Node服務如何進行Docker鏡像化
本文小編為大家詳細介紹“Node服務如何進行Docker鏡像化”�����,內容詳細�����,步驟清晰����,細節處理妥當�����,希望這篇“Node服務如何進行Docker鏡像化”文章能幫助大家解決疑惑����,下面跟著小編的思路慢慢深入����,一起來學習新知識吧�����。
以一個例子開頭����,大部分剛接觸 Docker 的同學應該都會這樣編寫項目的 Dockerfile����,如下所示:
FROM node:14
WORKDIR /app
COPY . .
# 安裝 npm 依賴
RUN npm install
# 暴露端口
EXPOSE 8000
CMD ["npm", "start"]
構建����,打包����,上傳�����,一氣呵成����。然后看下鏡像狀態�����,臥槽�����,一個簡單的 node web 服務體積居然達到了驚人的 1.3 個 G�����,并且鏡像傳輸與構建速度也很慢:
要是這個鏡像只需要部署一個實例也就算了�����,但是這個服務得提供給所有開發同學進行高頻集成并部署環境的(實現高頻集成的方案可參見我的 上一篇文章)����。首先����,鏡像體積過大必然會對鏡像的拉取和更新速度造成影響����,集成體驗會變差����。其次����,項目上線后����,同時在線的測試環境實例可能成千上萬����,這樣的容器內存占用成本對于任何一個項目都是無法接受的����。必須找到優化的辦法解決����。
發現問題后�����,我就開始研究 Docker 的優化方案����,準備給我的鏡像動手術了����。
node 項目生產環境優化
首先開刀的是當然是前端最為熟悉的領域�����,對代碼本身體積進行優化����。之前開發項目時使用了 Typescript����,為了圖省事�����,項目直接使用 tsc 打包生成 es5 后就直接運行起來了�����。這里的體積問題主要有兩個�����,一個是開發環境 ts 源碼并未處理�����,并且用于生產環境的 js 代碼也未經壓縮�����。
另一個是引用的 node_modules 過于臃腫����。仍然包含了許多開發調試環境中的 npm 包�����,如 ts-node����,typescript 等等����。既然打包成 js 了�����,這些依賴自然就該去除����。
一般來說����,由于服務端代碼不會像前端代碼一樣暴露出去�����,運行在物理機上的服務更多考慮的是穩定性�����,也不在乎多一些體積����,因此這些地方一般也不會做處理�����。但是 Docker 化后����,由于部署規模變大�����,這些問題就非常明顯了����,在生產環境下需要優化的����。
對于這兩點的優化的方式其實我們前端非常熟悉了�����,不是本文的重點就粗略帶過了�����。對于第一點�����,使用 Webpack + babel 降級并壓縮 Typescript 源碼�����,如果擔心錯誤排查可以加上 sourcemap����,不過對于 docker 鏡像來說有點多余�����,一會兒會說到�����。對于第二點����,梳理 npm 包的 dependencies 與 devDependencies 依賴����,去除不是必要存在于運行時的依賴�����,方便生產環境使用 npm install --production 安裝依賴�����。
優化項目鏡像體積
使用盡量精簡的基礎鏡像
我們知道����,容器技術提供的是操作系統級別的進程隔離����,Docker 容器本身是一個運行在獨立操作系統下的進程�����,也就是說����,Docker 鏡像需要打包的是一個能夠獨立運行的操作系統級環境�����。因此����,決定鏡像體積的一個重要因素就顯而易見了:打包進鏡像的 Linux 操作系統的體積����。
一般來說����,減小依賴的操作系統的大小主要需要考慮從兩個方面下手����,第一個是盡可能去除 Linux 下不需要的各類工具庫����,如 python�����,cmake, telnet 等�����。第二個是選取更輕量級的 Linux 發行版系統����。正規的官方鏡像應該會依據上述兩個因素對每個發行版提供閹割版本����。
以 node 官方提供的版本 node:14 為例�����,默認版本中�����,它的運行基礎環境是 Ubuntu�����,是一個大而全的 Linux 發行版�����,以保證最大的兼容性�����。去除了無用工具庫的依賴版本稱為 node:14-slim 版本����。而最小的鏡像發行版稱為 node:14-alpine�����。Linux alpine 是一個高度精簡�����,僅包含基本工具的輕量級 Linux 發行版�����,本身的 Docker 鏡像只有 4~5M 大小�����,因此非常適合制作最小版本的 Docker 鏡像�����。
在我們的服務中����,由于運行該服務的依賴是確定的����,因此為了盡可能的縮減基礎鏡像的體積����,我們選擇 alpine 版本作為生產環境的基礎鏡像�����。
分級構建
這時候�����,我們遇到了新的問題����。由于 alpine 的基本工具庫過于簡陋����,而像 webpack 這樣的打包工具背后可能使用的插件庫極多����,構建項目時對環境的依賴較大�����。并且這些工具庫只有編譯時需要用到����,在運行時是可以去除的����。對于這種情況����,我們可以利用 Docker 的分級構建的特性來解決這一問題�����。
首先�����,我們可以在完整版鏡像下進行依賴安裝����,并給該任務設立一個別名(此處為build)����。
# 安裝完整依賴并構建產物
FROM node:14 AS build
WORKDIR /app
COPY package*.json /app/
RUN ["npm", "install"]
COPY . /app/
RUN npm run build
之后我們可以啟用另一個鏡像任務來運行生產環境�����,生產的基礎鏡像就可以換成 alpine 版本了�����。其中編譯完成后的源碼可以通過--from參數獲取到處于build任務中的文件����,移動到此任務內����。
FROM node:14-alpine AS release
WORKDIR /release
COPY package*.json /
RUN ["npm", "install", "--registry=http://r.tnpm.oa.com", "--production"]
# 移入依賴與源碼
COPY public /release/public
COPY --from=build /app/dist /release/dist
# 啟動服務
EXPOSE 8000
CMD ["node", "./dist/index.js"]
Docker 鏡像的生成規則是�����,生成鏡像的結果僅以最后一個鏡像任務為準�����。因此前面的任務并不會占用最終鏡像的體積�����,從而完美解決這一問題�����。
當然����,隨著項目越來越復雜����,在運行時仍可能會遇到工具庫報錯�����,如果曝出問題的工具庫所需依賴不多����,我們可以自行補充所需的依賴����,這樣的鏡像體積仍然能保持較小的水平����。
其中最常見的問題就是對node-gyp與node-sass庫的引用����。由于這個庫是用來將其他語言編寫的模塊轉譯為 node 模塊����,因此����,我們需要手動增加g++ make python這三個依賴�����。
# 安裝生產環境依賴(為兼容 node-gyp 所需環境需要對 alpine 進行改造)
FROM node:14-alpine AS dependencies
RUN apk add --no-cache python make g++
COPY package*.json /
RUN ["npm", "install", "--registry=http://r.tnpm.oa.com", "--production"]
RUN apk del .gyp
合理規劃 Docker Layer
構建速度優化
我們知道�����,Docker 使用 Layer 概念來創建與組織鏡像����,Dockerfile 的每條指令都會產生一個新的文件層�����,每層都包含執行命令前后的狀態之間鏡像的文件系統更改����,文件層越多�����,鏡像體積就越大�����。而 Docker 使用緩存方式實現了構建速度的提升����。若 Dockerfile 中某層的語句及依賴未更改�����,則該層重建時可以直接復用本地緩存�����。
如下所示�����,如果 log 中出現Using cache字樣時����,說明緩存生效了����,該層將不會執行運算�����,直接拿原緩存作為該層的輸出結果����。
Step 2/3 : npm install
---> Using cache
---> efvbf79sd1eb
通過研究 Docker 緩存算法����,發現在 Docker 構建過程中�����,如果某層無法應用緩存����,則依賴此步的后續層都不能從緩存加載����。例如下面這個例子:
COPY . .
RUN npm install
此時如果我們更改了倉庫的任意一個文件����,此時因為npm install層的上層依賴變更了�����,哪怕依賴沒有進行任何變動�����,緩存也不會被復用����。
因此����,若想盡可能的利用上npm install層緩存�����,我們可以把 Dockerfile 改成這樣:
COPY package*.json .
RUN npm install
COPY src .
這樣在僅變更源碼時�����,node_modules的依賴緩存仍然能被利用上了�����。
由此����,我們得到了優化原則:
構建體積優化
在保證速度的前提下����,體積優化也是我們需要去考慮的�����。這里我們需要考慮的有三點:
Docker 是以層為單位上傳鏡像倉庫的����,這樣也能最大化的利用緩存的能力�����。因此����,執行結果很少變化的命令需要抽出來單獨成層����,如上面提到的npm install的例子里�����,也用到了這方面的思想����。
如果鏡像層數越少�����,總上傳體積就越小����。因此����,在命令處于執行鏈尾部�����,即不會對其他層緩存產生影響的情況下�����,盡量合并命令�����,從而減少緩存體積����。例如�����,設置環境變量和清理無用文件的指令����,它們的輸出都是不會被使用的����,因此可以將這些命令合并為一行 RUN 命令����。
RUN set ENV=prod && rm -rf ./trash
Docker cache 的下載也是通過層緩存的方式����,因此為了減少鏡像的傳輸下載時間�����,我們最好使用固定的物理機器來進行構建�����。例如在流水線中指定專用宿主機�����,能是的鏡像的準備時間大大減少�����。
當然����,時間和空間的優化從來就沒有兩全其美的辦法�����,這一點需要我們在設計 Dockerfile 時�����,對 Docker Layer 層數做出權衡����。例如為了時間優化����,需要我們拆分文件的復制等操作�����,而這一點會導致層數增多�����,略微增加空間����。
這里我的建議是����,優先保證構建時間�����,其次在不影響時間的情況下����,盡可能的縮小構建緩存體積�����。
以 Docker 的思維管理服務
避免使用進程守護
我們編寫傳統的后臺服務時�����,總是會使用例如 pm2����、forever 等等進程守護程序����,以保證服務在意外崩潰時能被監測到并自動重啟����。但這一點在 Docker 下非但沒有益處�����,還帶來了額外的不穩定因素�����。
首先�����,Docker 本身就是一個流程管理器����,因此����,進程守護程序提供的崩潰重啟����,日志記錄等等工作 Docker 本身或是基于 Docker 的編排程序(如 kubernetes)就能提供了����,無需使用額外應用實現����。除此之外����,由于守護進程的特性�����,將不可避免的對于以下的情況產生影響:
增加進程守護程序會使得占用的內存增多����,鏡像體積也會相應增大�����。
由于守護進程一直能正常運行����,服務發生故障時�����,Docker 自身的重啟策略將不會生效����,Docker 日志里將不會記錄崩潰信息����,排障溯源困難�����。
由于多了個進程的加入����,Docker 提供的 CPU����、內存等監控指標將變得不準確����。
因此����,盡管 pm2 這樣的進程守護程序提供了能夠適配 Docker 的版本:pm2-runtime�����,但我仍然不推薦大家使用進程守護程序����。
其實這一點其實是源自于我們的固有思想而犯下的錯誤����。在服務上云的過程中�����,難點其實不僅僅在于寫法與架構上的調整�����,開發思路的轉變才是最重要的�����,我們會在上云的過程中更加深刻體會到這一點����。
日志的持久化存儲
無論是為了排障還是審計的需要����,后臺服務總是需要日志能力�����。按照以往的思路�����,我們將日志分好類后�����,統一寫入某個目錄下的日志文件即可�����。但是在 Docker 中����,任何本地文件都不是持久化的����,會隨著容器的生命周期結束而銷毀�����。因此����,我們需要將日志的存儲跳出容器之外����。
最簡單的做法是利用 Docker Manager Volume�����,這個特性能繞過容器自身的文件系統�����,直接將數據寫到宿主物理機器上�����。具體用法如下:
docker run -d -it --name=app -v /app/log:/usr/share/log app
運行 docker 時�����,通過-v 參數為容器綁定 volumes����,將宿主機上的 /app/log 目錄(如果沒有會自動創建)掛載到容器的 /usr/share/log 中����。這樣服務在將日志寫入該文件夾時�����,就能持久化存儲在宿主機上����,不隨著 docker 的銷毀而丟失了�����。
當然�����,當部署集群變多后�����,物理宿主機上的日志也會變得難以管理�����。此時就需要一個服務編排系統來統一管理了�����。從單純管理日志的角度出發����,我們可以進行網絡上報�����,給到云日志服務(如騰訊云 CLS)托管����?����;蛘吒纱鄬⑷萜鬟M行批量管理�����,例如Kubernetes這樣的容器編排系統�����,這樣日志作為其中的一個模塊自然也能得到妥善保管了�����。這樣的方法很多����,就不多加贅述了�����。
k8s 服務控制器的選擇
鏡像優化之外����,服務編排以及控制部署的負載形式對性能的影響也很大�����。這里以最流行的Kubernetes的兩種控制器(Controller):Deployment 與 StatefulSet 為例�����,簡要比較一下這兩類組織形式����,幫助選擇出最適合服務的 Controller����。
StatefulSet是 K8S 在 1.5 版本后引入的 Controller�����,主要特點為:能夠實現 pod 間的有序部署�����、更新和銷毀����。那么我們的制品是否需要使用 StatefulSet 做 pod 管理呢����?官方簡要概括為一句話:
Deployment 用于部署無狀態服務����,StatefulSet 用來部署有狀態服務�����。
這句話十分精確�����,但不易于理解����。那么����,什么是無狀態呢�����?在我看來����,StatefulSet的特點可以從如下幾個步驟進行理解:
StatefulSet管理的多個 pod 之間進行部署�����,更新����,刪除操作時能夠按照固定順序依次進行�����。適用于多服務之間有依賴的情況����,如先啟動數據庫服務再開啟查詢服務����。
由于 pod 之間有依賴關系�����,因此每個 pod 提供的服務必定不同�����,所以 StatefulSet 管理的 pod 之間沒有負載均衡的能力����。
又因為 pod 提供的服務不同�����,所以每個 pod 都會有自己獨立的存儲空間����,pod 間不共享����。
為了保證 pod 部署更新時順序����,必須固定 pod 的名稱����,因此不像 Deployment 那樣生成的 pod 名稱后會帶一串隨機數�����。
而由于 pod 名稱固定�����,因此跟 StatefulSet 對接的 Service 中可以直接以 pod 名稱作為訪問域名�����,而不需要提供Cluster IP�����,因此跟 StatefulSet 對接的 Service 被稱為 Headless Service����。
通過這里我們就應該明白����,如果在 k8s 上部署的是單個服務�����,或是多服務間沒有依賴關系����,那么 Deployment 一定是簡單而又效果最佳的選擇�����,自動調度�����,自動負載均衡�����。而如果服務的啟停必須滿足一定順序����,或者每一個 pod 所掛載的數據 volume 需要在銷毀后依然存在����,那么建議選擇 StatefulSet�����。
本著如無必要�����,勿增實體的原則����,強烈建議所有運行單個服務工作負載采用 Deployment 作為 Controller����。
讀到這里����,這篇“Node服務如何進行Docker鏡像化”文章已經介紹完畢����,想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領會����,如果想了解更多相關內容的文章����,歡迎關注億速云行業資訊頻道����。
