Docker 容器十诫
【编者按】本文作者为 Rafael Benevides,主要介绍使用 Docker 容器时应该注意的十个陷阱。
Docker 容器十诫
当你刚开始使用容器时,会发现容器能解决许多问题,而且好处很多:
首先:容器是不可变的 —— 操作系统、库版本、配置、文件夹以及应用全都包裹在容器内。你可以确保,在 QA 阶段测试的一张图片,肯定会在生产环境中出现,并且行为保持一致。
其次:容器是轻量级的 —— 容器的内存占用很小。容器只会给主进程分配内存,因此无需十几万个 MB 的内存空间。
最后:容器速度很快 —— 启动容器就跟启动典型的 linux 进程一样快。无需好几分钟,一个新的容器可以在几秒内启动完毕。
然而,许多用户仍然只是将容器视为典型的虚拟机。他们忘记了容器的一个重要特征:容器是可丢弃的。
围绕容器的咒语:“容器是临时的”。
Docker 容器十诫
鉴于这一特征,用户必须转变他们使用以及管理容器时的心态。下面,笔者将介绍为了充分利用 Docker 容器的好处,用户应该避免的十个陷阱:
1)不要在容器内存储数据 —— 容器可以被停止、销毁或者取代。运行在容器中的应用1.0版本应该能够轻易地被1.1版本所取代,且不产生任何影响或数据丢失。因此,如果你需要存储数据,请将其存储在卷组(volume)中。在这种情况下,你要格外小心两个容器向同一卷组写入数据的情况,因为这很容易导致数据污染。总之,要确保自己的应用向共享的数据存储区填写数据。
2)不要将应用分开发布 —— 有些人会将容器视为虚拟机,他们中的大部分人认为,应该在现有的运行容器中部署应用。在开发阶段,因为需要不断地修改配置并调试应用,这样做无可厚非。但是,当持续交付管道行进至 QA 与生产阶段时,不应该把镜像和应用分开。记住:容器是不可变的。
3)不要创建太大的镜像 —— 镜像越大,越难以分发。确保只留有运行应用或进程所需的文件和库。不要安装不必要的包或运行“update”(yum update)指令下载太多文件到新的镜像层。
4)不要使用单层镜像 —— 为了有效利用分层的文件系统,总是为操作系统创建基础镜像层,此外,分别为用户名定义、运行时安装、配置、以及自己的应用创建不同的镜像层。这样一来,重现、管理以及传送镜像会变得更为简单。
5)不用为运行中的容器创建镜像 —— 换句话说,不要使用 “docker commit” 指令创建镜像。这种创建镜像的方法是不可重现的,应该完全避免。相反,总是使用 Dockerfile 或任何 S2I (source-to-image,源码到镜像) —— 完全可重现的方法来创建镜像。这样一来,如果你将 Dockerfile 保存在源码存储控制库(git)内,就可以追踪其后续变化。
6)不要单独使用“latest(最新)”标签 —— 最新标签就像 Maven 用户眼中的 “SNAPSHOT(快照)”。因为容器本身的分层式文件系统,我们鼓励使用标签。但是,你可不想在几个月后正打算创建镜像时,却惊讶地发现应用无法运行,而原因居然是一个父层(Dockerfile 中的 FROM)已经被无法向后兼容的新版取代,或是创建缓存中检索出的“最新”版本是错的。此外,由于你无法追踪当前运行镜像的版本,“最新”标签也不应该在生产环境中部署容器时使用。
7)不要在一个容器内运行多个进程 —— 容器在运行单一进程(http 后台进程、应用服务器、数据库)时几乎无可挑剔,但是,如果运行多个进程,你可能会在管理、检索日志以及独个更新进程时遇到麻烦。
8)不要在镜像中存储凭证 —— 使用环境变量。不要将镜像中的任何用户名或密码写死。使用环境变量从容器外部检索这些信息。Postgress 镜像就是践行该准则的好榜样。
9)不要以 root 用户运行进程 —— “默认情况下,docker 容器以 root 权限运行。(…)随着 Docker 的不断完善,更多安全的默认选项会逐渐出现。就当下而言,要求 root 权限对有些用户而言比较危险,可能无法在所有环境中实现。你的镜像应该使用 USER 指令为容器确定一个非 root 运行权限。”(摘自《Docker 镜像作者指南》)
10)不要依赖 IP 地址 —— 每个容器都有其内部 IP 地址,该地址可能因为启动或停止容器而发生改变。如果你的应用或微服务需要与另一个容器交换消息,应该使用环境变量在容器间传送合适的主机名与端口号。
OneAPM Cloud Insight 产品集监控、管理、计算、协作、可视化于一身,帮助所有 IT 公司,减少在系统监控上的人力和时间成本投入,让运维工作更加高效、简单。