如何創建盡可能小的Docker容器教程

【編者的話】本文作者以一個使用Go語言編寫的Web服務為例，重點介紹了如何通過Scratch創建一個盡可能小的Docker容器。在嘗試過程中，作 者也發現了很多問題，也逐一得到解決，感興趣的讀者一定要看看作者解決問題的思路。本文看點包括如何從Docker內部調用Docker、創建 Docker容器的Docker容器、Go語言創建靜態鏈接的可執行文件。

當在使用Docker的時候，如果想使用預先配置好的容器，就需要下載很大的鏡像包。一個簡單的Ubuntu的容器就有200多兆，如果安裝了相 關的軟件，還會更大。在很多情況下，你并不需要Ubuntu容器內的所有功能模塊，例如，如果你只想運行簡單的Go語言編寫的Web服務，而它并不需要任 何其他工具。

我一直在尋找盡可能小的容器，然后發現了這個：
docker pull scratch
Scratch鏡像很贊，它簡潔、小巧而且快速， 它沒有bug、安全漏洞、延緩的代碼或技術債務。這是因為它基本上是空的。除了有點兒被Docker添加的metadata (譯注：元數據為描述數據的數據)。你可以用以下命令創建這個scratch鏡像（官方文檔上有描述）：
tar cv --files-from /dev/null | docker import - scratch

這是它，非常小的一個Docker鏡像。到此結束!

...或許我們還可以來探討更多的東西。例如，如何使用scratch鏡像呢？這又帶來了一些挑戰。

為Scratch鏡像創建內容

我們可以在一個空的Scratch鏡像里運行什么？無依賴的可執行文件。你有沒有不需要依賴的可執行文件嗎？

我曾經用Python、Java和JavaScript編寫過代碼。這些語言/平臺需要安裝運行環境。最近，我開始研究Go(如果你喜歡話用 GoLang)語言平臺。看起來Go是靜態鏈接的。所以我嘗試編寫一個簡單的hello world Web服務器，并在Scratch容器中運行它。下面是Hello World Web服務器的代碼：

package main
import (
"fmt"
"net/http"
)
func helloHandler(w http.ResponseWriter， r *http.Request) {
fmt.Fprintln(w， "Hello World from Go in minimal Docker container")
}
func main() {
http.HandleFunc("/"， helloHandler)
fmt.Println("Started， serving at 8080")
err := http.ListenAndServe(":8080"， nil)
if err != nil {
    panic("ListenAndServe: " + err.Error())
}
}

很顯然，我不能在Scratch容器內編譯我的Web服務，因為此容器內沒Go編譯器。并且，因為我的工作是在Mac上，我也不能編譯的Linux二進制。 （其實，交叉編譯GoLang源到不同的平臺是可能的，但是這是另一篇文章的資料）

因此，首先我需要一個包含Go編譯器的Docker容器。先從簡單的開始：
docker run -ti google/golang /bin/bash

在這個容器內，我可以構建Go Web服務，我已經將代碼提交到GitHub倉庫：
go get github.com/adriaandejonge/helloworld
go get命令和go buildy歐典想，它允許獲取遠程代碼包并構建遠程依賴。你可以通過運行可執行文件來啟動服務：
$GOPATH/bin/helloworld
很棒，它執行了。但這不是我們期待的，我們想讓hello world Web服務運行在Scratch容器內。所以，我們需要編寫Dockerfile：
FROM scratch ADD bin/helloworld /helloworld
CMD ["/helloworld"]
然后啟動。不幸的是，我們使用google/golang容器的方式是沒有辦法建立這個Dockerfile的。因此，我們首先需要找到一種可以從容器內訪問Docker的方法。

從容器內調用Docker

使用Docker的時候，你遲早會有從Docker內部控制Docker的需求。有許多方法可以做到這一點。你可以使用遞歸的方式，在Docker內運行Docker。然而，這似乎過于復雜，并且又回到了原點：容量大的容器。

你還可以用一些額外的命令參數來提供訪問外部Docker給實例：
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $(which docker):$(which docker) -ti google/golang /bin/bash

在講到下一步之前，請重新運行Go編譯器，因為重新啟動一個容器Docker會忘記之前的編譯內容：
go get github.com/adriaandejonge/helloworld

當啟動容器時，-v 參數在Docker容器內創建一個卷，并允許提供從Docker上的文件作為輸入。/var/run/docker.sock是Unix套接字，允許訪問Docker服務器。$(which docker)可 以為容器提供Docker可執行文件的路徑。但是，當在Apple的boot2docker上運行Docker時，使用該命令需要注意，如果Docker 可執行文件被安裝在不同的路徑上相對于安裝在boot2docker的虛擬機，這將會導致不匹配錯誤：它將是boot2docker虛擬服務器內的可執行 文件被導入容器內。所以，你可能要替換$(which docker)為/usr/local/bin/docker。同樣，如果你運行在不同的系統，/var/run/docker.sock有一個不同的位置，你需要相應地調整。

現在，你可以在 google/golang容器內使用在$GOPATH路徑下的Dockerfile，例子中，它指向/gopath 。其實，我已經提交Dockerfile到GitHub上。因此，你可以在Go build目錄中復制它，命令如下：
cp $GOPATH/src/github.com/adriaandejonge/helloworld/Dockerfile $GOPATH
編譯好的二進制文件位于$GOPATH/bin 目錄下，當構建Dockerfile時它不可能從父目錄中include文件。所以在復制后，下一步是：
docker build -t adejonge/helloworld $GOPATH
如果一切順利，那么，Docker會有類似輸出：

Successfully built 6ff3fd5a381d

然后您可以運行容器：
docker run -ti --name hellobroken adejonge/helloworld
但不幸的是，Docker會輸出類似于：

2014/07/02 17:06:48 no such file or directory

那么到底是怎么回事？我們的Scratch容器內已經有靜態鏈接的可執行文件。難道我們犯了什么錯誤？

事實證明，Go不是靜態鏈接庫的，或者至少不是所有的庫。在Linux下，我們可以看到動態鏈接庫用以下命令：
ldd $GOPATH/bin/helloworld

其中輸入類似以下內容：

linux-vdso.so.1 => (0x00007fff039fe000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f61df30f000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f61def84000)
/lib64/ld-linux-x86-64.so.2 (0x00007f61df530000)

所以，在我們才可以運行的Hello World Web服務器之前，我們需要告訴Go編譯器真正的做靜態鏈接。

Go語言創建靜態鏈接的可執行文件

為了創建靜態鏈接的可執行文件，我們需要使用cgo編譯器，而不是Go編譯器。命令如下：
CGO_ENABLED=0 go get -a -ldflags '-s' github.com/adriaandejonge/helloworld
CGO_ENABLED 環境變量表示使用cgo編譯器，而不是Go編譯器。-a參數表示要重建所有的依賴。否則，還是以動態鏈接依賴為結果。-ldflags -s一個不錯的額外標志，它可以縮減生成的可執行文件約50％的大小，沒有cgo編譯器你也可以使用該命令，50%是除去了調試信息的結果。

重新運行ldd命令：
ldd $GOPATH/bin/helloworld
現在應該有類似輸出：

not a dynamic executable

然后重新運行用Scratch鏡像構建Docker容器那一步：
docker build -t adejonge/helloworld $GOPATH
如果一切順利，Docker會有類似輸出：

Successfully built 6ff3fd5a381d

接著運行容器：
docker run -ti --name helloworld adejonge/helloworld
而這個時候會輸出：

Started,serving at 8080

目前為止，有許多步驟，會有很多錯誤的余地。讓我們退出google/golang 容器：
<Press Ctrl-C> exit

您可以檢查容器和鏡像的存在或不存在：
docker ps -a docker images -a

并且您可以清理Docker：
docker rm -f hello world docker rmi -f adejonge/helloworld

創建Docker容器的Docker容器

到目前為止我們已經敲了這么多命令，我們可以把這些步驟寫在Dockerfile中，Docker會幫我們自動處理：
FROM google/golang RUN CGO_ENABLED=0 go get -a -ldflags '-s' github.com/adriaandejonge/helloworld
RUN cp /gopath/src/github.com/adriaandejonge/helloworld/Dockerfile /gopath
CMD docker build -t adejonge/helloworld gopath

我提交了這個Dockerfile到另一個GitHub庫。它可以用這個命令構建：
docker build -t adejonge/hellobuild github.com/adriaandejonge/hellobuild

-t表示鏡像的標簽名為adejonge/hellobuild和隱式標簽名為latest。這些名稱會在之后的刪除鏡像中用到。

接下來，你可以創建容器用剛才提供的標簽：
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $(which docker):$(which docker) -ti --name hellobuild adejonge/hellobuild

提供--name hellobuild 參數使得在運行后更容易移除容器。事實上，你現在就可以這樣做，因為在運行此命令后，你已經創建了adejonge/helloworld的鏡像：
docker rm -f hellobuild docker rmi -f adejonge/hellobuild 
現在你可以運行新的helloworld容器：
docker run -ti --name helloworld adejonge/helloworld
因為所有這些步驟都出自同一命令行運行，而無需在Docker容器內打開bash shell，你可以將這些步驟添加到一個bash腳本，并自動運行。我已經將bash腳本提交到了GitHub庫。

另外，如果你想嘗試一個盡可能小的容器，但是又不想遵循博客中的步驟，你也可以用我提交到Docker Hub庫的鏡像：
docker pull adejonge/helloworld

docker images -a你可以看到大小為3.6MB。當然，如果你能創建一個比我使用 Go 編寫的 Web 服務還小的可執行文件，那就可以讓它更小。使用 C 語言或者是匯編，你可以這樣做到。盡管如此，你不可能使得它比 scratch 鏡像還小。

原文鏈接