こんにちは、神崎(@tknzk)です。ElasticBeanstalk w/ multi-container Docker で構成しているad-serverのdocker image を alpine linuxベースのimageに置き換えました。
alpine linuxは、非常に軽量なdistributionで、DockerHubに登録されているmiddlewareなどの公式のdocker imageでも採用が進んでいるOSです。
以前のブログにも書いたとおり、ad-serverは ElasticBeanstalkで管理された multi-containerなdockerでクラスタを組んで、アプリケーションを稼働させています。その構成は、下記のようになっています。
- 本体のアプリケーションがはいったContainer (ad-server)
- webのリクエストを受け付けるためのnginx
- logコレクタとしてのtd-agent
- 監視用のmackerel-agent
とあるタイミングの docker imageのサイズは下記のようになっており、docker imageの肥大化がすすんでいました。
| image | size | base os |
|---|---|---|
| ad_server | 924.6MB | centos:6 |
| nginx | 134.1MB | debian:jessie |
| td-agent | 448.4MB | centos:6 |
| mackerel-agent | 423.1MB | ubuntu:14.04 |
肥大化を抑制するための方針として、できるだけ軽量なOSをベースにすること、不必要なパッケージをインストールしないことやbuildするときにだけ必要なパッケージを適宜削除することとして、imageを作成することにしました。
nginx
まずは、オフィシャルのimageが対応していたnginxをalpineベースのものに変更しました。 Dockerfileは下記のようになり、FROMとしてオフィシャルのalpineベースのものを指定しています。
FROM nginx:1.11.1-alpine MAINTAINER Takumi Kanzaki COPY nginx.conf /etc/nginx/nginx.conf
ad-server
ad-sereverはベースとなるruby, supervisord, mysqlをbuildしたimageに ad-server として必要なGemをinstallする imageをbuildするという構成になっていました。alpineをベースにするにあたり、下記のような調整を行いました。
前段のベースとなるdocker image
- ruby
- buildに必要なpackageはtemporaryとしてinstallしてuninstall
- supervisord
- ruby
Dockerfile
FROM alpine:3.4
ENV HOME /root
WORKDIR /tmp
# skip installing gem documentation
RUN mkdir -p /usr/local/etc \
&& { \
echo 'install: --no-document'; \
echo 'update: --no-document'; \
} >> /usr/local/etc/gemrc
# versions
ENV RUBY_MAJOR 2.3
ENV RUBY_VERSION 2.3.1
ENV RUBY_DOWNLOAD_SHA256 b87c738cb2032bf4920fef8e3864dc5cf8eae9d89d8d523ce0236945c5797dcd
ENV RUBYGEMS_VERSION 2.6.3
ENV BUNDLER_VERSION 1.12.5
# some of ruby's build scripts are written in ruby
# we purge this later to make sure our final image uses what we just built
RUN set -ex \
&& apk add --no-cache --virtual .ruby-builddeps \
autoconf \
bison \
bzip2 \
bzip2-dev \
ca-certificates \
coreutils \
curl \
gcc \
gdbm-dev \
glib-dev \
libc-dev \
libffi-dev \
libxml2-dev \
libxslt-dev \
linux-headers \
make \
ncurses-dev \
openssl-dev \
procps \
# https://bugs.ruby-lang.org/issues/11869 and https://github.com/docker-library/ruby/issues/75
readline-dev \
ruby \
yaml-dev \
zlib-dev \
&& curl -fSL -o ruby.tar.gz "http://cache.ruby-lang.org/pub/ruby/$RUBY_MAJOR/ruby-$RUBY_VERSION.tar.gz" \
&& echo "$RUBY_DOWNLOAD_SHA256 *ruby.tar.gz" | sha256sum -c - \
&& mkdir -p /usr/src \
&& tar -xzf ruby.tar.gz -C /usr/src \
&& mv "/usr/src/ruby-$RUBY_VERSION" /usr/src/ruby \
&& rm ruby.tar.gz \
&& cd /usr/src/ruby \
&& { echo '#define ENABLE_PATH_CHECK 0'; echo; cat file.c; } > file.c.new && mv file.c.new file.c \
&& autoconf \
# the configure script does not detect isnan/isinf as macros
&& ac_cv_func_isnan=yes ac_cv_func_isinf=yes \
./configure --disable-install-doc \
&& make -j"$(getconf _NPROCESSORS_ONLN)" \
&& make install \
&& runDeps="$( \
scanelf --needed --nobanner --recursive /usr/local \
| awk '{ gsub(/,/, "\nso:", $2); print "so:" $2 }' \
| sort -u \
| xargs -r apk info --installed \
| sort -u \
)" \
&& apk add --virtual .ruby-rundeps $runDeps \
bzip2 \
ca-certificates \
curl \
libffi-dev \
openssl-dev \
yaml-dev \
procps \
zlib-dev \
&& apk del .ruby-builddeps \
&& gem update --system $RUBYGEMS_VERSION \
&& rm -r /usr/src/ruby
# SETUP pip supervisord
RUN apk add --virtual .supervisord-deps --update \
python \
py-pip && \
pip install -q --upgrade "meld3==1.0.0" "supervisor" 2> /dev/null
# SETUP bundler
RUN gem install bundler --version "$BUNDLER_VERSION"
# SETUP ssl certificatate file
RUN ln -s /etc/ssl/certs/ca-certificates.crt /etc/ssl/cert.pem
後段のad-serverのアプリケーション用の docker image
- Gemのinstall
- native extension の build に必要なpackage を install/uninstall
- mysqlの必要ものだけ残して不要なバイナリは削除
- Gemのinstall
Dockerfile
#vim: set ft=ruby
FROM quay.io/vasilyjp/ruby:2.3.1-alpine_3_4-build
ENV LANG ja_JP.UTF-8
# --- SETUP: rubygems ---
ADD Gemfile /tmp/Gemfile
ADD Gemfile.lock /tmp/Gemfile.lock
ENV GEM_HOME /tmp/ad_server/bundle
# SETUP middleware deps
# build-base : native exetension build
# libgsasl : gem memcached
# cyrus-sasl-dev : gem memcached
# mariadb-dev : gem mysql2
# linux-headers : gem raindrops
RUN apk add --virtual .middleware-deps --update \
mariadb-dev \
libgsasl \
cyrus-sasl-dev && \
apk add --virtual .gem-build-deps --update \
build-base \
linux-headers && \
cd /tmp && \
bundle install --clean --jobs=4 && \
apk del .gem-build-deps && \
rm /usr/lib/libmysqld* && \
rm /usr/bin/mysql*
# すべての.bundle/configを無効化して、環境変数によって設定を反映させる
ENV BUNDLE_IGNORE_CONFIG 1
ENV BUNDLE_GEMFILE /var/app/Gemfile
ENV BUNDLE_DISABLE_SHARED_GEMS 1
ENV BUNDLE_JOBS 4
ENV BUNDLE_PATH /tmp/ad_server/bundle
VOLUME /var/app
WORKDIR /var/app
EXPOSE 3000
CMD ["supervisord"]
td-agent
alpineをベースにすることを検討しましたが、td-agentのbuildが難しく断念しましたが、CentOS:7 にすることで、多少のimage sizeの削減ができました。
# vim: ft=Dockerfile
FROM centos:7
ADD td.repo /etc/yum.repos.d/treasuredata.repo
RUN rpm --import https://packages.treasuredata.com/GPG-KEY-td-agent && \
yum -q -y install --enablerepo=treasuredata td-agent && \
yum update -q -y \
nss-tools \
nss-util \
nss-softokn-freebl \
nss-softokn \
nss \
bind \
bind-libs \
bind-utils \
openldap \
libuser \
pam \
libssh2 \
libxml2 \
openssl \
sqlite && \
yum clean all
CMD [ "td-agent", "-c", "/etc/td-agent/td-agent.conf", "--use-v1-config" ]
mackerel-agent
aplineベースでmackerel-agent, mackerel-agent-plugin, check-plugins をbuildするものを作成しました。 pull request を投げていますが、コメントにも書いてる通り、alpineのバグがあり一部のpluginが動かない状態です。 alpineで動かすのは厳しいことから、ubuntuベースで 不要なmackerel-agent-pluginを削除し、check-pluginは利用していないのでinstall自体をやめることにして、sizeの削減を行いました。
FROM ubuntu:14.04 # setup mackerel-agent RUN apt-get update \ && apt-get -y install curl sudo ruby docker.io \ && curl -fsSL https://mackerel.io/assets/files/scripts/setup-apt.sh | sh \ && apt-get update \ && apt-get -y install mackerel-agent mackerel-agent-plugins \ && apt-get clean \ && rm -rf /usr/bin/mackerel-plugin-apache2 \ && rm -rf /usr/bin/mackerel-plugin-conntrack \ && rm -rf /usr/bin/mackerel-plugin-elasticsearch \ && rm -rf /usr/bin/mackerel-plugin-gostats \ && rm -rf /usr/bin/mackerel-plugin-haproxy \ && rm -rf /usr/bin/mackerel-plugin-jmx-jolokia \ && rm -rf /usr/bin/mackerel-plugin-jvm \ && rm -rf /usr/bin/mackerel-plugin-mailq \ && rm -rf /usr/bin/mackerel-plugin-munin \ && rm -rf /usr/bin/mackerel-plugin-php-apc \ && rm -rf /usr/bin/mackerel-plugin-php-opcache \ && rm -rf /usr/bin/mackerel-plugin-plack \ && rm -rf /usr/bin/mackerel-plugin-postgres \ && rm -rf /usr/bin/mackerel-plugin-rabbitmq \ && rm -rf /usr/bin/mackerel-plugin-snmp \ && rm -rf /usr/bin/mackerel-plugin-squid \ && rm -rf /usr/bin/mackerel-plugin-td-table-count \ && rm -rf /usr/bin/mackerel-plugin-trafficserver \ && rm -rf /var/lib/apt/lists/* /tmp/* /var/tmp/* ADD startup.sh /startup.sh RUN chmod 755 /startup.sh # boot mackerel-agent CMD ["/startup.sh"]
現在のproduction環境の docker images
上記のように、ベースのOSを変更したり、 Dockerfileを工夫したりをして、docker imageのsizeを削減することができました。現在のproduction環境で動かしているimageの一覧は下記の通りです。
| image | size | base os |
|---|---|---|
| ad_server | 342.7MB | alpine:3.4 |
| nginx | 59.63MB | alpine:3.4 |
| td-agent | 430.8MB | centos:7 |
| mackerel-agent | 357.5MB | ubuntu:14.04 |
[ec2-user@ip-xx-xx-xx-xxx ~]$ sudo docker images REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE quay.io/vasilyjp/mackerel-agent 0.31.1-ubuntu-14_04_20160617 32eca0f192e6 4 days ago 357.5 MB quay.io/vasilyjp/ad_server 9c2aa373ff9f9c28aa162207b1c4511eb2dacf47 4d76a297c1d0 4 days ago 342.7 MB quay.io/vasilyjp/nginx 1.11.1-alpine_3_4-build 7a4a5e149521 8 days ago 59.63 MB quay.io/vasilyjp/td-agent 0.12.20-centos7 fa60e55fb621 4 weeks ago 430.8 MB amazon/amazon-ecs-agent latest 46e05d110968 5 months ago 9.097 MB
まとめ
すべてのdocker imageが450MB以下になり、トータルでは既存の6割程度のサイズに落とすことができました。 本当に必要なものだけを指定して構築することで、不要な物がなくなり、セキュリティ的にも安心できる構成が取れたかと思います。 mackerel-agentのところでも触れたように、alpineは少しbuggyなところもありますが、4月末からad-serverのproduction環境に投入し、先日3.4系への移行も行いましたが特に問題なく稼働できています。
最後に
VASILYでは、一緒に開発をしてくれる仲間を募集しています。 Dockerを使った開発/運用をしてみたい方は以下のリンクをご確認ください!