一、 根据 Dockerfile 构建出一个容器
1、FROM(指定基础 image)
该指令有两种格式:
FROM <image> 制定images号也可以
指定基础 image 为该 image 的最后修改的版本。
或者:
FROM <image>:<tag>
2、MAINTAINER(用来指定镜像创建者信息)
构建指令,用于将 image 的制作者相关的信息写入到 image 中。当我们对该 image 执行 docker inspect 命令时,输出中有相应的字段记录该信息。
格式:
MAINTAINER <name>
3、RUN(安装软件用)
构建指令, RUN 可以运行任何被基础 image 支持的命令。如基础 image 选择了 ubuntu,那么软件管理部分只能使用 ubuntu 的命令。
该指令有两种格式:
RUN <command> (the command is run in a shell - `/bin/sh -c`)
RUN ["executable", "param1", "param2" ... ] (exec form)
举例:RUN ["touch","a.txt"]
前者将在 shell 终端中运行命令,即 /bin/sh -c ;后者则使用 exec 执行。指定使用其它终端可以通过第二种方式实现,例如 RUN ["/bin/bash", "-c", "echo hello"] 。每条 RUN 指令将在当前镜像基础上执行指定命令,并提交为新的镜像。当命令较长时可以使用 \ 来换行
4、CMD(设置 container 启动时执行的操作)
该指令有三种格式:
设置指令,用于 container 启动时指定的操作。该操作可以是执行自定义脚本,也可以是执行系统命令。
CMD ["executable","param1","param2"] 使用 exec 执行,推荐方式;
当 Dockerfile 指定了 ENTRYPOINT,那么使用下面的格式:
CMD ["param1","param2"] 提供给 ENTRYPOINT 的默认参数;
ENTRYPOINT 指定的是一个可执行的脚本或者程序的路径,该指定的脚本或者程序将会以 param1 和 param2 作为参数执行。所以如果 CMD 指令使用上面的形式,那么 Dockerfile 中必须要有配套的 ENTRYPOINT。
*指定启动容器时执行的命令,每个 Dockerfile 只能有一条 CMD 命令。如果指定了多条命令,只有最后一条会被执行。
*如果用户启动容器时候指定了运行的命令,则会覆盖掉 CMD 指定的命令。
5、ENTRYPOINT(设置 container 启动时执行的操作)
设置指令,指定容器启动时执行的命令, 可以多次设置,但是只有最后一个有效。
两种格式:
ENTRYPOINT ["executable", "param1", "param2"]
ENTRYPOINT command param1 param2 ( shell 中执行)。
配置容器启动后执行的命令,并且不可被 docker run 提供的参数覆盖。
每个 Dockerfile 中只能有一个 ENTRYPOINT ,当指定多个时,只有最后一个起效。该指令的使用分为两种情况,一种是独自使用,另一种和 CMD 指令配合使用。当独自使用时,如果你还使用了 CMD 命令且 CMD 是一个完整的可执行的命令,那 么 CMD 指 令 和 ENTRYPOINT 会 互 相 覆 盖 只 有 最 后 一 个 CMD 或 者ENTRYPOINT 有效。
*CMD 指令将不会被执行,只有 ENTRYPOINT 指令被执行
CMD echo “Hello, World!”
ENTRYPOINT ls -l
另一种用法和 CMD 指令配合使用来指定 ENTRYPOINT 的默认参数,这时 CMD 指令不是一个完整的可执行命令,仅仅是参数部分; ENTRYPOINT 指令只能使用JSON 方式指定执行命令,而不能指定参数。
*FROM ubuntu
CMD ["-l"]
ENTRYPOINT ["/usr/bin/ls"]
两者同时存在并运行时后面加命令了就只会执行外面加的
6、USER(设置 container 容器的用户,默认是 root 用户)
格式为
USER daemon
指定运行容器时的用户名或 UID,后续的 RUN 也会使用指定用户。
当服务不需要管理员权限时,可以通过该命令指定运行用户。并且可以在之前创建所需要的用户,例如:
RUN groupadd -r postgres&&useradd -r -g postgrespostgres
*指定 memcached 的运行用户
ENTRYPOINT ["memcached"]
USER daemon
或
ENTRYPOINT ["memcached", "-u", "daemon"]
7、EXPOSE(指定容器需要映射到宿主机器的端口)
格式为 EXPOSE <port> [<port>...]
EXPOSE 22 80
设置指令,该指令会将容器中的端口映射成宿主机器中的某个端口。当你需要访问容器的时候,可以不是用容器的 IP 地址而是使用宿主机器的 IP 地址和映射后的端口。
要完成整个操作需要两个步骤,首先在 Dockerfile 使用 EXPOSE 设置需要映射的容器端口,然后在运行容器的时候指定-p 选项加上 EXPOSE 设置的端口,这样 EXPOSE 设置的端口号会被随机映射成宿主机器中的一个端口号。也可以指定需要映射到宿主机器的那个端口,这时要确保宿主机器上的端口号没有被使用。 EXPOSE 指令可以一次设置多个端口号,相应的运行容器的时候,可以配套的多次使用-p 选项。
映射一个端口
*EXPOSE port1
# 相应的运行容器使用的命令
docker run -p port1 image
*映射多个端口
EXPOSE port1 port2 port3
# 相应的运行容器使用的命令
*docker run -p port1 -p port2 - p port3 image
还可以指定需要映射到宿主机器上的某个端口号
docker run -p host_port1:port1 -p host_port2:port2 -p host_port3:port3 image
端口映射是 docker 比较重要的一个功能,原因在于我们每次运行容器的时候容器的 IP 地址不能指定而是在桥接网卡的地址范围内随机生成的。宿主机器的 IP 地址是固定的,我们可以将容器的端口的映射到宿主机器上的一个端口,免去每次访问容器中的某个服务时都要查看容器的 IP 的地址。
对于一个运行的容器,可以使用 docker port 加上容器中需要映射的端口和容器的ID 来查看该端口号在宿主机器上的映射端口。
8、ENV(用于设置环境变量)
构建指令, 指定一个环境变量,会被后续 RUN 指令使用,并在容器运行时保持。
格式:
ENV <key> <value>
设置了后,后续的 RUN 命令都可以使用, container 启动后,可以通过 docker
inspect 查看这个环境变量,也可以通过在 docker run --env key=value 时设置或
修改环境变量。
假如你安装了 JAVA 程序,需要设置 JAVA_HOME,那么可以在 Dockerfile 中这样
写:
ENV JAVA_HOME /path/to/java/dirent
例如:
ENV PG_MAJOR 9.3
ENV PG_VERSION 9.3.4
RUN curl http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC
/usr/src/postgress
ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH
9、ADD(从 src 复制文件到 container 的 dest 路径)
构建指令,所有拷贝到 container 中的文件和文件夹权限为 0755, uid 和 gid 为 0;
如果是一个目录,那么会将该目录下的所有文件添加到 container 中,不包括目录;
如果文件是可识别的压缩格式,则 docker 会帮忙解压缩(注意压缩格式);
如果<src>是文件且<dest>中不使用斜杠结束,则会将<dest>视为文件, <src>的内容会写入
<dest>;
如果<src>是文件且<dest>中使用斜杠结束,则会<src>文件拷贝到<dest>目录下。
格式:
ADD <src> <dest>
该命令将复制指定的<src>到容器中的<dest>。
其中<src>可以是 Dockerfile 所在目录的一个相对路径;也可以是一个 URL;还可以是一个 tar 文件(自动解压为目录)
<dest>是 container 中的绝对路径
可以复制网址他就会自动帮你下载
ADD 随便写一个网址
这个命令的意思就是把Dockerfile目录里的文件帮你拷到容器中
10、COPY
格式为 COPY <src><dest>
复制本地主机的<src>(为 Dockerfile 所在目录的相对路径)到容器中的<dest>。
11、VOLUME(指定挂载点)
设置指令,使容器中的一个目录具有持久化存储数据的功能,该目录可以被容器本身使用,
也可以共享给其他容器使用。我们知道容器使用的是 AUFS,这种文件系统不能持久化数据,
当容器关闭后,所有的更改都会丢失。当容器中的应用有持久化数据的需求时可以在Dockerfile 中使用该指令。
格式:
VOLUME ["<mountpoint>"]
例如: FROM base
VOLUME ["/tmp/data"]
运行通过该 Dockerfile 生成 image 的容器, /tmp/data 目录中的数据在容器关闭
后,里面的数据还存在。例如另一个容器也有持久化数据的需求,且想使用上面容
器共享的/tmp/data 目录,那么可以运行下面的命令启动一个容器:
docker run -t -i - rm -volumes- from container1 image2 bash
container1 为第一个容器的 ID, image2 为第二个容器运行 image 的名字。
12、WORKDIR(切换目录)
设置指令,可以多次切换(相当于 cd 命令),对 RUN,CMD,ENTRYPOINT 生效。 为后续的 RUN、CMD、 ENTRYPOINT 指令配置工作目录。
格式:
WORKDIR /path/to/workdir
例如: 在 /p1/p2 下执行 vim a.txt
WORKDIR /p1
WORKDIR p2
RUN vim a.txt
可以使用多个 WORKDIR 指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径。
例如
WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd
则最终路径为 /a/b/c 。
13、ONBUILD(在子镜像中执行)
ONBUILD <Dockerfile 关键字>
ONBUILD 指定的命令在构建镜像时并不执行,而是在它的子镜像中执行。
格式为 ONBUILD [INSTRUCTION] 。
配置当所创建的镜像作为其它新创建镜像的基础镜像时,所执行的操作指令。
例如, Dockerfile 使用如下的内容创建了镜像 image-A 。
[...]
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src
[...]
如果基于 image-A 创建新的镜像时,新的 Dockerfile 中使用 FROM image-A 指定基础镜像
时,会自动执行 ONBUILD 指令内容。
等价于在后面添加了两条指令。
FROM image-A
#Automatically run the following
ADD . /app/src
RUN /usr/local/bin/python-build --dir /app/src
使用 ONBUILD 指令的镜像,推荐在标签中注明,例如 ruby:1.9-onbuild 。
最后总结:
编写完成 Dockerfile 之后,可以通过 docker build 命令来创建镜像。
基本的格式为 docker build [选项] 路径,该命令将读取指定路径下的 Dockerfile,并将该路径下所有内容发送给 Docker 服务端,由服务端来创建镜像。因此一般建议放置 Dockerfile 的目录为空目录。
要指定镜像的标签信息,可以通过 -t 选项,例如
$ sudodocker build –tmyrepo/myapp/tmp/test1/
docker 应用案例:使用 dockerfile 创建 sshd 镜像模板并提供 http 访问应用
1、建一个 sshd_dockerfile 工作目录
编辑 run.sh 文件
在主机上生成 ssh 秘钥对,并创建 authorized_keys 文件
2、写 Dockerfile
以上选项的含义解释:
FROM centos:centos6 选择一个已有的 os 镜像作为基础
MAINTAINER 镜像的作者
RUN yum install -y openssh-server sudo 安装 openssh-server 和 sudo 软件包
添加测试用户 admin,密码 admin,并且将此用户添加到 sudoers 里
RUN useradd admin
RUN echo "admin:admin" | chpasswd
RUN echo "admin ALL=(ALL) ALL" >> /etc/sudoers
下面这两句比较特殊,在 centos6 上必须要有,否则创建出来的容器 sshd 不能登录
RUN ssh-keygen -t dsa - f /etc/ssh/ssh_host_dsa_key
RUN ssh-keygen -t rsa - f /etc/ssh/ssh_host_rsa_key
注意: centos7 上必须要有,否则创建出来的容器 sshd 不能登录
RUN ssh-keygen -t dsa - f /etc/ssh/ssh_host_dsa_key
RUN ssh-keygen -t rsa - f /etc/ssh/ssh_host_rsa_key
RUN ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key
RUN ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key
将公钥信息上传到远程连接用户的宿主目录的.ssh 下
ADD authorized_keys /home/admin/.ssh/authorized_keys
启动 sshd 服务并且暴露 22 端口
RUN mkdir /var/run/sshd
EXPOSE 22 80
CMD [ "/run.sh"] 也可以写成这种方式 CMD ["/usr/sbin/sshd", "-D"]
在 sshd_dockerfile 目录下,使用 docker build 命令来创建镜像,注意:在最后还有一个”.”,表示使用当前目录中的 dockerfile
执行 docker images 查看新生成的镜像
使用刚才建好的镜像运行一个容器,将容器的端口映射到主机的 10122
在宿主主机打开一个终端,连接刚才新建的容器
注: admin 用户是容器中的用户, 192.168.1.102 地址是宿主机的地址。
测试 sudo 执行授权命令: