镜像命名规范
镜像地址:镜像仓库/项目名/镜像名:标签名
- 项目名,公共项目使用名称:base,并设置为公开;其它项目使用英文小写项目名,设置为私有。
- 镜像名中应该包含使用的组件名称及版本信息,使用
-
连接。- 基础镜像命名规则
基础镜像命名应按照操作系统大版本:版本号-构建版本的格式命名,例如:base/rehl7:7.6-1
- 公共镜像全名规则
公共镜像命名应按照服务名-中间件-上级中间件:服务版本号-中间件
版本号-上级中间件版本号-构建版本的格式命名,中间件名称可以包含大版本号,例如:base/tomcat8-openjdk8:8.5.23-jre8u212-1
- 应用命名规则
使用格式:系统-模块:系统版本-模块版本-构建版本,例如:sys/sys-rs:1.1-1.1-1
- 基础镜像命名规则
- 同一应用镜像在以上标签的规则下,还可以根据发布流程设置多个标签,以满足部署时版本依赖的管理要求。例如
sys/sys-rs:v1
代表v1.x
的最新版本。
镜像制作规范
- 关键字使用大写
- FROM镜像,指定明确的Tag,不要使用latest
- 发布向后兼容的镜像可以使用同一个Tag号,否则使用新的Tag号
- 尽量将命令放在同一个RUN命令下,减少层数
- 镜像中避免多进程,如果一定要使用,请引入tini命令,用来管理进程
RUN yum install tini -y && yum clean all -y
ENTRYPOINT ['tini', '--']
- 尽量使用exec,使真正应用的进程ID为1
- 清理临时文件,如yum install后需要执行yum clean all -y
- 优化Dockerfile命令的顺序,尽量把不变的放在前面
- 使用WORKDIR指定工作目录,避免绝对路径扩散
- 使用 set -o pipefail 避免管道错误被忽略
RUN set -o pipefail && wget -O - https://some.site | wc -l > /number
- 优先使用COPY,比ADD更简单明了
- 始终暴露重要端口
- 习惯使用环境变量,同时在Dockerfile中为环境变量设置默认值
ENV APP_PORT=8761
- 避免设置默认密码
- 镜像中不要安装sshd
- 使用volume显示设置挂载点,以方便镜像的使用者知道需要如何定义存储卷
- 支持任一用户运行,对于需要访问的目录文件执行以下命令更新权限
RUN chgrp -R 0 /some/directory && \
chmod -R g+rwX /some/directory
Dockerfile的最后使用USER指定数字用户
USER 1001
- 容器内部应用使用Service访问k8s/OCP平台的其他服务。
- 应用基础镜像应该安装公用的依赖库
- 为镜像设置元数据,例如说明镜像的用途等,UI界面可以根据这些元数据进行定制功能
LABEL io.openshift.tags="mongodb,mongodb24,nosql" \
io.openshift.min-memory="8Gi" \
io.openshift.min-cpu"=4" \
io.openshift.non-scalable"=true" \
io.k8s.description="The MySQL 5.5 Server with master-slave replication support" \
io.openshift.wants="mongodb,redis"
- 尽量将应用的日志以标准输出的形式输出,这样可以被容器平台统一收集管理。
- 镜像中为应用准备好健康检查的探针,方便容器平台对应用进行健康检查。
下图为使用EXEC
格式与SHELL
格式,执行ENTRYPOINT CMD的区别。
OpenShift官方文档——镜像构建规范
Dockerfile最佳实践
ENTRYPOINT 入口点
dockerfile最佳实践
常用的Dockerfile镜像地址
nginx的Dockerfile实例:把日志输出到标准输出
RUN ln -sf /dev/stdout /var/log/nginx/access.log \
&& ln -sf /dev/stderr /var/log/nginx/error.log