镜像命名规范与Dockerfile编写规范

小鲸鱼，大本领

镜像命名规范

镜像地址：镜像仓库/项目名/镜像名:标签名

1. 项目名，公共项目使用名称：base，并设置为公开；其它项目使用英文小写项目名，设置为私有。
2. 镜像名中应该包含使用的组件名称及版本信息，使用-连接。
   • 基础镜像命名规则
     基础镜像命名应按照操作系统大版本：版本号-构建版本的格式命名，例如：base/rehl7:7.6-1
   • 公共镜像全名规则
     公共镜像命名应按照服务名-中间件-上级中间件：服务版本号-中间件
     版本号-上级中间件版本号-构建版本的格式命名，中间件名称可以包含大版本号，例如：base/tomcat8-openjdk8:8.5.23-jre8u212-1
   • 应用命名规则
     使用格式：系统-模块:系统版本-模块版本-构建版本，例如：sys/sys-rs:1.1-1.1-1
3. 同一应用镜像在以上标签的规则下，还可以根据发布流程设置多个标签，以满足部署时版本依赖的管理要求。例如sys/sys-rs:v1代表v1.x的最新版本。

镜像制作规范

1. 关键字使用大写
2. FROM镜像，指定明确的Tag，不要使用latest
3. 发布向后兼容的镜像可以使用同一个Tag号，否则使用新的Tag号
4. 尽量将命令放在同一个RUN命令下，减少层数
5. 镜像中避免多进程，如果一定要使用，请引入tini命令，用来管理进程

RUN yum install tini -y && yum clean all -y
ENTRYPOINT ['tini', '--']

6. 尽量使用exec，使真正应用的进程ID为1
7. 清理临时文件，如yum install后需要执行yum clean all -y
8. 优化Dockerfile命令的顺序，尽量把不变的放在前面
9. 使用WORKDIR指定工作目录，避免绝对路径扩散
10. 使用 set -o pipefail 避免管道错误被忽略

RUN set -o pipefail && wget -O - https://some.site | wc -l > /number 

11. 优先使用COPY，比ADD更简单明了
12. 始终暴露重要端口
13. 习惯使用环境变量
14. 避免设置默认密码
15. 镜像中不要安装sshd
16. 使用volume显示设置挂载点，以方便镜像的使用者知道需要如何定义存储卷
17. 支持任一用户运行，对于需要访问的目录文件执行以下命令更新权限

RUN chgrp -R 0 /some/directory && \
    chmod -R g+rwX /some/directory

Dockerfile的最后使用USER指定数字用户

USER 1001

18. 容器内部应用使用Service访问k8s/OCP平台的其他服务。
19. 应用基础镜像应该安装公用的依赖库
20. 为镜像设置元数据，例如说明镜像的用途等，UI界面可以根据这些元数据进行定制功能

LABEL io.openshift.tags   mongodb,mongodb24,nosql
LABEL io.openshift.min-memory 8Gi
LABEL io.openshift.min-cpu     4
LABEL io.openshift.non-scalable     true
LABEL io.k8s.description "The MySQL 5.5 Server with master-slave replication support"
LABEL io.openshift.wants   mongodb,redis

21. 尽量将应用的日志以标准输出的形式输出，这样可以被容器平台统一收集管理。
22. 镜像中为应用准备好健康检查的探针，方便容器平台对应用进行健康检查。

下图为使用EXEC格式与SHELL格式，执行ENTRYPOINT CMD的区别。

使用`EXEC`格式与`SHELL`格式，执行ENTRYPOINT CMD的区别

OpenShift官方文档——镜像构建规范
Dockerfile最佳实践
ENTRYPOINT 入口点
dockerfile最佳实践
常用的Dockerfile镜像地址
nginx的Dockerfile实例：把日志输出到标准输出

RUN ln -sf /dev/stdout /var/log/nginx/access.log \
    && ln -sf /dev/stderr /var/log/nginx/error.log