Python 是一门广泛使用的编程语言,在容器化环境中,构建和使用 Python 镜像是非常常见的任务。本文将提供一个完整的指南,包括选择基础镜像、制作流程、不同场景下的应用、安全性最佳实践以及镜像优化策略。
1. 选择合适的基础镜像
1.1 官方 Python 镜像
Docker Hub 提供了官方 Python 镜像,这是一个值得信赖的选择。它由 Python 官方维护,提供了最新的稳定版本和安全更新。
1.2 Alpine Linux 镜像
如果对镜像大小有要求,可以选择基于 Alpine Linux 的 Python 镜像。Alpine Linux 是一个轻量级的 Linux 发行版,适合容器化应用。
1.3 自定义镜像
根据应用的需求,可以创建自定义的 Python 镜像,包含所需的依赖和配置。
使用amazonlinux容器镜像,制作自己的python 3.9镜像
- FROM public.ecr.aws/amazonlinux/amazonlinux:2023-minimal
-
- # 安装Python 3.9依赖和必要工具,下载、编译并安装Python 3.9,验证Python 3.9安装
- RUN dnf install -y tar zlib zlib-devel gcc openssl-devel bzip2-devel libffi-devel make && \
- curl -O https://www.python.org/ftp/python/3.9.7/Python-3.9.7.tgz && \
- tar -xzf Python-3.9.7.tgz && \
- cd Python-3.9.7 && ./configure --enable-optimizations && make && make install && \
- python3.9 --version && \
- rm -rf Python-3.9.7.tgz Python-3.9.7 && \
- dnf clean all && \
- rm -rf /var/cache/dnf /usr/share/doc /usr/share/man
-
- # 设置工作目录
- WORKDIR /app
-
- # 指定容器启动时执行的命令
- CMD ["/bin/bash"]
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 12.
- 13.
- 14.
- 15.
- 16.
- 17.
2. 制作 Python 镜像的最佳实践
2.1 利用多阶段构建
使用多阶段构建可以减小最终镜像的大小,将构建过程中产生的临时文件保留在一个阶段,只将运行时需要的文件复制到最终镜像中。
- # 第一阶段:构建依赖
- FROM python:3.9-slim AS builder
-
- WORKDIR /app
- COPY requirements.txt .
-
- RUN pip install --no-cache-dir -r requirements.txt
-
- # 第二阶段:最终镜像
- FROM python:3.9-slim
-
- WORKDIR /app
- COPY /usr/local/lib/python3.9/site-packages /usr/local/lib/python3.9/site-packages
- COPY . .
-
- CMD ["python", "app.py"]
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 12.
- 13.
- 14.
- 15.
- 16.
3. 不同场景下的应用
3.1 Web 应用
对于基于 Python 的 Web 应用,可以使用 Gunicorn 或 uWSGI 作为应用服务器,并将其与 Nginx 或 Caddy 等反向代理结合使用。
3.2 定时任务
对于定时任务,可以使用 cron 或类似的调度工具,并在镜像中运行任务脚本。
4. 安全性最佳实践
4.1 最小权限原则
在 Dockerfile 中使用非 root 用户运行应用程序,以最小化潜在的攻击面。
4.2 更新基础镜像和依赖
定期更新基础镜像和依赖,以确保应用程序使用最新的安全版本。
5. 镜像优化策略
5.1 多阶段构建
通过多阶段构建,只保留最终运行时所需的组件,减小镜像大小。
- # 第一阶段:构建和测试
- FROM python:3.9-slim AS builder
-
- WORKDIR /app
- COPY requirements.txt .
-
- RUN pip install --no-cache-dir -r requirements.txt
-
- # 添加其他构建步骤
-
- # 第二阶段:最终镜像
- FROM python:3.9-slim
-
- WORKDIR /app
- COPY /usr/local/lib/python3.9/site-packages /usr/local/lib/python3.9/site-packages
- COPY . .
-
- CMD ["python", "app.py"]
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 12.
- 13.
- 14.
- 15.
- 16.
- 17.
- 18.
基于 NVIDIA CUDA 12.1.0 运行时的 Python 环境镜像,容器使用gpu运行自己服务
- # 第一阶段:构建Python
- FROM nvidia/cuda:12.1.0-runtime-ubi8 AS builder
-
- RUN dnf update -y && dnf install -y tar zlib zlib-devel gcc openssl-devel bzip2-devel libffi-devel make && \
- curl -O https://www.python.org/ftp/python/3.9.7/Python-3.9.7.tgz && \
- tar -xzf Python-3.9.7.tgz && \
- cd Python-3.9.7 && ./configure --enable-optimizations && make && make install && \
- python3.9 --version && \
- rm -rf Python-3.9.7.tgz Python-3.9.7 && \
- dnf clean all && \
- rm -rf /var/cache/dnf
-
- # 第二阶段:运行环境
- FROM nvidia/cuda:12.1.0-runtime-ubi8
-
- COPY --from=builder /usr/local /usr/local
-
- COPY requirements.txt /tmp/requirements.txt
- RUN mkdir /code \
- && pip3 install --upgrade pip \
- && pip3 install --default-timeout=1000 --no-cache-dir -r /tmp/requirements.txt \
- && pip3 install opencv-python-headless
-
- WORKDIR /code
- COPY govee_light_ai_v1/ .
- EXPOSE 8000
- CMD gunicorn -w 2 -b 0.0.0.0:8000 app_lamp:app
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 12.
- 13.
- 14.
- 15.
- 16.
- 17.
- 18.
- 19.
- 20.
- 21.
- 22.
- 23.
- 24.
- 25.
- 26.
- 27.
5.2 懒加载依赖
延迟加载应用程序的依赖项,根据需要在运行时下载。
5.3 资源清理
在构建过程中清理不必要的文件和依赖,减小镜像体积。
通过遵循这些建议,您将能够创建更安全、高效且适应不同场景的 Python 镜像。这些实践将有助于提高容器化应用程序的性能、安全性和可维护性。
