Docker: faire les images les plus petites avec du NodeJS

Etape 1 : usage des "&&"

Il faut savoir que de base, Docker crée un "layer" pour chaque ligne de commande déclaré dans le fichier Dockerfile.

Prenons le cas suivant:

FROM ubuntu

RUN apt-get update
RUN apt-get install vim


Nous allons avoir 2 layers de créé: un pour chaque run. De plus, Docker, à chaque fois que vous lancer une commande de compilation, va regarder si les layers ont changé, si oui, il va en créé des nouveaux, sans effecer les anciens. Ce qui peut rapidement prendre de la place.

Et là, nous avons un exemple très simple, mais cela peut être critique quand vous avez de nombreuses lignes.

Vous pouvez remplacer l'exemple suivant par:

FROM ubuntu

RUN apt-get update && apt-get install vim


Et si vous voulez le rendre lisible:

FROM ubuntu

RUN apt-get update \
    && apt-get install vim


Etape 2 : faisons du multi-stage

Imaginons que nous avons une application NodeJS (utilisant Express, ou autre). Nous allons avoir tendance à écrire un fichier Dockerfile comme suit:

FROM node:8

EXPOSE 3000
WORKDIR /app
COPY package.json index.js ./
RUN npm install

CMD ["npm", "start"]


Où nous exposons le port 3000, nous créons un répertoire de travail "app", nous copions les fichiers nécessaires, nous installons les dépendances NPM et nous démarrons le serveur.


Classique, mais pas optimisé, car nous allons avoir 5 layers.

Essayons l'approche dite "multi-stage", qui consiste à nommer les "FROM" et à les réutiliser:

FROM node:8 as build

WORKDIR /app
COPY package.json index.js ./
RUN npm install

FROM node:8

COPY --from=build /app /
EXPOSE 3000
CMD ["npm", "start"]


Comme nous pouvons le voir, nous avons uns "stage" se nommant "build" qui va regrouper 3 commandes

Nous avons ensuite le stage le plus haut, qui ne devrait changer d'ailleurs, qui accède au stage précédant.

L'avantage de cela c'est que désormais, nous avons plus que trois layers: un pour le stage "build", un pour le "EXPOSE" et un pour le "CMD".

C'est d'autant plus avantageux que ces derniers layers ne vont pas bouger, alors que le layer du stage build lui se mettre à jour et seulement lui.


Etape 3 - version 1 : Distroless

Derrière ce nom barbare se cache un principe tout simple: ne conserver que ce qui est nécessaire pour que cela fonctionne.

Par exemple, quand nous lançons notre image Docker, notre serveur n'a besoin au fond que de NodeJS lui même, plus de NPM, ni d'apt-get, etc ...

Un projet de Google a été créé dans ce sens et qui s'appelle tout simplement Distroless: https://github.com/GoogleCloudPlatform/distroless

Ils nous ont fait des images Docker et nous allons l'utiliser dans l'exemple précédent.

FROM node:8 as build

WORKDIR /app
COPY package.json index.js ./
RUN npm install

FROM gcr.io/distroless/nodejs

COPY --from=build /app /
EXPOSE 3000
CMD ["npm", "start"]


Comme vous pouvez voir, la différence est minime: nous avons changé juste le deuxième "FROM"

Mais l'impact est énorme. Car nous pouvons passer d'une image Docker de 600 Mo à ... 80 Mo !!!!

Par contre, attention: nous ne pouvons plus "débugguer".

Ce que j'entends, c'est que nous ne pouvons plus faire ce genre de chose:

> docker exec -ti dockerID bash

Car bash sera enlevé. Donc nous ne pouvons plus regardé les logs, ou ce qui se passe sur l'instance Docker. La seule chose que nous pourrons faire sera de lancer une commande node.

Après, cela a un bon côté des choses: en production, personne ne pourra alors analyser le système et le modifié, ce qui renforce la sécurité.


Etape 3 - version 2 : Alpine Linux

Alpine Linux est une distribution permettant d'avoir une image très légère de linux ou en étant très sécurisé.

Du coup, nous allons modifier notre script pour utiliser une version Alpine de Node:

FROM node:8 as build

WORKDIR /app
COPY package.json index.js ./
RUN npm install

FROM node:8-alpine

COPY --from=build /app /
EXPOSE 3000
CMD ["npm", "start"]


Si nous analysons nos images, nous voyons ... que nous avons une image de 70 Mo ! Et en plus nous avons un shell, contrairement à la version distroless.

Le hic potentiel est que si nous utilisons des dépendances NPM qui ont d'être compilé via node-gyp, nous pouvons avoir des soucis, car Alpine Linux utilise "glibc" pour compiler.


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

ISO: liens & outils utiles

Image
Voici quelques normes ISO à connaître et que vous aurez à faire face dans vos développements. Et quelques liens / outils permettant de s'assurer que nous faisons correctement leurs intégrations Code Pays https://countrycode.org/ est super site qui permet de lister les pays du monde avec leur country code (en mode number et iso): Et par pays, nous pouvons avoir des informations supplémentaires, comme le format téléphone, la position géographique, la time zone, la monnaie, etc: Ce site du coup regroupe les country code: En ISO 3166 name (où un nom est attribué à un pays) En ISO 3166 numeric (où un chiffre numérique est attribué à un pays) En ISO 3166-1 alpha-2 (code en 2 alpha majuscule) En ISO 3166-1 alpha-3 (code en 3 alpha majuscule) Ainsi que les langues. Tout cela est d'ailleurs regroupés dans ce fichier téléchargeable . Code langue / locale Là, nous tombons dans un des plus grands soucis d'un développeur: co...
Lire la suite

NodeJs et SSL: une petite analyse

Le but de cet article est de faire un petit tour d'horizon de l'usage de SSL dans nos applications NodeJs, en l'occurence, quand nous souhaitons faire une application Web, une API REST, ou les deux. Nous allons avoir 6 étapes pour de réalisation d'un serveur NodeJs, avec à chaque fois 12 clients: Un client NodeJs sans certificats SSL - strictSSL à false Un client NodeJs sans certificats SSL - strictSSL à true Un client NodeJs avec un certificat SSL client non fiable - strictSSL à false Un client NodeJs avec un certificat SSL client non fiable - strictSSL à true Un client NodeJs avec un certificat SSL server non fiable - strictSSL à false Un client NodeJs avec un certificat SSL server non fiable - strictSSL à true Un client NodeJs avec un certificat SSL client fiable - strictSSL à false Un client NodeJs avec un certificat SSL client fiable - strictSSL à true Un client NodeJs avec un certificat SSL serveur fiable - strictSSL à false...
Lire la suite

Créer sa commande slack en quelques minutes

Image
Le but de cet article est de vous montrer que très simplement, nous pouvons créer une commande personnalisée pour Slack. Ici, nous allons afficher des chats :)" Tout d'abord, nous allons nous créer des comptes sur: Slack:  https://slack.com Heroku:  http://www.heroku.com/ qui permettra d'héberger notre service REST pour Slack Gitlab: https://gitlab.com  qui permet évidemment d'héberger notre code, mais qui pourra de manière automatiser déployer notre application sur Heroku à chaque commit (et cela, même en mode "gratuit") Concentrons-nous tout d'abord sur Heroku et Gitlab. Créons un compte Heroku. Une fois cela fait, aller dans votre compte :. Vous verrez alors une section nommée "API key": Cliquez sur "Reveal" pour voir la valeur et conservez la bien en mémoire. Ensuite, sur en retournant sur votre dashboard d'applications Heroku , cliquez sur "New" et créez une nouvelle application. Dans...
Lire la suite