基于空镜像scratch创建一个新的Docker镜像

我们在使用Dockerfile构建docker镜像时，一种方式是使用官方预先配置好的容器镜像。优点是我们不用从头开始构建，节省了很多工作量，但付出的代价是需要下载很大的镜像包。

比如我机器上docker images返回的这些基于nginx的镜像，每个都超过了100MB，而一个简单的Centos的镜像近200MB，如果安装了相关的软件，占用空间会更大。

[root@docker ~]# docker images
REPOSITORY            TAG                 IMAGE ID            CREATED             SIZE
nginx                 latest              540a289bab6c        5 weeks ago         126MB
centos                6.9                 2199b8eb8390        8 months ago        195MB

如果我们的需求是在构建一个符合我们实际业务需求的Docker镜像的前提下，确保镜像尺寸尽可能的小，应该怎么做呢？

思路是使用空镜像scratch。

scratch 的 Docker 官方镜像地址：https://hub.docker.com/_/scratch

• 一、关于 Docker 的 scratch 镜像 介绍
• 二、查看 空镜像 scratch
• 三、【示例】基于scratch镜像构建一个大小为 0 的镜像
• 四、【示例】基于 scratch 构建一个 hello 镜像
• 五、补充1
• 六、【示例】基于 scratch 空镜像，使用 hello.go 创建一个新的Docker镜像
• 七、docker-library 的 hello-world
• 八、补充2

一、关于 Docker 的 scratch 镜像 介绍

scratch 的 Docker 官方镜像描述：https://hub.docker.com/_/scratch?tab=description

FROM scratch

官方说明：该镜像是一个空的镜像，可以用于构建基础镜像（例如 Debian、Busybox）或超小镜像，可以说是真正的从零开始构建属于自己的镜像。要知道，一个官方的ubuntu镜像有60MB+，CentOS镜像有70MB+。

可以把一个可执行文件扔进来直接执行。

二、查看 空镜像 scratch

可以看到，scratch 是一个官方提供的镜像。

既然，能搜索到 scratch 镜像，那么我们 pull 下来看看：

[root@docker scratch]# docker pull scratch
Using default tag: latest
Error response from daemon: 'scratch' is a reserved name

结果：输出了一个错误的响应。

跟据错误提示，我们知道  scratch 是一个保留名称。

备注： scratch 是一个 search 得到，但是 pull 不了的特殊镜像。

三、【示例】基于scratch镜像构建一个大小为 0 的镜像

既然 scratch 不能被拉取，如何做到 docker image ls 看到一个 0 字节的镜像。

官方给出了下面的方法：

[root@docker scratch]# tar cv --files-from /dev/null | docker import - scratch
sha256:8036fcc96c9a2f7ba1c42bab84996a882afeccf598c7fcab902f1374cd26e234
[root@docker scratch]# docker images
REPOSITORY            TAG                 IMAGE ID            CREATED             SIZE
scratch               latest              8036fcc96c9a        3 seconds ago       0B

四、【示例】基于 scratch 构建一个 hello 镜像

创建一个 scratch 的目录：

[root@docker ~]# mkdir /opt/scratch
[root@docker ~]# cd /opt/scratch/
[root@docker scratch]#

创建 dockerfile 文件，内容如下：

[root@docker scratch]# vi dockerfile
[root@docker scratch]# cat dockerfile
FROM scratch
ADD hello /
CMD ["/hello"]

构建 docker 镜像

[root@docker02 scratch]# docker build -t hello .
Sending build context to Docker daemon  5.632kB
Step 1/3 : FROM scratch
 --->
Step 2/3 : ADD hello /
 ---> b34f73261173
Step 3/3 : CMD ["/hello"]
 ---> Running in 4b7912df3e9f
Removing intermediate container 4b7912df3e9f
 ---> 9766933b0a7c
Successfully built 9766933b0a7c
Successfully tagged hello:latest
[root@docker02 scratch]# docker images
REPOSITORY            TAG                 IMAGE ID            CREATED             SIZE
hello                 latest              9766933b0a7c        5 seconds ago       1.9kB
nginx                 latest              540a289bab6c        5 weeks ago         126MB
centos                6.9                 2199b8eb8390        8 months ago        195MB

创建并启动容器：

[root@docker scratch]# docker run --rm -it hello:latest
Welcome to Beijing!

hello 的是使用C语言编译之后的二进制程序

[root@docker scratch]# cat hello.c
//#include <unistd.h>
#include <sys/syscall.h>
#ifndef DOCKER_IMAGE
#define DOCKER_IMAGE "hello-world"
#endif
#ifndef DOCKER_GREETING
#define DOCKER_GREETING "Welcome to Beijing!"
#endif

const char message[] =
DOCKER_GREETING "\n";

void _start() {
//write(1, message, sizeof(message) - 1);
syscall(SYS_write, 1, message, sizeof(message) - 1);

//_exit(0);
syscall(SYS_exit, 0);
}

然后编译 hello.c

[root@docker scratch]# gcc -o hello -static -nostartfiles hello.c
[root@docker scratch]# ls
dockerfile  hello  hello.c

执行测试：

[root@docker02 scratch]# ./hello
Welcome to Beijing!

编译出错的故障处理

[root@docker scratch]# gcc -o hello -static -nostartfiles hello.c
/usr/bin/ld: cannot find -lc
collect2: error: ld returned 1 exit status

解决办法：
    [root@docker scratch]# yum install glibc-static gcc -y

五、补充1

Docker 是go语言写的，C语言不行，跑的话会报错。

编写 hello.c

[root@docker hello]# vi hello.c
[root@docker hello]# cat hello.c
#include <stdio.h>

main() {
   printf("hello world\n");
}

编译 hello.c

[root@docker hello]# gcc hello.c -o hello
[root@docker hello]# ls
hello  hello.c

编写dockerfile

[root@docker hello]# vi dockerfile
[root@docker hello]# cat dockerfile
FROM scratch
ADD hello /
CMD ["/hello"]
[root@docker hello]# ls
dockerfile  hello  hello.c

构建镜像：

[root@docker hello]# docker build -t helloworld .
Sending build context to Docker daemon  12.29kB
Step 1/3 : FROM scratch
 --->
Step 2/3 : ADD hello /
 ---> 592aa1a2b194
Step 3/3 : CMD ["/hello"]
 ---> Running in 426ff56ca7b8
Removing intermediate container 426ff56ca7b8
 ---> b9cb3eabf90f
Successfully built b9cb3eabf90f
Successfully tagged helloworld:latest

[root@docker hello]# docker image ls helloworld
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
helloworld          latest              b9cb3eabf90f        10 seconds ago      8.44kB

创建并启动容器

[root@docker hello]# docker run --rm helloworld
standard_init_linux.go:211: exec user process caused "no such file or directory"

结果报错了。

备注：当然，可以对上面这个hello.c 的文件可以进行改写，参照 示例：基于 scratch 构建一个 hello 镜像

当然，使用 ubuntu 镜像作为基础镜像，来构建新的 hello 镜像，这是行得通的。

[root@docker hello]# vi dockerfile
[root@docker hello]# cat dockerfile
FROM ubuntu
ADD hello /
CMD ["/hello"]

[root@docker hello]# docker build -t hello:v1 .
Sending build context to Docker daemon  12.29kB
Step 1/3 : FROM ubuntu
latest: Pulling from library/ubuntu
7ddbc47eeb70: Pull complete
c1bbdc448b72: Pull complete
8c3b70e39044: Pull complete
45d437916d57: Pull complete
Digest: sha256:6e9f67fa63b0323e9a1e587fd71c561ba48a034504fb804fd26fd8800039835d
Status: Downloaded newer image for ubuntu:latest
 ---> 775349758637
Step 2/3 : ADD hello /
 ---> 09485e1c9ec0
Step 3/3 : CMD ["/hello"]
 ---> Running in 661d260c2d06
Removing intermediate container 661d260c2d06
 ---> f382742c6c29
Successfully built f382742c6c29
Successfully tagged hello:v1

[root@docker hello]# docker image ls hello:v1
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
hello               v1                  f382742c6c29        9 seconds ago       64.2MB

[root@docker hello]# docker run --rm hello:v1
hello world

六、【示例】基于 scratch 空镜像，使用 hello.go 创建一个新的Docker镜像

创建 hello.go

[root@docker opt]# mkdir hello-go
[root@docker opt]# cd hello-go/
[root@docker hello-go]# vi hello.go
[root@docker hello-go]# cat hello.go
package main
import "fmt"

func main(){
   fmt.Printf("Hello World\n")
}

安装 go 环境

[root@docker hello-go]# yum install go -y
[root@docker hello-go]# go version
go version go1.13.3 linux/amd64

编译 hello.go 文件

[root@docker hello-go]# go build hello.go
[root@docker hello-go]# ls
hello  hello.go

创建 dockerfile

[root@docker hello-go]# vi dockerfile
[root@docker hello-go]# cat dockerfile
FROM scratch
ADD hello /
CMD ["/hello"]
[root@docker hello-go]# ls
dockerfile  hello  hello.go

构建镜像

[root@docker hello-go]# docker build -t hello-go .
Sending build context to Docker daemon  2.029MB
Step 1/3 : FROM scratch
 --->
Step 2/3 : ADD hello /
 ---> 05500e381032
Step 3/3 : CMD ["/hello"]
 ---> Running in 82474b89e112
Removing intermediate container 82474b89e112
 ---> b330800756c5
Successfully built b330800756c5
Successfully tagged hello-go:latest
[root@docker hello-go]# docker image ls hello-go
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
hello-go            latest              b330800756c5        8 seconds ago       2.03MB

创建并启动容器

[root@docker hello-go]# docker run --rm hello-go
Hello World

[root@docker hello-go]# docker image history hello-go
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
b330800756c5        27 seconds ago      /bin/sh -c #(nop)  CMD ["/hello"]               0B
05500e381032        27 seconds ago      /bin/sh -c #(nop) ADD file:cb1502c2540a3aa37…   2.03MB  

七、docker-library 的 hello-world

官方：https://github.com/docker-library/hello-world/blob/master/hello.c

//#include <unistd.h>
#include <sys/syscall.h>

#ifndef DOCKER_IMAGE
    #define DOCKER_IMAGE "hello-world"
#endif

#ifndef DOCKER_GREETING
    #define DOCKER_GREETING "Hello from Docker!"
#endif

#ifndef DOCKER_ARCH
    #define DOCKER_ARCH "amd64"
#endif

const char message[] =
    "\n"
    DOCKER_GREETING "\n"
    "This message shows that your installation appears to be working correctly.\n"
    "\n"
    "To generate this message, Docker took the following steps:\n"
    " 1. The Docker client contacted the Docker daemon.\n"
    " 2. The Docker daemon pulled the \"" DOCKER_IMAGE "\" image from the Docker Hub.\n"
    "    (" DOCKER_ARCH ")\n"
    " 3. The Docker daemon created a new container from that image which runs the\n"
    "    executable that produces the output you are currently reading.\n"
    " 4. The Docker daemon streamed that output to the Docker client, which sent it\n"
    "    to your terminal.\n"
    "\n"
    "To try something more ambitious, you can run an Ubuntu container with:\n"
    " $ docker run -it ubuntu bash\n"
    "\n"
    "Share images, automate workflows, and more with a free Docker ID:\n"
    " https://hub.docker.com/\n"
    "\n"
    "For more examples and ideas, visit:\n"
    " https://docs.docker.com/get-started/\n"
    "\n";

void _start() {
    //write(1, message, sizeof(message) - 1);
    syscall(SYS_write, 1, message, sizeof(message) - 1);

    //_exit(0);
    syscall(SYS_exit, 0);
}

八、补充2

• gcc -D可以定义宏，起到替换、条件编译的功能；即hello.c中定义了一个宏，我可以在gcc编译时使用-D替换该宏。就好像我docker镜像定义了一些变量，但是docker run仍可以-e传递变量，覆盖原有的变量
• gcc -static指定强制使用静态库，
• -O 对程序进行优化编译、链接。采用这个选项，整个源代码会在编译、链接过程中进行优化处理，这样产生的可执行文件的执行效率可以提高，但是编译、链接的速度就相应地要慢一些，而且对执行文件的调试会产生一定的影响，造成一些执行效果与对应源文件代码不一致等一些令人“困惑”的情况。因此，一般在编译输出软件发行版时使用此选项。
• -Os 使用了所有-O2的优化选项，但又不缩减代码尺寸的方法 https://www.cnblogs.com/luolizhi/p/5737091.html
• -nostartfiles 连接的使用不使用标准系统库。只有你指定的库才能够传递给连接器。不链接系统标准启动文件,而标准库文件仍然正常使用
• -fno-asynchronous-unwind-tables 用来不生成CFI指令
• -o 输出文件名
• stribe 给文件脱裤子。具体就是从特定文件中剥掉一些符号信息和调试信息。 在strip之后， 文件变小了， 仍然可以执行， 这就就节省了很多空间。