從容器鏡像的選擇-alpine 說起

• 2022 年 1 月 23 日
• 筆記
• .NET, docker, Kubernetes

在 容器崛起之前，Alpine 還是個無名之輩，可能是因為大家並不是很關心作業系統本身的大小，畢竟大家只關心業務數據和文檔，程式、庫文件和系統本身的大小通常可以忽略不計。

容器技術席捲整個軟體產業之後，大家都注意到了一個問題，那就是容器的鏡像太大了，浪費磁碟空間，拉取鏡像的時間也很長。於是，人們開始尋求適用於容器的更小的鏡像。對於那些耳熟能詳的發行版（例如 Ubuntu、Debian、Fedora）來說，只能通過刪除某些工具（例如 ifconfig 和 netstat）將鏡像體積控制在 100M 以下。而對於 Alpine 而言，什麼都不用刪除，鏡像大小也就只有 5M 而已。

Alpine 鏡像的另一個優勢是包管理工具的執行速度非常快，安裝軟體體驗非常順滑。誠然，在傳統的虛擬機上不需要太關心軟體包的安裝速度，同一個包只需要裝一次即可，無需不停重複安裝。容器就不一樣了，你可能會定期構建新鏡像，也可能會在運行的容器中臨時安裝某些調試工具，如果軟體包的安裝速度很慢，會很快消磨掉我們的耐心。

Alpine作業系統是一個面向安全的輕型Linux發行版。它不同於通常的Linux發行版，Alpine採用了musl libc和BusyBox以減小系統的體積和運行時資源消耗，但功能上比BusyBox又完善得多。在保持瘦身的同時，Alpine還提供了自己的包管理工具apk，可以通過//pkgs.alpinelinux.org/packages查詢包資訊，也可以通過apk命令直接查詢和安裝各種軟體。

Alpine Docker鏡像也繼承了Alpine Linux發行版的這些優勢。相比於其他Docker鏡像，它的容量非常小，僅僅只有5MB左右（Ubuntu系列鏡像接近200MB），且擁有非常友好的包管理機制。官方鏡像來自docker-alpine項目。

在製作docker鏡像時，使用 multi stage 構建各個不同階段的命令文件，最終copy到busybox或alpilne中執行。這樣做得好處有二：

1. 保持鏡像最小，busybox，alpine 是最小的作業系統鏡像

2. 有各種linux工具使用，busybox本身是一個linux工具集

3. 構建stage建議使用alpine和其它的官方包， 主要理由是此鏡像比busybox稍大，但是比其他的系統鏡像都小，有人就問了，為撒不用busybox呢，因為busybox沒有包管理工具，這帶來很多不便；這點也是busybox和alpine的主要區別

下面我們來看一看.NET 和 Java的 alpine 的鏡像情況：

當前Java 沒有針對Alpine的官方穩定的OpenJDK 11構建，雖然 //adoptopenjdk.net/ 擁有Alpine對Java 11的官方支援：//hub.docker.com/r/adoptopenjdk/openjdk11。

從.NET Core 1.0開始 .NET 就有針對Alpine 的官方穩定的.NET 構建，對Alpine 有非常好的支援，因為它包含的軟體包更少，並且由於其表面積的減少，似乎具有更有限的CVE暴露：//hub.docker.com/_/microsoft-dotnet-runtime。

相關文章：

• 優化 ASP.NET Core Docker 鏡像的大小

• //github.com/dotnet/dotnet-docker/blob/main/documentation/guiding-principles.md 

• //devblogs.microsoft.com/dotnet/staying-safe-with-dotnet-containers/