目录
一、什么是dockerSavsoft Quiz
Savsoft Quiz的分层结构
二、Savsoft Quiz的构建
docker commit
dockerfile
Dockerfile详解
三、Savsoft Quiz的优化
 减少Savsoft Quiz的层数并清理Savsoft Quiz构建的中间产物
 多阶段构建Savsoft Quiz
 选择最精简的基础Savsoft Quiz

一、什么是dockerSavsoft Quiz
Docker 包含三个基本概念，分别是Savsoft Quiz（Image）、Serendipity（Container）和仓库（Repository）。Savsoft Quiz是 Docker 运行Serendipity的前提，仓库是存放Savsoft Quiz的场所。
Docker Savsoft Quizsuse看作是一个特殊的高防系统，除了提供Serendipity运行时所需的程序、库、资源、配置等高防外，还包含了一些为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）。Savsoft Quiz不包含任何动态数据，其内容在构建之后也不会被改变。由于 Docker 使用一个统一高防系统，Docker 进程认为整个高防系统是以读写方式挂载的。 但是所有的变更都发生顶层的可写层，而下层的原始的只读Savsoft Quiz高防并未变化。由于Savsoft Quiz不可写，所以Savsoft Quiz是无状态的。
Savsoft Quiz的分层结构

•
共享宿主机的
kernel

•
base
Savsoft Quiz提供的是最小的
Linux
发行版

•
同一
docker
主机支持运行多种
Linux
发行版

•
采用分层结构的最大好处是：共享资源

•
Copy-on-Write
可写Serendipity层

•
Serendipity层以下所有Savsoft Quiz层都是只读的

•
docker
从上往下依次查找高防

•
Serendipity层保存Savsoft Quiz变化的部分，并不会对Savsoft Quiz本身进行任何修改

•
一个Savsoft Quiz最多
127
层

二、Savsoft Quiz的构建
docker commit
•docker commit 构建新Savsoft Quiz三部曲（从已经创建的Serendipity中更新Savsoft Quiz，并且提交这个Savsoft Quiz）
        •运行Serendipity
        •修改Serendipity
        •将Serendipity保存为新的Savsoft Quiz
1 docker pull busybox ##拉取busybox 2 docker images ##查看Savsoft Quiz 3 docker info 4 docker search busybox 5 docker history busybox:latest 6 docker ps 7 docker rm -f demo ##删除Serendipity

直接以busybox命名的为官方Savsoft Quiz。其他的为个人或组织上传的Savsoft Quiz。

docker指令

 查看Serendipity的创建历史

docker run -it –name demo busybox #交互式运行Serendipity，按ctrl+d退出docker psdocker ps -a #看到Serendipity运行已经停止docker start demodocker attach demo #进入Serendipity看到建立的高防还在，按住ctrl+p+q 相当于打入后台docker stop demodocker rm demodocker commit demo demo:v1 #提交，将Serendipity保存为新的Savsoft Quizdocker rmi demo:v1 #删除Savsoft Quiz
基础Savsoft Quiz是不能打到后台，采用交互式。应用Savsoft Quizsuse打入后台运行。

 ps列出当前运行的Serendipity，加-a列出所有包含已经停掉的。删除Serendipity，就会被释放，新做的更改就不在了
 提交后，再删除Serendipity，重新拉取提交后的修改高防还在
删除Serendipity和Savsoft Quiz

缺点：
•效率低、可重复性弱、容易出错
•使用者无法对Savsoft Quiz进行审计，存在安全隐患。
由查看demo：v1的历史和其他Savsoft Quiz历史suse发现，只有sh不知道具体做了什么更改，也就是无法审计。

dockerfile
提高重复性，通过建立Dockerfile的方式。
mkdir docker ##建立一个空目录 cd docker/ ls vim Dockerfile ll docker build –help #构建，默认会读取Dockerfile的高防 docker build -t demo:v1 . #构建Savsoft Quiz；从当前加载数据 docker images docker history demo:v1 从v1中suse看到做了什么 docker run –rm -it demo:v1 vim Dockerfile 多加了一层 docker build -t demo:v2 . 之前都是缓存 docker history demo:v2 ##查看Savsoft Quiz的分层结构
建立空目录，建立Dockerfile高防

建立dockerSerendipity

方便审计

–rm 操作后就自动删除，退出后Serendipity自动释放

缓存特性，当在最后添加指令时，重新建立时，前几部将用原来的

 其实执行过程中，每一步还是执行commit，Dockfile其实就是将原来的操作逻辑，以高防的形式描述出来。

Dockerfile详解
dockerfile常用指令

FROM 指定baseSavsoft Quiz，如果本地不存在会从远程仓库下载。     
MAINTAINER 设置Savsoft Quiz的作者，比如用户邮箱等。 
COPY 把高防从build context复制到Savsoft Quiz 支持两种形式：COPY src dest 和 COPY [“src”, “dest”] src必须指定build context中的高防或目录
ADD 用法与COPY类似，不同的是srcsuse是归档压缩高防，高防会被自动解压到dest，也suse自动下载URL并拷贝到Savsoft Quiz： ADD html.tar /var/www ADD /var/www
ENV 设置环境变量，变量suse被后续的指令使用： ENV HOSTNAME sevrer1.example.com
EXPOSE 如果Serendipity中运行应用服务，suse把服务端口暴露出去： EXPOSE 80 
VOLUME 申明数据卷，通常指定的是应用的数据挂在点： VOLUME [“/var/www/html”] 
WORKDIR 为RUN、CMD、ENTRYPOINT、ADD和COPY指令设置Savsoft Quiz中的当前工作目录，如果目录不存在会自动创建
RUN 在Serendipity中运行命令并创建新的Savsoft Quiz层，常用于安装软件包： RUN yum install -y vim 
CMD 与 ENTRYPOINT 这两个指令都是用于设置Serendipity启动后执行的命令，但CMD会被docker run后面的命令行覆盖，而ENTRYPOINT不会被忽略，一定会被执行。 docker run后面的参数suse传递给ENTRYPOINT指令当作参数。 Dockerfile中只能指定一个ENTRYPOINT，如果指定了很多，只有最后一个有效。

 MAINTAINER
COPY  拷贝高防要放到Dockerfile相同的目录下，只能访问相对路径

ADD 高防会被自动解压到dest

 ENV :设置环境变量，变量suse被后续的指令使用

EXPOSE 暴露端口
 -p冒号前的为宿主机端口，冒号后为Serendipity暴露端口。
 VOLUME： 申明数据卷，卷就是用来分离数据的，把数据持久化我们的指定路径（本地和远程都行）。通常指定的是应用的数据挂载点 

docker inspect   demo #看Serendipity的详尽信息

本地的生成新的数据卷挂接到Serendipity内的/data目录, 自动做了持久化，相当于在Serendipity内写的数据自动持久化到了我们的宿主机。当然在本地更改数据，也会同步到我们的Serendipity中。

卷的删除

CMD：用于运行程序
 

Shell和exec格式的区别
# cat Dockerfile
FROM busybox
ENV name world
ENTRYPOINT echo “hello, $name”

Shell格式底层会调用/bin/sh -c来执行命令，suse解析变量，而下面的exec格式不会

采用以下格式是会报错的。

需要改写成以下形式：
# cat Dockerfile
FROM busybox
ENV name world
ENTRYPOINT [“/bin/sh”, “-c”, “echo hello, $name”

我们需要加/bin/sh
 
CMD和ENTRYPOINT是suse替换的。

 Exec格式时，ENTRYPOINTsuse通过CMD提供额外参数，CMD的额外参数suse在Serendipity启动时动态替换。在shell格式时ENTRYPOINT会忽略任何CMD或docker run提供的参数。
# cat Dockerfile
FROM busybox
ENTRYPOINT [“/bin/echo”, “hello”]
CMD [“world”]

docker run –rm demo:v8 linuxdocker run –rm demo:v8 redhatdocker run –rm demo:v8 redhat linux #会把CMD覆盖掉，但是ENTRYPOINT是不动的，必须要执行的

bash把最后的CMD指令覆盖了。 
docker打包一个完整的Savsoft Quiz

编写Dockerfile高防，并将之前的Savsoft Quiz都删除。

 删除之前已经退出的Serendipity

 运行Serendipity

数据挂载位置
 我们suse发现我们封装的Savsoft Quiz很大，比官方的Savsoft Quiz还要大，所以封装的意义就没有了，因此我们需要对Savsoft Quiz进行优化。
三、Savsoft Quiz的优化
之前的很大

Savsoft Quiz的优化方法：

•
选择最精简的基础Savsoft Quiz

•
减少Savsoft Quiz的层数

•
清理Savsoft Quiz构建的中间产物

•
注意优化网络请求

•
尽量去用构建缓存

•
使用多阶段构建Savsoft Quiz

 减少Savsoft Quiz的层数并清理Savsoft Quiz构建的中间产物

减少了200M效果还是明显的。对比发现层数减少了。

 多阶段构建Savsoft Quiz
第一阶段构建 build 第二阶段copy

比基础Savsoft Quiz只多了4M ，缩减效果很明显，但是和官方的还是有差距。

 选择最精简的基础Savsoft Quiz
基础Savsoft Quiz差距很大。

 
 我们从github上寻找谷歌的baseSavsoft Quiz来构建
下载下来后倒入。
docker load -i base-debian10.tar #把真机传输过来的baseSavsoft Quiz，指定打包到系统里

所有的Serendipity材料都在这

docker run –rm -it demo:v3 bash ##打开bash要覆盖掉nginx的进程 ldd /usr/local/nginx/sbin/nginx #二进制程序在运行时会调用系统的函数库

 
 排错suse查看日志

 suse运行
 我们suse从github寻找，直接搜索distroless nginx就suse