get clean 命令可以清理这些缓存。例如,在构建一个基于 Ubuntu 的 Python 应用镜像时,先执行 apt - get update && apt - get install - y python3 python3 - pip 安装 Python 和 pip,然后执行 apt - get clean,可以看到镜像构建过程中缓存占用的空间被释放。
  • Yum 缓存清理:在基于 Red Hat 或 CentOS 的镜像中,使用 yum 包管理器也会有类似的缓存问题。安装完包后,执行 yum clean all 命令可以清理 yum 的缓存。例如,在构建一个基于 CentOS 的 Java 应用镜像,安装完 Java 开发包后,运行 yum clean all,能有效减少镜像体积。

3. 删除不必要的文件

  • 临时文件:在镜像构建过程中,可能会产生一些临时文件,如编译过程中的中间文件、打包时生成的临时存档等。这些文件在应用运行时没有任何作用,应该及时删除。例如,在构建 Go 语言应用镜像时,编译过程会生成 *.o 文件和 _obj 目录,这些临时文件可以在编译完成后使用 rm -rf _obj && rm -f *.o 命令删除。
  • 文档和示例:许多软件包在安装时会包含文档和示例文件,这些文件虽然在开发和学习过程中有帮助,但在生产镜像中是多余的。例如,Python 的 numpy 包安装后会包含大量的文档文件,位于 site - packages/numpy/doc 目录下。可以在安装完 numpy 后,执行 rm -rf /usr/local/lib/python3.*/site - packages/numpy/doc 命令删除这些文档文件。

下面以一个基于 Python 和 Flask 的 Web 应用为例,展示精简镜像内容的过程。

初始的 Dockerfile 如下:

FROM python:3.9
WORKDIR /app
COPY requirements.txt.
RUN pip install -r requirements.txt
COPY. /app
EXPOSE 5000
CMD ["python", "app.py"]

假设 requirements.txt 文件内容为:

flask
pytest
flake8

这里 pytestflake8 是开发时使用的工具,生产环境并不需要。

优化后的 Dockerfile:

FROM python:3.9
WORKDIR /app
# 只安装生产环境需要的包
COPY production - requirements.txt.
RUN pip install -r production - requirements.txt
# 清理pip缓存
RUN pip cache purge
COPY. /app
EXPOSE 5000
CMD ["python", "app.py"]

其中 production - requirements.txt 文件内容为:

flask

同时,在应用代码目录中,如果存在临时文件或不必要的文档,在 COPY 命令之前将其删除。通过这样的优化,镜像体积会明显减小。

多阶段构建

多阶段构建是 Docker 提供的一项强大功能,它允许我们在多个阶段中构建镜像,每个阶段都可以基于不同的基础镜像,并且可以选择性地将前一阶段的构建产物复制到后续阶段,从而实现镜像的高度精简。

1. 构建阶段与运行阶段分离

  • 构建阶段:在构建阶段,我们可以使用功能丰富但体积较大的基础镜像,以便安装编译工具、下载依赖等操作。例如,在构建一个基于 Golang 的应用镜像时,我们可以使用官方的 golang:latest 镜像作为构建阶段的基础镜像。在这个阶段,我们可以执行 go get 命令下载项目的所有依赖,并使用 go build 命令进行编译。例如:
FROM golang:latest AS builder
WORKDIR /app
COPY. /app
RUN go get -d -v && go build -o myapp

这里 AS builder 为这个阶段命名为 builder,在这个阶段,我们利用 golang:latest 镜像提供的完整 Go 开发环境完成项目的编译工作。

  • 运行阶段:运行阶段则使用轻量级的基础镜像,只需要将构建阶段生成的可执行文件和必要的配置文件复制过来即可。继续以上面的 Go 应用为例,运行阶段可以这样写:
FROM alpine:latest
WORKDIR /app
COPY --from = builder /app/myapp.
EXPOSE 8080
CMD ["./myapp"]

这里 --from = builder 表示从名为 builder 的构建阶段复制文件。通过这种方式,运行阶段的镜像只包含应用运行所需的可执行文件和必要的配置,体积大大减小。

2. 多阶段构建的优势

  • 镜像体积大幅减小:通过将构建和运行阶段分离,运行阶段的镜像不再包含编译工具、开发依赖等不必要的内容,从而使镜像体积显著减小。例如,一个使用 Python 和 numpy 库的数据分析应用,在单阶段构建时,由于需要安装 numpy 的编译依赖(如 gccgfortran 等),镜像体积可能达到几百 MB。而使用多阶段构建,构建阶段使用包含编译工具的基础镜像,运行阶段只复制 numpy 的预编译库和应用代码,镜像体积可能会减小到几十 MB。
  • 安全性提高:运行阶段的镜像只包含运行应用所需的最小内容,减少了潜在的攻击面。因为编译工具和开发依赖中可能存在安全漏洞,如果这些内容存在于运行镜像中,就增加了应用被攻击的风险。而多阶段构建将这些不必要的内容排除在运行镜像之外,提高了应用的安全性。

下面以一个基于 Java 和 Spring Boot 的 Web 应用为例,展示多阶段构建的完整过程。

构建阶段:

FROM maven:3.8.1 - openjdk - 11 AS builder
WORKDIR /app
COPY pom.xml.
RUN mvn dependency:go - off - line
COPY src src
RUN mvn package - DskipTests

在这个阶段,使用 maven:3.8.1 - openjdk - 11 镜像,先下载项目的依赖,然后进行打包,生成最终的可执行 JAR 文件。

运行阶段:

FROM adoptopenjdk:11 - jre - alpine
WORKDIR /app
COPY --from = builder /app/target/*.jar app.jar
EXPOSE 8080
CMD ["java", "-jar", "app.jar"]

这里使用 adoptopenjdk:11 - jre - alpine 轻量级镜像,只将构建阶段生成的 JAR 文件复制过来,启动应用。通过多阶段构建,这个 Spring Boot 应用的镜像体积相比单阶段构建有了明显的减小,同时安全性也得到了提升。

分层与缓存

Docker 镜像的分层结构和缓存机制是优化镜像构建和大小的重要因素,合理利用它们可以显著提高构建效率和减小镜像体积。

1. 理解 Docker 镜像分层

  • 分层结构:Docker 镜像由一系列只读层组成,每一层都是在前一层的基础上进行修改。当我们执行 docker build 命令时,每一个 RUNCOPYADD 等指令都会创建一个新的层。例如,在一个简单的 Dockerfile 中:
FROM ubuntu:latest
RUN apt - get update
RUN apt - get install - y python3
COPY. /app
RUN pip install - r /app/requirements.txt

这里 FROM 指令基于 ubuntu:latest 镜像创建了第一层,第一个 RUN 指令执行 apt - get update 创建了第二层,第二个 RUN 指令安装 Python3 创建了第三层,COPY 指令创建了第四层,最后一个 RUN 指令安装 Python 依赖又创建了一层。这些层叠加在一起构成了最终的镜像。

  • 写时复制:Docker 使用写时复制(Copy - on - Write,COW)技术来管理这些分层。当容器基于镜像启动时,容器的读写层是在镜像的只读层之上创建的。如果容器需要修改文件,Docker 会将该文件从只读层复制到读写层,然后在读写层进行修改,而不会影响只读层。这使得多个容器可以共享相同的镜像只读层,从而节省空间。

2. 利用缓存优化构建

  • 缓存规则:Docker 构建过程中会根据指令的内容和上下文来判断是否可以使用缓存。如果一个 RUNCOPYADD 指令与之前构建时的指令完全相同(包括指令中的参数和上下文),并且之前构建时该指令的结果已经缓存,那么 Docker 会直接使用缓存,而不会重新执行该指令。例如,如果在构建镜像时,RUN apt - get install - y python3 指令在之前的构建中已经执行并缓存,且在本次构建中 apt - get 源没有变化,那么本次构建会直接使用缓存,跳过该指令的执行,从而加快构建速度。
  • 优化缓存使用:为了更好地利用缓存,我们应该将不经常变化的指令放在前面,将经常变化的指令放在后面。例如,在安装 Python 应用依赖时,如果 requirements.txt 文件变化频繁,而应用代码变化相对较少,我们应该先 COPY requirements.txt.,然后 RUN pip install - r requirements.txt,最后再 COPY. /app。这样,当应用代码变化时,pip install 指令可以利用缓存,只有 COPY. /app 指令需要重新执行,加快了构建速度。同时,在更新 requirements.txt 文件后,RUN pip install - r requirements.txt 指令会因为文件内容变化而重新执行,但之前安装的其他系统包等指令仍然可以使用缓存。

3. 减少层的数量

虽然 Docker 的分层结构有诸多优点,但过多的层也会增加镜像的大小和构建时间。在编写 Dockerfile 时,尽量合并一些相关的指令。例如,不要将 apt - get updateapt - get install 分成两个 RUN 指令,而是合并成一个:RUN apt - get update && apt - get install - y python3。这样可以减少一层的创建,同时也能更好地利用缓存,因为如果只执行 apt - get update 并缓存,下次构建时即使 apt - get install 的包没有变化,由于 apt - get update 指令单独缓存,也会导致 apt - get install 不能利用缓存而重新执行。

下面以一个简单的 Node.js 应用为例,展示如何通过合理利用分层和缓存来优化镜像构建和大小。

初始的 Dockerfile:

FROM node:14 - alpine
WORKDIR /app
COPY. /app
RUN npm install
EXPOSE 3000
CMD ["node", "app.js"]

在这个 Dockerfile 中,如果应用代码经常变化,每次 COPY. /app 指令执行都会导致 npm install 不能利用缓存,因为上下文发生了变化。

优化后的 Dockerfile:

FROM node:14 - alpine
WORKDIR /app
COPY package.json.
COPY package - lock.json.
RUN npm install
COPY. /app
EXPOSE 3000
CMD ["node", "app.js"]

这里先复制 package.jsonpackage - lock.json 文件,执行 npm install,然后再复制整个应用代码。这样,当应用代码变化时,npm install 可以利用缓存,加快构建速度,同时也通过合理的分层减少了不必要的缓存失效,对镜像大小的控制也有帮助。

使用压缩技术

在完成了前面几个方面的优化后,我们还可以通过使用压缩技术进一步减小容器镜像的大小,使其在存储和传输过程中占用更少的空间。

1. 镜像压缩工具

  • Docker 内置压缩:Docker 本身支持对镜像进行压缩。当我们使用 docker save 命令将镜像保存为 tar 文件时,可以使用 --output 选项指定输出文件,并结合系统的压缩工具(如 gzip)对输出文件进行压缩。例如,要将名为 my - app:latest 的镜像保存并压缩,可以执行以下命令:
docker save my - app:latest | gzip > my - app - latest.tar.gz

这样生成的 my - app - latest.tar.gz 文件相比未压缩的 tar 文件大小会显著减小。在需要将镜像传输到其他环境时,传输这个压缩文件可以节省带宽和传输时间。当在目标环境中使用镜像时,先使用 gunzip 解压文件,然后再使用 docker load 命令加载镜像:

gunzip < my - app - latest.tar.gz | docker load
  • 其他第三方工具:除了 Docker 内置的压缩方式,还有一些第三方工具可以对 Docker 镜像进行更深入的压缩。例如,docker - image - optimizer 工具,它可以分析镜像的层结构,删除未使用的文件和元数据,并对剩余内容进行更高效的压缩。使用该工具时,先安装 docker - image - optimizer,然后执行以下命令对镜像进行优化压缩:
docker - image - optimizer my - app:latest

该工具会生成一个优化后的镜像,通常大小会比原始镜像更小。

2. 运行时压缩

  • 压缩文件系统:在容器运行时,可以选择使用压缩文件系统来进一步减少磁盘空间的占用。例如,SquashFS 是一种只读的压缩文件系统,它可以将整个文件系统压缩成一个单一的文件,并且在运行时可以直接挂载使用。在构建容器镜像时,可以将应用文件系统构建为 SquashFS 格式,然后在容器启动时挂载该文件系统。虽然 SquashFS 是只读的,但可以通过联合挂载(如使用 overlay2 文件系统)的方式,在 SquashFS 文件系统之上创建一个读写层,满足容器运行时的读写需求。
  • 动态数据压缩:对于容器运行时产生的动态数据,如日志文件等,可以使用动态数据压缩技术。例如,在应用中配置日志记录时,可以选择使用压缩格式记录日志,如 gzip 压缩格式。许多日志框架都支持将日志文件按一定时间间隔进行压缩归档。这样在容器运行过程中,随着日志的不断产生,压缩后的日志文件占用的空间会比未压缩的日志文件小很多,有助于控制容器内数据的存储大小。

下面以一个简单的 Python 应用为例,展示使用 Docker 内置压缩的过程。

假设我们已经构建好了一个名为 python - app:latest 的镜像。首先,使用 docker savegzip 进行压缩:

docker save python - app:latest | gzip > python - app - latest.tar.gz

查看压缩前后的文件大小,假设未压缩的 tar 文件大小为 200MB,压缩后的 python - app - latest.tar.gz 文件大小可能只有 50MB 左右。

然后,在目标环境中解压并加载镜像:

gunzip < python - app - latest.tar.gz | docker load

通过这种方式,在镜像的存储和传输过程中,有效减小了所需的空间。

持续监控与优化

容器镜像的优化不是一次性的工作,而是一个持续的过程。随着应用的发展和环境的变化,我们需要不断监控镜像的大小和性能,并进行相应的优化。

1. 监控镜像大小

  • 定期检查:建立一个定期检查镜像大小的机制,可以使用脚本结合 docker images 命令来获取镜像的大小信息。例如,编写一个简单的 shell 脚本 check_image_size.sh
#!/bin/bash
image_name = "my - app:latest"
size = $(docker images | grep $image_name | awk '{print $5}')
echo "The size of $image_name is $size"

通过定时任务(如使用 cron)定期执行这个脚本,可以及时发现镜像大小的变化。如果发现镜像大小突然增大,就需要进一步分析原因,可能是引入了新的依赖、未清理的文件等。

  • 集成到 CI/CD 流程:将镜像大小监控集成到持续集成/持续交付(CI/CD)流程中。在镜像构建完成后,通过脚本获取镜像大小,并与设定的阈值进行比较。例如,在 GitLab CI/CD 中,可以在 .gitlab - ci.yml 文件中添加如下脚本:
image - build:
  stage: build
  script:
    - docker build - t my - app:latest.
    - size = $(docker images | grep my - app:latest | awk '{print $5}')
    - threshold = "500MB"
    - if [[ $size > $threshold ]]; then
        echo "Image size exceeds threshold. Please optimize."
        exit 1
      else
        echo "Image size is within acceptable range."
      fi

这样,当镜像大小超过阈值时,CI/CD 流程会失败,提醒开发者进行优化。

2. 性能监控与优化

  • 资源使用监控:使用工具如 cAdvisorPrometheus + Grafana 来监控容器的资源使用情况,包括 CPU、内存、磁盘 I/O 和网络 I/O 等。如果发现容器在运行时占用过多的资源,可能是镜像中存在性能问题,如内存泄漏、低效的代码算法等。例如,通过 Prometheus 采集容器的内存使用指标,在 Grafana 中绘制内存使用曲线,如果发现内存使用持续上升且不释放,就需要对应用代码进行分析,找出内存泄漏的原因。
  • 启动时间优化:监控容器的启动时间,如果启动时间过长,可能是镜像初始化过程中执行了过多不必要的操作。可以通过在 Dockerfile 中优化启动脚本,减少启动时加载的服务和配置,从而加快容器的启动速度。例如,在一个基于 Python 和 Flask 的 Web 应用中,如果启动脚本在启动时加载了大量不必要的配置文件或执行了复杂的初始化逻辑,可以将这些操作进行优化,只在真正需要时执行,从而缩短容器的启动时间。

3. 优化反馈与改进

  • 团队协作:建立一个团队协作机制,当开发者发现镜像大小或性能问题时,能够及时反馈给整个团队。通过团队讨论,分析问题的原因,并制定相应的优化方案。例如,开发者 A 在开发新功能时发现镜像大小增加过多,他可以将这个问题反馈到团队沟通群中,团队成员一起分析是新功能引入的依赖导致的,还是构建过程中的问题,然后共同确定解决方案,如优化依赖安装方式或调整多阶段构建的步骤。
  • 记录优化过程:记录每次镜像优化的过程和结果,形成文档。这样在后续的项目中,如果遇到类似的问题,可以参考之前的优化经验。同时,也有助于团队成员了解项目镜像优化的历史,更好地进行持续优化工作。例如,记录下使用轻量级基础镜像替换官方基础镜像后镜像大小的变化,以及在多阶段构建中不同阶段的优化细节等。

通过持续监控与优化,我们可以确保容器镜像始终保持最佳的大小和性能,为应用的高效运行提供有力保障。