Освойте инструменты и лучшие практики DevOps — Центр знаний DevOps Освойте инструменты и лучшие практики DevOps — Центр знаний DevOps

Лучшие практики по управлению образами Docker с помощью Pull и Push

Изучите лучшие практики управления образами Docker с помощью `docker pull` и `docker push`. В этом руководстве рассматриваются эффективные рабочие процессы для получения, тегирования и загрузки образов в реестры, оптимизации размера образов, обеспечения воспроизводимости с помощью конкретных тегов и интеграции с конвейерами CI/CD. Улучшите свою стратегию управления образами Docker для более плавного процесса разработки и развертывания.

Лучшие практики управления Docker-образами с помощью pull и push

Docker-образы перемещают ваше приложение с ноутбука в CI и продакшн, но небрежные привычки pull и push могут сделать развертывание непредсказуемым. Если вы полагаетесь на плавающие теги, пропускаете проверки аутентификации реестра или отправляете образы без плана именования, вы можете развернуть неправильную сборку, даже если каждая команда выполняется успешно.

Эти лучшие практики управления Docker-образами с помощью docker pull и docker push сосредоточены на воспроизводимых тегах, безопасных рабочих процессах реестра и простых командах, которые можно использовать в скриптах и CI/CD-конвейерах.

Понимание docker pull

Команда docker pull — это ваш шлюз к доступу к обширной экосистеме предварительно созданных Docker-образов, доступных в реестрах. Она загружает образ или конкретный тег из реестра в ваш локальный Docker-демон. Это первый шаг, когда вам нужно использовать существующий образ в качестве основы для вашего собственного приложения или при запуске службы, которая полагается на определенный образ контейнера.

Базовое использование

Самый простой способ использовать docker pull — указать имя образа, опционально с тегом:

docker pull <имя_образа>[:<тег>]

Примеры:

  • Получение тега latest для Ubuntu:

    docker pull ubuntu

    Это загружает образ с тегом latest, который используется по умолчанию, если тег не указан. Относитесь к нему как к удобному тегу, а не как к фиксации для продакшна.

  • Получение конкретной версии Alpine Linux:

    docker pull alpine:3.18

    Это гарантирует, что вы получите воспроизводимую среду сборки.

  • Получение образа из конкретного реестра:

    docker pull registry.example.com/my-app:v1.2

    Если вы используете частный реестр или реестр, отличный от Docker Hub, вам нужно будет указать имя хоста реестра.

Лучшие практики для docker pull

  • Всегда указывайте тег: Полагаться на latest может привести к неожиданному поведению, поскольку владелец реестра может переместить этот тег в любое время. Явные теги, такие как alpine:3.18 или nginx:1.25-alpine, делают сборки легко повторяемыми.
  • Используйте неизменяемые ссылки для продакшна: Теги удобны для человека, но их можно перезаписать. Для строгих производственных развертываний развертывайте протестированный тег вместе с дайджестом образа, например nginx:1.25-alpine@sha256:<дайджест>.
  • Очищайте неиспользуемые образы: Регулярно очищайте локальный кеш образов с помощью docker image prune, чтобы освободить место на диске. Загруженные образы могут занимать значительный объем памяти.
  • Понимайте слои образов: Docker-образы строятся из слоев. Когда вы загружаете образ, вы загружаете эти слои. Docker интеллектуально кеширует эти слои локально, поэтому, если вы загружаете образ, который разделяет слои с уже имеющимся, будут загружены только новые слои, что ускоряет последующие загрузки.

Понимание docker push

Команда docker push используется для загрузки ваших локально созданных или измененных Docker-образов в реестр контейнеров. Это необходимо для обмена образами с коллегами, развертывания их в облачных платформах или хранения в качестве резервных копий.

Базовое использование

Чтобы отправить образ, он должен быть правильно тегирован с указанием имени хоста реестра, вашего имени пользователя (или названия организации), имени образа и тега.

docker push <имя_образа>[:<тег>]

Предварительные требования:

  1. Вы должны быть авторизованы в реестре, в который собираетесь отправлять, с помощью docker login.
  2. Образ должен быть правильно тегирован для целевого реестра.

Тегирование для отправки

Прежде чем отправить образ, вам нужно тегировать его полным путем к целевому репозиторию в реестре. Стандартный формат:

<имя_хоста_реестра>/<имя_пользователя_или_организация>/<имя_образа>:<тег>

Если вы отправляете в Docker Hub, имя_хоста_реестра обычно опускается, и формат становится <имя_пользователя>/<имя_образа>:<тег>.

Пример рабочего процесса:

Предположим, вы создали образ с именем my-app и хотите отправить его в свою учетную запись Docker Hub (myusername) с тегом v1.0.

  1. Создайте образ (если еще не сделали этого):

    docker build -t my-app .

  2. Тегируйте образ для Docker Hub:

    docker tag my-app:latest myusername/my-app:v1.0

    Примечание: Мы тегируем сборку latest образа my-app в конкретный путь реестра myusername/my-app:v1.0.

  3. Авторизуйтесь в Docker Hub:

    docker login

Используйте токен доступа Docker Hub или рекомендуемый поток токенов вашего реестра вместо ввода пароля учетной записи в автоматизацию.

  1. Отправьте тегированный образ:
    docker push myusername/my-app:v1.0

Лучшие практики для docker push

  • Тегируйте осмысленно: Используйте описательные теги (например, номера версий, имена релизов, staging, production) вместо просто latest. Это упрощает идентификацию и управление конкретными версиями вашего образа.
  • Используйте несколько тегов, когда это полезно: Релизный образ может иметь как тег 1.4.2, так и git-3f2a9c1. Версия помогает людям; хеш коммита указывает на исходный код.
  • Сканируйте образы на уязвимости: Перед отправкой, особенно в публичные репозитории или чувствительные среды, рассмотрите возможность сканирования ваших образов на известные уязвимости с помощью таких инструментов, как Docker Scout или сторонние сканеры.
  • Минимизируйте размер образа: Маленькие образы быстрее отправлять и загружать. Оптимизируйте свой Dockerfile, чтобы уменьшить размер образа (например, используйте многоэтапные сборки, очищайте промежуточные файлы, используйте минимальные базовые образы, такие как Alpine).
  • Используйте частные реестры для конфиденциальных данных: Для проприетарного кода или чувствительных конфигураций всегда используйте частный реестр и соответствующим образом управляйте контролем доступа.
  • Автоматизируйте тегирование и отправку: Интегрируйте тегирование и отправку образов в ваш CI/CD-конвейер для автоматических сборок и развертываний.

Продвинутые сценарии и советы

Загрузка и отправка нескольких тегов

По умолчанию docker pull и docker push работают с одной ссылкой на образ. Вы можете тегировать один и тот же ID образа несколько раз и отправлять каждый тег. Некоторые версии Docker также поддерживают docker image push --all-tags <репозиторий>, когда вы намеренно хотите отправить все локальные теги для репозитория.

Пример: Отправка образа с несколькими тегами

# Добавьте тег 'latest', указывающий на тот же ID образа
docker tag myusername/my-app:v1.0 myusername/my-app:latest

# Отправьте новый тег 'latest'
docker push myusername/my-app:latest

Аутентификация для частных реестров

Для частных реестров (таких как AWS ECR, Google GCR, Azure ACR или собственные реестры) вам нужно будет аутентифицироваться перед загрузкой или отправкой.

# Пример для Docker Hub
docker login

# Пример для AWS ECR (часто использует вспомогательную команду)
aws ecr get-login-password --region <регион> | docker login --username AWS --password-stdin <aws_account_id>.dkr.ecr.<регион>.amazonaws.com

Всегда обращайтесь к документации вашего конкретного реестра для правильного метода аутентификации.

Слои образов и кеширование

Слоевая файловая система Docker обеспечивает эффективность загрузки. Когда вы загружаете образ, Docker проверяет локальное хранилище контента на наличие существующих слоев и загружает только те слои, которых у него еще нет. Во время docker build BuildKit также может повторно использовать кешированные слои из предыдущих сборок, если инструкции Dockerfile и входные данные не изменились.

Поддержание образов в актуальном состоянии

Регулярно загружайте базовые образы и пересобирайте образы вашего приложения, чтобы включить исправления безопасности и обновления.

# Загрузите последний базовый образ
docker pull python:3.11-slim

# Пересоберите образ вашего приложения, используя обновленную базу
docker build -t myusername/my-app:v1.1 .

# Отправьте новую версию
docker push myusername/my-app:v1.1

Практический вывод

Для повседневной работы поддерживайте рутинный процесс: загружайте явные теги базовых образов, собирайте с версией и тегом коммита, сканируйте результат, входите с помощью токена, затем отправляйте только те ссылки, которые планируете развернуть. Для продакшна записывайте дайджест, прошедший тестирование, чтобы тот же образ можно было загрузить позже, даже если изменяемый тег изменится.