../
2025-05-16
使用Ubuntu作为基础镜像构建出来的Docker镜像动辄几百MB,甚至上GB。但是实际上,运行一个二进制程序依赖的文件并不多,如果只保留运行程序必备的文件,势必能大量缩减镜像尺寸。
这里以一个Rust应用为例,尝试打包一个可以运行ripgrep的镜像,C/C++、Go等编译型语言也可以依葫芦画瓢。
用ldd命令查看ripgrep的动态链接库依赖:
ldd /usr/bin/rg
得到:
linux-vdso.so.1 (0x00007bd80ef30000)
libpcre2-8.so.0 => /usr/lib/libpcre2-8.so.0 (0x00007bd80e912000)
libgcc_s.so.1 => /usr/lib/libgcc_s.so.1 (0x00007bd80eefd000)
libc.so.6 => /usr/lib/libc.so.6 (0x00007bd80e722000)
/lib64/ld-linux-x86-64.so.2 => /usr/lib64/ld-linux-x86-64.so.2
(0x00007bd80ef32000)
其中第一条是内核插入内存的,不需要理会。因此,rg最少只需要四个so文件即可运行。
创建一个新目录:
mkdir rootfs
编写一个脚本把这些so文件都复制rootfs中的对应位置:
#!/bin/bash
copy_file () {
local dir=$(dirname $1)
mkdir -p rootfs/$dir
cp $1 rootfs/$dir
}
for f in $(ldd /usr/bin/rg | grep '=>' | awk '{print $3}'); do
copy_file $f
done
运行脚本。然后注意到
/lib64/ld-linux-x86-64.so.2 => /usr/lib64/ld-linux-x86-64.so.2
(0x00007bd80ef32000)
把ld-linux-x86-64.so.2复制到rootfs/lib64中。
mkdir -p rootfs/lib64
cp rootfs/usr/lib64/ld-linux-x86-64.so.2 rootfs/lib64/
然后把rg本体复制到rootfs:
cp /usr/bin/rg rootfs/
至此,Docker镜像的文件系统准备完毕。
创建Dockerfile:
FROM scratch
COPY rootfs /
ENTRYPOINT ["/rg"]
创建Docker镜像:
sudo docker build -t myrg .
尝试运行:
sudo docker run --rm myrg --version
得到: $ sudo docker run –rm myrg –version ripgrep 14.1.1
features:+pcre2
simd(compile):+SSE2,-SSSE3,-AVX2
simd(runtime):+SSE2,+SSSE3,+AVX2
PCRE2 10.43 is available (JIT is available)
至此Docker镜像构建完成。
查看尺寸:
sudo docker images
得到:
REPOSITORY TAG IMAGE ID CREATED SIZE
localhost/myrg latest 89ce8f41feaa 4 minutes ago 9.23 MB
可以看到只有9.23MB。
其实这种方式跟创建chroot jail的原理是一样的,用chroot也可以运行:
sudo chroot rootfs /rg --version
现实中,如果真的要这么部署此类应用,考虑到安全问题,最好用普通用户权限运行。
sudo chroot --userspec 1000:1000 rootfs /rg --version
有的应用,尤其是Python之类的动态语言,非常依赖用dlopen动态加载so文件,这些文件无法用ldd查询到,无法用这种方式打包。虽然也可以用strace分析系统调用,查看程序具体打开过哪些文件,但是这样仍然很难保证复制到加载所有的动态链接库。
因此,该方法通常只适合编译型语言,如C/C++、Go、Rust、Haskell等等。
Email: i (at) mistivia (dot) com