镜像 Cache 机制

注意事项：

1. ADD 命令与 COPY 命令
Dockerfile 中的 ADD 和 COPY 命令会检查指定文件的内容变化。Docker 通过计算文件的唯一 hash 值来判断文件内容是否改变（MD5sum）。如果 hash 值未变，则认为文件内容未变，可以继续使用缓存；否则，缓存将失效。

2. RUN 命令存在外部依赖
当 RUN 命令涉及外部依赖（如 RUN apt-get update），由于软件源的更新，缓存可能会导致不满足用户需求的情况。用户可以使用 --no-cache 参数来确保获取最新的外部依赖，例如：

3. 优化 Dockerfile 以利用缓存
为了更好地利用 Docker 的缓存机制，建议将静态的安装和配置命令尽可能放在 Dockerfile 的前部。这样可以确保这些静态内容在变化较少的情况下，后续的构建步骤能够更有效地利用缓存。

传统构建流程

多阶段构建

multi-stage

旧版本的 docker 是不支持 multi-stage 的，只有 17.05 以及之后的版本才开始支持

distroless

Google 内部精简镜像

GitHub - GoogleContainerTools/distroless: 🥑 Language focused docker images, minus the operating system.

🥑 Language focused docker images, minus the operating system. - GitHub - GoogleContainerTools/distroless: 🥑 Language focused docker images, minus the operating system.

https://github.com/GoogleContainerTools/distroless

Dockerfile 最佳实践 BP

Dockerfile 的最佳实践是为了确保构建的 Docker 镜像更小、更高效、更安全、更易于维护。

目标

• 易管理

• 少漏洞

• 镜像小

• 层级少

• 利用缓存

1. 置于独立目录 & 使用 .dockerignore 文件
使用 Dockerfile 构建镜像时最好是将其放置在一个新建的空目录下。然后将构建镜像所需要的文件添加到该目录中。为了提高构建镜像的效率，可在目录下新建一个 .dockerignore 文件来指定要忽略的文件和目录。

2. 使用多阶段构建
可使用多阶段构建来减少所构建镜像的大小以及层数。

3. 避免安装不必要的包
为了降低复杂性、减少依赖、减小文件大小、节约构建时间，应避免安装任何不必要的包。

4. 一个容器只运行一个进程
理想情况应保证在一个容器中只运行一个进程。将多个应用解耦到不同容器中，保证了容器的横向扩展和复用。如果无法避免同一镜像运行多进程，应选择合理的初始化进程（init process）。

5. 镜像层数尽可能少
需在 Dockerfile 可读性（也包括长期的可维护性）和减少层数之间做一个平衡。
• 只有 RUN、COPY、ADD 指令会创建新层，其他指令创建临时层，不会增加镜像大小。
• 使用连接符 && 将多条 RUN 命令连接成一条指令集，以减少层数。

6. RUN 指令
为了保持 Dockerfile 文件的可读性，可理解性，以及可维护性，建议将长的或复杂的 RUN 指令用反斜杠 \ 分割成多行。

7. 将多行参数排序
将多行参数按字母顺序排序。可以减少可能出现的重复参数（比如安装多个包时的软件包名）。也便于阅读和审查，提高可读性。

8. 使用构建缓存
在镜像的构建过程中，Docker 会遍历 Dockerfile 中的指令，然后顺序执行。执行前 Docker 都会在缓存中查找。故编写 Dockerfile 时，应将变更频率低的编译指令优先构建，放在镜像底层，有效利用 build cache 。

9. 选择最优的基础镜像
尽可能使用官方仓库作为构建镜像的基础。 选择可以满足业务需求最优的 base image，以确保镜像大小和功能的最优平衡。推荐使用较小的 Alpine 镜像以及 distroless 的镜像。

10. 独立复制文件
复制文件时，每个文件应独立复制，这确保某个文件变更时，只影响该文件对应的缓存。