构建多系统架构支持的 Docker 镜像
前言
陪伴了我 3 年的 Mac 在几个月前迎来了它的退休时刻,我将其置换成了公司新发的 Mac M1。对电子产品并不太感冒的我,并没有意识到 M1 是 ARM 架构的(除了个别软件的安装异常之外),显然,Mac M1 做的是不错的,我并没有太多吐槽它的机会。这也是我第一次近距离接触 ARM 架构的机会。
很快,在工作上,我遇到了第二次跟 ARM 打交道的机会。我们越来越多的客户,开始选择 ARM 架构的服务器作为 IaaS 层资源,这给我们的交付带来了一些工作量。适配工作中比较重要的一环便是 Docker 镜像,需要产出支持 ARM 架构的版本。
本文主要记录笔者在构建多系统架构支持的 Docker 镜像时的一些经验,以及一些个人的理解。
前置知识点
CPU 架构
主流的 CPU 架构就两类:x86 和 ARM。但在发展过程中,他们的命名并不一定都是如此。例如 amd64、x86_64 指的都是 x86 的 64 位架构,arm64v8、aarch64、arm64 指的都是 ARM 的 64 位架构。
在 docker hub 中,主流的镜像都列出了支持的架构,你也可以通过 Architectures 来进行镜像筛选。
docker buildx
在 docker buildx 出现之前,我们只能通过 docker build 来构建镜像。顾名思义,docker buildx 是对 docker 构建能力的一个扩展,它最大的一个亮点便是对多系统架构构建的支持。
docker buildx 适用于 Docker v19.03+ 版本
一个 docker buildx 的构建示例:
1 | docker buildx build -t cop/cop-demo --platform linux/amd64 . |
我们将在下文详细介绍这一命令。
docker manifest
docker manifest 清单,该功能仍处于实验性阶段,也是多系统架构构建的一个关键命令。其可以让我们了解一个镜像的分层信息、大小、签名,最关键的,他可以让我们了解该镜像支持的架构信息。
1 | ~ docker manifest inspect openjdk |
platform 一栏,使我们最关注的架构支持信息。
对比 digest 信息,可以发现和 docker hub 的信息是一致的。
本文环境说明
本文所有操作基于 Mac M1,Docker Desktop 进行。相关操作可能涉及 experiment 和 buildkit 特性,需要开启。我的配置参考:
1 | { |
拉取多架构镜像
在没有使用 Mac M1 / ARM 架构之前,拉取镜像似乎并没有那么多烦恼。
1 | docker pull openjdk |
从前文可以得知,openjdk 在不同架构下有不同的 digest,docker 会自行判断当前机器的架构,拉取对应架构的版本。例如 Mac M1 上我拉取的便是 arm64 的版本:
1 | ~ docker image inspect openjdk | grep Arch |
我们也可以通过 –platform 参数来指定拉取的操作系统&架构对应的镜像
1 | docker pull --platform linux/amd64 openjdk |
同一个镜像 tag,本地只会保存一份,再次查看本地镜像的架构信息,已经是 amd64 了:
1 | ~ docker image inspect openjdk | grep Arch |
hub 端支持根据按照 Arch 存储多份镜像,实际借助了 manifest 等机制,但并不是所有镜像都支持了 manifest,这也意味着, --platform 参数并不适用于所有镜像,你可以通过 docker manifest inspect 确认镜像的 Arch 支持情况。
构建多架构镜像
在调研构建多架构镜像方案时,我有不少困惑,也踩过不少坑,最终我采用的是 docker buildx 构建多架构镜像,并通过 docker manifest 合并清单列表的方案。
寻找支持多架构的 parent 镜像
以 openjdk 为例,其提供了 arm64 和 amd64 的版本,我们就用它来做 demo。
Java demo:
1 | public class Main { |
Dockerfile:
1 | FROM openjdk:17 |
本地构建多架构镜像
1 | ~ docker buildx inspect --bootstrap |
docker buildx 默认的构建器支持构建 linux/arm64, linux/amd64 等操作系统 & 架构的镜像。Docker 通过交叉构建实现该能力,所以并不限制于构建机器的 CPU 架构。
而 docker buildx 支持 --platform 参数,该参数可以指定构建镜像的操作系统 & CPU 架构
1 | docker buildx build -t kiritomoe/java-multi-arch-demo:1.0-aarch64 --platform linux/arm64 -o type=docker . |
创建推送 Manifest 清单
在上一步中,其实我们已经构建了多架构的镜像,但此时,不同架构对应了不同的 tag,这与我们熟悉的 openjdk 的方案还有些差别。openjdk 等镜像实现同一个 tag 绑定多架构版本正是使用了 docker manifest。
1 | docker manifest create kiritomoe/java-multi-arch-demo:1.0 kiritomoe/java-multi-arch-demo:1.0-x86_64 kiritomoe/java-multi-arch-demo:1.0-aarch64 |
注意最终推送的是 kiritomoe/java-multi-arch-demo:1.0 该 manifest,并没有推送其他镜像。并且在 manifest 推送之后,需要删除本地副本,这使得我们今后在本地执行诸如 docker manifest inspect kiritomoe/java-multi-arch-demo:1.0 等操作时,确保是从远程仓库加载的,manifest 只有存在于远程仓库,才有意义。
查看远程仓库的多架构镜像
成功将多架构绑定到了同一个 tag。
使用命令行查看
1 | ~ docker manifest inspect kiritomoe/java-multi-arch-demo:1.0 |
一些谈不上最佳实践的实践
如果你调研过多架构方案的支持,会发现其实上述的方案并不是唯一的支持方案,个人精力也有限,我没有详细考究 docker 对多架构支持的发展历史,要不是项目需要,天知道我竟然花了两天时间在研究这些东西。但上述的方案是我目前总结下来最简单的方案。
尽管 docker 实现了根据编译机器自动拉取适合本机的镜像,但该能力并不适用于所有的情况。例如
- 构建机器无法把控,那编译这一行为也将会变得不可控。
- 构建机器并不一定是最终运行镜像的机器
- 本地构建的测试开发场景
要想让这一切尽在掌控之中,我个人的建议是遵循两个原则:
- 业务镜像提供 multi-arch 支持。例如我的基础镜像选择了 centos(centos 是支持 multi-arch 的),我的本地环境是 Mac M1,而我们公司的构建机器是 x86,并不是每个人都是 docker 专家,我希望
From centos这个拉取镜像的策略变的可控,我愿意为之而编写两个 Dockerfile: Dockerfile_amd64 和 Dockerfile_arm64。最终对我的两个制品进行 manifest 合并,实现 multi-arch。 - 其他通用镜像支持 multi-arch 的同时,提供不同 Arch 的 tag。例如业务场景中,一般需要提供几类基础镜像
- 适用于 java 应用的基础镜像:java-base:1.0、java-base:1.0-aarch64、java-base:1.0-x86_64
- 适用于前端应用的基础镜像:nginx-base:1.0、nginx-base:1.0-aarch64、nginx-base:1.0-x86_64
- 适用于通用应用的基础镜像:centos-base:1.0、centos-base:1.0-aarch64、centos-base:1.0-x86_64
尽管我清楚可以通过 sha256 精准拉取到指定 Arch 的镜像,但会徒增很多理解成本。
参考
构建多系统架构支持的 Docker 镜像
