來自官方映像的 6 個 Dockerfile 技巧

1. 選擇Debian 

　　官方鏡像的大多數Dockerfile，不管是直接還是通過其他鏡像，都是基于Debian的。Dockerfile版本通常跟特定的發行版掛鉤，正常是使用穩定版(wheezy)，有些是測試版(jessie)，還有是不穩定版(sid)。Debian鏡像的主要好處是文件小，加起來才85.1MB，而Ubuntu要200MB。指定準確的發行版可以預防一些問題，比如，即使標上latest的發行版升級了，構建也不會崩潰。 

　　2. 確定來源 

　　如果要用戶信賴你的鏡像，你就要考慮如果驗證此鏡像上的所有軟件的真實性。如果通過apt-get方式從Debian的倉庫獲取，這個驗證過程已經被解決了。如果從網上下載文件，或者從第三方倉庫安裝軟件，你就應該通過校驗和、數字簽名等方式驗證這些文件。比如，為了驗證nginx包，nginx的Dockerfile會做如下操作： 

　　RUN apt-key adv --keyserver pgp.mit.edu --recv-keys 573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62 

　　RUN echo "deb http://nginx.org/packages/mainline/debian/ wheezy nginx" >> /etc/apt/sources.list

　　ENV NGINX_VERSION 1.7.7-1~wheezy 

　　RUN apt-get update && apt-get install -y nginx=${NGINX_VERSION} 

　　注意nginx也是跟一個特定的版本關聯的。這種做法可以保證，維護者測試的鏡像跟構建工具構建的是相同的。但是，這個假設也不是絕對的，因為nginx本身的依賴也會隨時間變化(比如有些依賴會標明>=某個版本)。 

　　你自己也可以對下載的文件做相似的操作，計算文件校驗和，然后跟本地版本(stored version)比較。這些操作都由Redis Dockerfile做過了。另外，有些下載的文件可能包含簽名文件，你可以通過gpg來驗證，通常這些操作都由官方鏡像做過了。 

　　不幸的是，一些官方鏡像也沒能定期正確地進行這些驗證操作，或者只驗證了部分文件，所以查看官方Dockerfile時要注意下。 

　　3. 移除構建依賴 

　　如果通過源碼編譯構建，你的鏡像通常比需要的大很多?？赡艿脑?，在同一條RUN指令中，安裝構建工具、構建軟件，然后移除構建工具。雖然這樣做又詭異又惱人，但是可以省下幾百MB空間。在不同的指令中刪除文件是沒有意義的，因為這些文件已經被打包進鏡像了。我們看下Redis Dockerfile是怎么做的： 

　　RUN buildDeps='gcc libc6-dev make'; \ 

　　set -x \ 

　　&& apt-get update && apt-get install -y $buildDeps --no-install-recommends \ 

　　&& rm -rf /var/lib/apt/lists/* \ 

　　&& mkdir -p /usr/src/redis \ 

　　&& curl -sSL "$REDIS_DOWNLOAD_URL" -o redis.tar.gz \ 

　　&& echo "$REDIS_DOWNLOAD_SHA1 *redis.tar.gz" | sha1sum -c - \ 

　　&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \ 

　　&& rm redis.tar.gz \ 

　　&& make -C /usr/src/redis \ 
    
　　&& make -C /usr/src/redis install \ 

　　&& ln -s redis-server "$(dirname "$(which redis-server)")/redis-sentinel" \ 
        http://cda.pinggu.org/
　　&& rm -r /usr/src/redis \ 

　　&& apt-get purge -y --auto-remove $buildDeps 

　　gcc, libc和make在同一條指令中先被安裝，使用，然后被刪掉。另外注意下，作者還刪除了不會被使用的tar.gz源文件夾。順帶提下，這些代碼也演示了如何使用sha1sum來驗證Redis下載文件的校驗和。 

　　4. 選擇gosu 

　　gosu實用工具，通常用在ENTRYPOINT指令調用的腳本中，這些ENTRYPOINT指令位于官方鏡像的Dockerfile中。它是個類sudo的簡單工具，接受并運行特定用戶的特定指令。但是gosu可以避免sudo怪異惱人的TTY和信號轉發(signal-forwarding)行為。 

　　看下這篇編寫入口點腳本的官方建議https://docs.docker.com/articles/dockerfile_best-practices/，大多數官方鏡像都遵循該建議。 

　　5. 選擇buildpack-deps基礎鏡像 

　　很多Docker的"language-stack"鏡像都是基于 buildpack-deps 基 礎鏡像，該鏡像包含了通常開發所必須的頭文件和工具（比如源碼管理工具）。如果你想構建一個language-stack鏡像，使用這個基礎鏡像可以省下 不少時間。但是向鏡像添加非必須的東西也遭受了很多批評，這導致了一些倉庫，如Node提供了直接基于Debian的可選slim包(完整的Node鏡像 有728MB，slim只有291.4MB)。但是記住用戶可能需要某些開發庫，同時也通過某種途徑下載了基礎鏡像。 

　　6. 使用描述性標簽 

　　所有的官方鏡像都提供了很多標簽。像latest標簽一樣，提供一個版本標簽是種好做法，這樣用戶就不用擔心基礎鏡像變更而破壞容器。官方鏡像做了更多， 提供了上文提及的精簡slim鏡像，以及自動導入和編譯的onbuild鏡像。鏡像打上onbuild標簽，即使轉移代碼再編譯，來新建子鏡像，用戶也不會太意外。