本文將根據(jù)我從官方鏡像學(xué)到的經(jīng)驗(yàn)，講解編寫Dockerfile的技巧。

1. 選擇Debian

官方鏡像的大多數(shù)Dockerfile，不管是直接還是通過其他鏡像，都是基于Debian的。Dockerfile版本通常跟特定的發(fā)行版掛鉤，正常是使用穩(wěn)定版(wheezy)，有些是測試版(jessie)，還有是不穩(wěn)定版(sid)。Debian鏡像的主要好處是文件小，加起來才85.1MB，而Ubuntu要200MB。指定準(zhǔn)確的發(fā)行版可以預(yù)防一些問題，比如，即使標(biāo)上latest的發(fā)行版升級了，構(gòu)建也不會(huì)崩潰。

2. 確定來源

如果要用戶信賴你的鏡像，你就要考慮如果驗(yàn)證此鏡像上的所有軟件的真實(shí)性。如果通過apt-get方式從Debian的倉庫獲取，這個(gè)驗(yàn)證過程已經(jīng)被解決了。如果從網(wǎng)上下載文件，或者從第三方倉庫安裝軟件，你就應(yīng)該通過校驗(yàn)和、數(shù)字簽名等方式驗(yàn)證這些文件。比如，為了驗(yàn)證nginx包，nginx的Dockerfile會(huì)做如下操作：

RUN apt-key adv --keyserver pgp.mit.edu --recv-keys 573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62 
RUN echo "deb http://nginx.org/packages/mainline/debian/ wheezy nginx" >> /etc/apt/sources.list 
  
ENV NGINX_VERSION 1.7.7-1~wheezy 
  
RUN apt-get update && apt-get install -y nginx=${NGINX_VERSION} 

注意nginx也是跟一個(gè)特定的版本關(guān)聯(lián)的。這種做法可以保證，維護(hù)者測試的鏡像跟構(gòu)建工具構(gòu)建的是相同的。但是，這個(gè)假設(shè)也不是絕對的，因?yàn)閚ginx本身的依賴也會(huì)隨時(shí)間變化(比如有些依賴會(huì)標(biāo)明>=某個(gè)版本)。

你自己也可以對下載的文件做相似的操作，計(jì)算文件校驗(yàn)和，然后跟本地版本(stored version)比較。這些操作都由Redis Dockerfile做過了。另外，有些下載的文件可能包含簽名文件，你可以通過gpg來驗(yàn)證，通常這些操作都由官方鏡像做過了。

不幸的是，一些官方鏡像也沒能定期正確地進(jìn)行這些驗(yàn)證操作，或者只驗(yàn)證了部分文件，所以查看官方Dockerfile時(shí)要注意下。

3. 移除構(gòu)建依賴

如果通過源碼編譯構(gòu)建，你的鏡像通常比需要的大很多。可能的話，在同一條RUN指令中，安裝構(gòu)建工具、構(gòu)建軟件，然后移除構(gòu)建工具。雖然這樣做又詭異又惱人，但是可以省下幾百M(fèi)B空間。在不同的指令中刪除文件是沒有意義的，因?yàn)檫@些文件已經(jīng)被打包進(jìn)鏡像了。我們看下Redis Dockerfile是怎么做的：

RUN buildDeps='gcc libc6-dev make'; \ 
set -x \ 
&& apt-get update && apt-get install -y $buildDeps --no-install-recommends \ 
&& rm -rf /var/lib/apt/lists/* \ 
&& mkdir -p /usr/src/redis \ 
&& curl -sSL "$REDIS_DOWNLOAD_URL" -o redis.tar.gz \ 
&& echo "$REDIS_DOWNLOAD_SHA1 *redis.tar.gz" | sha1sum -c - \ 
&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \ 
&& rm redis.tar.gz \ 
&& make -C /usr/src/redis \ 
&& make -C /usr/src/redis install \ 
&& ln -s redis-server "$(dirname "$(which redis-server)")/redis-sentinel" \ 
&& rm -r /usr/src/redis \ 
&& apt-get purge -y --auto-remove $buildDeps 

gcc, libc和make在同一條指令中先被安裝，使用，然后被刪掉。另外注意下，作者還刪除了不會(huì)被使用的tar.gz源文件夾。順帶提下，這些代碼也演示了如何使用sha1sum來驗(yàn)證Redis下載文件的校驗(yàn)和。

4. 選擇gosu

gosu實(shí)用工具，通常用在ENTRYPOINT指令調(diào)用的腳本中，這些ENTRYPOINT指令位于官方鏡像的Dockerfile中。它是個(gè)類sudo的簡單工具，接受并運(yùn)行特定用戶的特定指令。但是gosu可以避免sudo怪異惱人的TTY和信號轉(zhuǎn)發(fā)(signal-forwarding)行為。

看下這篇編寫入口點(diǎn)腳本的官方建議https://docs.docker.com/articles/dockerfile_best-practices/，大多數(shù)官方鏡像都遵循該建議。

原文出自：http://www.oschina.net/translate/6-dockerfile-tips-official-images