上一期咱们介绍了几种常见的构建镜像形式,并给出了性能比照、决策树等作为选型参考。本期咱们将演示如何应用 Alpine 构建一个 Redis 镜像。
Alpine 零碎应用 apk 包管理工具,文中相干 apk 应用技巧不再赘述。
咱们将构建镜像 Dockerfile 中的几个局部独自解说,最初提供一个残缺的 Demo。重点在如何应用 Alpine,Redis 镜像构建步骤此文不具体介绍。
文章纲要:
- 更换镜像源
- 构建镜像所需软件
- 启动服务
- 调整时区
- 蕴含 1- 4 的残缺镜像构建 Demo
更换镜像源
首先,为了在本地更晦涩的部署,能够更换更晦涩的镜像源。咱们这里将 apk 的软件包镜像源批改为中科大镜像源。
RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.ustc.edu.cn/g' /etc/apk/repositories
构建镜像所需软件
构建镜像时,只一些只有构建时才须要的文件 / 软件。比方 gcc 只有编译时候才会用到;wget 用于下载文件;传统 yum/apt 须要用完后手动卸载软件和依赖,还要本人清理临时文件。而 Alpine 的 apk 能够用起来更不便。
- –no-cache: 不应用缓存目录缓存,装完也不保留缓存。
- –virtual .build-deps: 不实在装置,将软件装置到虚构包 .build-deps 中,不便 del 时一口气卸载所有包。
- –no-network: 不应用网络。
RUN set -eux; \
\
apk add --no-cache --virtual .build-deps \
coreutils \
wget \
dpkg-dev dpkg \
gcc \
linux-headers \
make \
musl-dev \
openssl-dev ;\
#########################################
#
# 构建局部
#
#########################################
apk del --no-network .build-deps;
启动服务
通常咱们启动镜像前须要应用 shell 调整下启动状态,做筹备。比方:生成配置文件,查看门路挂载等等。而后再拉起服务,但会遇到两个问题:
- 普通用户权限不够,必须启动 root,但应用 root 启动服务又不平安。
- 应用 shell 启动过程会导致 shell 过程自身 PID 为 1。而咱们所启动服务 PID 不是 1,这就会导致服务自身接管不到 SIGTERM 信号而失常敞开。
解决方案
-
应用
su-exec
指定特定权限。- 这须要应用 apk 命令装置,上面有示例。
- 须要提前创立好相应账号。
-
应用
exec
命令将启动的服务过程替换以后过程,从而将 PID=1 传递给服务过程。阐明: 这里应用 su-exec 而不应用 sudo 的起因是传统 sudo 会新创建出一个过程运行服务,导致 PID 不能为 1,进而导致无奈接管到 signal 信号而失常敞开服务。
示例
Dockerfile 内容如下:
FROM alpine:3.16
# 创立用户
RUN addgroup -S -g 1000 redis && adduser -S -G redis -u 999 redis
# 装置 su-exec 命令
RUN apk add --no-cache 'su-exec>=0.2'
############################################################
#
# 其它部署 内容
#
############################################################
ENTRYPOINT ["/usr/bin/entrypoint.sh"]
/usr/bin/entrypoint.sh
内容如下:
#!/bin/sh
set -e
############################################################
#
# 启动筹备脚本内容
#
############################################################
# 最终启动命令
exec su-exec redis redis-server "$@"
调整时区
因为 Alpine 零碎的时区是 UTC,作者须要设置为上海。能够用如下形式调整时区。
RUN apk add --no-cache tzdata ;\
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
如果对镜像精简要求比拟高,能够调整时区后,删除时区软件包,这也会导致当前很难再批改时区。
RUN apk add --no-cache --virtual .build-tzdata tzdata ; \
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime ;\
apk del .build-tzdata;
残缺 Demo
咱们将以上局部整顿为一个残缺的 Redis 镜像构建 Demo(Redis 版本 6.2.7)。
Dockerfile 文件
FROM alpine:3.16
RUN addgroup -S -g 1000 redis && adduser -S -G redis -u 999 redis
# 改为中科大镜像源
RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.ustc.edu.cn/g' /etc/apk/repositories
# 调整时区
RUN apk add --no-cache --virtual .build-tzdata tzdata ; \
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime ;\
apk del .build-tzdata;
RUN apk add --no-cache \
'su-exec>=0.2' \
tzdata
ENV REDIS_VERSION 6.2.7
ENV REDIS_DOWNLOAD_URL http://download.redis.io/releases/redis-6.2.7.tar.gz
ENV REDIS_DOWNLOAD_SHA b7a79cc3b46d3c6eb52fa37dde34a4a60824079ebdfb3abfbbfa035947c55319
# 编译 Redis 相干镜像
RUN set -eux; \
\
# 应用 --virtual 将软件包虚构装置到 .build-deps 空间下, 之后会被打包
# 应用 --no-cache 不会留下缓存文件
apk add --no-cache --virtual .build-deps \
coreutils \
dpkg-dev dpkg \
gcc \
linux-headers \
make \
musl-dev \
openssl-dev \
wget \
; \
\
wget -O redis.tar.gz "$REDIS_DOWNLOAD_URL"; \
echo "$REDIS_DOWNLOAD_SHA *redis.tar.gz" | sha256sum -c -; \
mkdir -p /usr/src/redis; \
tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1; \
rm redis.tar.gz; \
\
# 禁用 Redis 的保护模式
grep -E '^ *createBoolConfig[(]"protected-mode",.*, *1 *,.*[)],$' /usr/src/redis/src/config.c; \
sed -ri 's!^(*createBoolConfig[(]"protected-mode",.*, *)1(*,.*[)],)$!\10\2!' /usr/src/redis/src/config.c; \
grep -E '^ *createBoolConfig[(]"protected-mode",.*, *0 *,.*[)],$' /usr/src/redis/src/config.c; \
\
# 获取 CPU 架构
gnuArch="$(dpkg-architecture --query DEB_BUILD_GNU_TYPE)"; \
extraJemallocConfigureFlags="--build=$gnuArch"; \
dpkgArch="$(dpkg --print-architecture)"; \
case "${dpkgArch##*-}" in \
amd64 | i386 | x32) extraJemallocConfigureFlags="$extraJemallocConfigureFlags --with-lg-page=12" ;; \
*) extraJemallocConfigureFlags="$extraJemallocConfigureFlags --with-lg-page=16" ;; \
esac; \
extraJemallocConfigureFlags="$extraJemallocConfigureFlags --with-lg-hugepage=21"; \
# 依据架构调整 Makefile 文件
grep -F 'cd jemalloc && ./configure' /usr/src/redis/deps/Makefile; \
sed -ri 's!cd jemalloc && ./configure !&'"$extraJemallocConfigureFlags"'!' /usr/src/redis/deps/Makefile; \
grep -F "cd jemalloc && ./configure $extraJemallocConfigureFlags" /usr/src/redis/deps/Makefile; \
\
# 编译 Redis
export BUILD_TLS=yes; \
make -C /usr/src/redis -j "$(nproc)" all; \
make -C /usr/src/redis install; \
\
# Redis
serverMd5="$(md5sum /usr/local/bin/redis-server | cut -d' '-f1)"; export serverMd5; \
find /usr/local/bin/redis* -maxdepth 0 \
-type f -not -name redis-server \
-exec sh -eux -c ' \
md5="$(md5sum"$1"| cut -d" "-f1)"; \
test "$md5" = "$serverMd5"; \
'--'{}'';' \
-exec ln -svfT 'redis-server' '{}' ';' \
; \
\
rm -r /usr/src/redis; \
\
runDeps="$( \
scanelf --needed --nobanner --format '%n#p' --recursive /usr/local \
| tr ',' '\n' \
| sort -u \
| awk 'system("[ -e /usr/local/lib/"$1"]") == 0 {next} {print"so:"$1}' \
)"; \
apk add --no-network --virtual .redis-rundeps $runDeps; \
# 基于后面装置卸载 .build-deps 虚构包
apk del --no-network .build-deps; \
\
redis-cli --version; \
redis-server --version
RUN mkdir /data && chown redis:redis /data
VOLUME /data
WORKDIR /data
COPY docker-entrypoint.sh /usr/local/bin/
ENTRYPOINT ["docker-entrypoint.sh"]
EXPOSE 6379
CMD ["redis-server"]
Dockerfile 中 ENTRYPOINT 所应用的 docker-entrypoint.sh
文件内容如下。
#!/bin/sh
set -e
# 当第一个参数应用 `-f` or `--some-option` 这样参数时
# 或以 `.conf` 结尾,
if ["${1#-}" != "$1" ] || ["${1%.conf}" != "$1" ]; then
# 将第一个参数设为 redis-server, 不便前面启动
set -- redis-server "$@"
fi
# 当启动程序是 'redis-server' 且 uid = 0 时, 即 Root 启动
if ["$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
# 1. 调整数据目录属主为 Redis
find . \! -user redis -exec chown redis '{}' +
# 2. 应用 exec su-exec 组合启动 redis-server, 会将以后 PID 传递给 redis-server, 并切换用户为 redis
# 留神: 应用 exec 后, 前面脚本将不会执行
exec su-exec redis "$0" "$@"
fi
# 当用户应用其它用户启动, 或者非 redis-server 服务启动适时会执行如下代码
# 批改默认权限 为 700
um="$(umask)"
if ["$um" = '0022']; then
umask 0077
fi
# 启动服务
exec "$@"
总结
咱们从几个案例中能够看出,Alpine 为容器做了很多量身打造的个性。比方 apk 的不应用缓存 / 虚构包个性,容器构建带来极大不便。而 apk 所蕴含 su-exec 包也比 sudo 更适宜容器。
不仅如此,传统镜像精简版镜像的 ps/netstat/ifconfig/ip/vi
等命令会被删掉,导致前期运维艰难。而仅 5M 的 Alpine 却都自带。传统镜像去装置任何一个命令可能都要比 Alpine 自身都要大,还会削减 cve 破绽危险,而 Alpine 简直无需思考这个问题。
所以,如果没有用到 glibc 的服务 Alpine 将是一个十分不错的抉择。而用了 glibc 测试过兼容性问题后,Alpine 也是十分不错抉择。
作者:安树博 青云科技 PaaS 中间件开发工程师
从事 PaaS 中间件服务(Redis/Memcached 等)开发工作,热衷对 NoSQL 数据库畛域内技术的学习与钻研