docker--dockerfile

根据Dockerfile构建出一个容器

Dockfile是一种被Docker程序解释的脚本，Dockerfile由一条一条的指令组成，每条指令对应Linux下面的一条命令。Docker程序将这些Dockerfile指令翻译真正的Linux命令。Dockerfile有自己书写格式和支持的命令，Docker程序解决这些命令间的依赖关系，类似于Makefile。Docker程序将读取Dockerfile，根据指令生成定制的image。相比image这种黑盒子，Dockerfile这种显而易见的脚本更容易被使用者接受，它明确的表明image是怎么产生的。有了Dockerfile，当我们需要定制自己额外的需求时，只需在Dockerfile上添加或者修改指令，重新生成image即可，省去了敲命令的麻烦。

Dockerfile由一行行命令语句组成，并且支持以  #  开头的注释行。

Dockerfile的指令是忽略大小写的，建议使用大写，每一行只支持一条指令，每条指令可以携带多个参数。
Dockerfile的指令根据作用可以分为两种，构建指令和设置指令。构建指令用于构建image，其指定的操作不会在运行image的容器上执行；设置指令用于设置image的属性，其指定的操作将在运行image的容器中执行。

一般的，Dockerfile分为四部分：基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。

# Thisdockerfile uses the ubuntu image

# VERSION 2 - EDITION 1

# Author: docker_user

# Command format: Instruction [arguments/ command] ..

# Base image to use, this must be set asthe first line

FROM ubuntu

# Maintainer: docker_user<docker_userat email.com> (@docker_user)

MAINTAINER docker_userdocker_user@email.com

# Commands to update the image

RUN echo "debhttp://archive.ubuntu.com/ubuntu/ raring main universe" >>/etc/apt/sources.list

RUN apt-get update && apt-getinstall -y nginx

RUN echo "\ndaemon off;">> /etc/nginx/nginx.conf

# Commands when creating a new container

CMD /usr/sbin/nginx

其中，一开始必须指明所基于的镜像名称，接下来推荐说明维护者信息。

后面则是镜像操作指令，例如  RUN  指令， RUN  指令将对镜像执行跟随的命令。每运行一条  RUN  指令，镜像添加新的一层，并提交。

最后是  CMD  指令，来指定运行容器时的操作命令。

dockerfile指令

指令的一般格式为  INSTRUCTION arguments  ，指令包括  FROM  、MAINTAINER  、 RUN  等。

（1）FROM（指定基础image）

构建指令，必须指定且需要在Dockerfile其他指令的前面。后续的指令都依赖于该指令指定的image。FROM指令指定的基础image可以是官方远程仓库中的，也可以位于本地仓库。

该指令有两种格式：

FROM <image>  

指定基础image为该image的最后修改的版本。

或者：

FROM <image>:<tag>  

指定基础image为该image的一个tag版本。

（2）MAINTAINER（用来指定镜像创建者信息）

构建指令，用于将image的制作者相关的信息写入到image中。当我们对该image执行docker inspect命令时，输出中有相应的字段记录该信息。
格式：

MAINTAINER <name>  

（3）RUN（安装软件用）

构建指令，RUN可以运行任何被基础image支持的命令。如基础image选择了ubuntu，那么软件管理部分只能使用ubuntu的命令。
该指令有两种格式：

RUN <command> (the command is run in a shell - `/bin/sh -c`)  

RUN ["executable", "param1", "param2" ... ]  (exec form)  

前者将在 shell 终端中运行命令，即  /bin/sh -c  ；后者则使用  exec  执行。

指定使用其它终端可以通过第二种方式实现，例如  RUN ["/bin/bash","-c", "echo hello"]  。

每条  RUN  指令将在当前镜像基础上执行指定命令，并提交为新的镜像。当命令较长时可以使用  \  来换行。

（4）CMD（设置container启动时执行的操作）

该指令有三种格式：

设置指令，用于container启动时指定的操作。该操作可以是执行自定义脚本，也可以是执行系统命令。

CMD["executable","param1","param2"]  使用  exec  执行，推荐方式；

CMDcommand param1 param2  在  /bin/sh中执行，提供给需要交互的应用；

当Dockerfile指定了ENTRYPOINT，那么使用下面的格式：

CMD["param1","param2"]  提供给  ENTRYPOINT 的默认参数；

ENTRYPOINT指定的是一个可执行的脚本或者程序的路径，该指定的脚本或者程序将会以param1和param2作为参数执行。所以如果CMD指令使用上面的形式，那么Dockerfile中必须要有配套的ENTRYPOINT。

指定启动容器时执行的命令，每个Dockerfile只能有一条  CMD  命令。如果指定了多条命令，只有最后一条会被执行。

如果用户启动容器时候指定了运行的命令，则会覆盖掉 CMD  指定的命令。

（5）ENTRYPOINT（设置container启动时执行的操作）

设置指令，指定容器启动时执行的命令，可以多次设置，但是只有最后一个有效。
两种格式:

ENTRYPOINT["executable", "param1", "param2"]

ENTRYPOINTcommand param1 param2  （shell中执行）。

配置容

每个 Dockerfile 中只能有一个  ENTRYPOINT  ，当指定多个时，只有最后一个起效。

 

该指令的使用分为两种情况，一种是独自使用，另一种和CMD指令配合使用。
当独自使用时，如果你还使用了CMD命令且CMD是一个完整的可执行的命令，那么CMD指令和ENTRYPOINT会互相覆盖只有最后一个CMD或者ENTRYPOINT有效。

例如： CMD指令将不会被执行，只有ENTRYPOINT指令被执行  

CMD echo “Hello, World!”  

ENTRYPOINT ls -l  

另一种用法和CMD指令配合使用来指定ENTRYPOINT的默认参数，这时CMD指令不是一个完整的可执行命令，仅仅是参数部分；ENTRYPOINT指令只能使用JSON方式指定执行命令，而不能指定参数。

FROM ubuntu  

CMD ["-l"]  

ENTRYPOINT ["/usr/bin/ls"] 

（6）USER（设置container容器的用户，默认是root用户）

格式为  USER daemon

指定运行容器时的用户名或UID，后续的  RUN  也会使用指定用户。

当服务不需要管理员权限时，可以通过该命令指定运行用户。并且可以在之前创建所需要的用户，例

如：RUN groupadd -r postgres&&useradd -r -g postgrespostgres

例如： 指定memcached的运行用户  

ENTRYPOINT ["memcached"]  

USER daemon  

或  

ENTRYPOINT ["memcached", "-u", "daemon"] 

（7）EXPOSE（指定容器需要映射到宿主机器的端口）

格式为  EXPOSE <port> [<port>...]

设置指令，该指令会将容器中的端口映射成宿主机器中的某个端口。当你需要访问容器的时候，可以不是用容器的IP地址而是使用宿主机器的IP地址和映射后的端口。

要完成整个操作需要两个步骤，首先在Dockerfile使用EXPOSE设置需要映射的容器端口，然后在运行容器的时候指定-p选项加上EXPOSE设置的端口，这样EXPOSE设置的端口号会被随机映射成宿主机器中的一个端口号。也可以指定需要映射到宿主机器的那个端口，这时要确保宿主机器上的端口号没有被使用。EXPOSE指令可以一次设置多个端口号，相应的运行容器的时候，可以配套的多次使用-p选项。

例如： 映射一个端口  

EXPOSE port1  

# 相应的运行容器使用的命令  

docker run -p port1 image  

 

例如： 映射多个端口  

EXPOSE port1 port2 port3  

# 相应的运行容器使用的命令  

docker run -p port1 -p port2 -p port3 image  

# 还可以指定需要映射到宿主机器上的某个端口号  

docker run -p host_port1:port1 -p host_port2:port2 -p host_port3:port3 image  

端口映射是docker比较重要的一个功能，原因在于我们每次运行容器的时候容器的IP地址不能指定而是在桥接网卡的地址范围内随机生成的。宿主机器的IP地址是固定的，我们可以将容器的端口的映射到宿主机器上的一个端口，免去每次访问容器中的某个服务时都要查看容器的IP的地址。

对于一个运行的容器，可以使用docker port加上容器中需要映射的端口和容器的ID来查看该端口号在宿主机器上的映射端口。

（8）ENV（用于设置环境变量）

构建指令，指定一个环境变量，会被后续  RUN  指令使用，并在容器运行时保持。
格式:

ENV <key> <value>  
设置了后，后续的RUN命令都可以使用，container启动后，可以通过dockerinspect查看这个环境变量，也可以通过在docker run --env key=value时设置或修改环境变量。
假如你安装了JAVA程序，需要设置JAVA_HOME，那么可以在Dockerfile中这样写：
ENV JAVA_HOME /path/to/java/dirent
再例如：

ENVPG_MAJOR 9.3

ENVPG_VERSION 9.3.4

RUNcurl http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC/usr/src/postgress

ENVPATH /usr/local/postgres-$PG_MAJOR/bin:$PATH

（9）ADD（从src复制文件到container的dest路径）

构建指令，所有拷贝到container中的文件和文件夹权限为0755，uid和gid为0；

如果是一个目录，那么会将该目录下的所有文件添加到container中，不包括目录；

如果文件是可识别的压缩格式，则docker会帮忙解压缩（注意压缩格式）；

如果<src>是文件且<dest>中不使用斜杠结束，则会将<dest>视为文件，<src>的内容会写入<dest>；

如果<src>是文件且<dest>中使用斜杠结束，则会<src>文件拷贝到<dest>目录下

格式:

ADD <src> <dest>  

该命令将复制指定的<src>到容器中的<dest>。

其中<src>可以是Dockerfile所在目录的一个相对路径；也可以是一个 URL；还可以是一个 tar 文件（自动解压为目录）
<dest>是container中的绝对路径

（10）COPY

格式为 COPY<src><dest>

复制本地主机的<src>（为Dockerfile所在目录的相对路径）到容器中的<dest>。

  (11) VOLUME（指定挂载点）

设置指令，使容器中的一个目录具有持久化存储数据的功能，该目录可以被容器本身使用，也可以共享给其他容器使用。我们知道容器使用的是AUFS，这种文件系统不能持久化数据，当容器关闭后，所有的更改都会丢失。当容器中的应用有持久化数据的需求时可以在Dockerfile中使用该指令。
格式:

VOLUME ["<mountpoint>"]  

例如：FROM base  

VOLUME ["/tmp/data"]  

运行通过该Dockerfile生成image的容器，/tmp/data目录中的数据在容器关闭后，里面的数据还存在。例如另一个容器也有持久化数据的需求，且想使用上面容器共享的/tmp/data目录，那么可以运行下面的命令启动一个容器：

docker run -t -i -rm -volumes-from container1 image2 bash  

container1为第一个容器的ID，image2为第二个容器运行image的名字。

  (12) WORKDIR（切换目录）

设置指令，可以多次切换(相当于cd命令)，对RUN,CMD,ENTRYPOINT生效。为后续的  RUN、CMD、ENTRYPOINT  指令配置工作目录。
格式:

WORKDIR /path/to/workdir  

例如： 在 /p1/p2 下执行 vim a.txt  

WORKDIR /p1 

WORKDIR p2 

RUN vim a.txt  

可以使用多个  WORKDIR  指令，后续命令如果参数是相对路径，则会基于之前命令指定的路径。

例如

WORKDIR /a

WORKDIR b

WORKDIR c

RUN pwd

则最终路径为  /a/b/c。

   (13) ONBUILD（在子镜像中执行）

ONBUILD <Dockerfile关键字>  

ONBUILD 指定的命令在构建镜像时并不执行，而是在它的子镜像中执行。

格式为  ONBUILD [INSTRUCTION]  。

配置当所创建的镜像作为其它新创建镜像的基础镜像时，所执行的操作指令。

例如，Dockerfile使用如下的内容创建了镜像  image-A  。

[...]

ONBUILD ADD . /app/src

ONBUILD RUN /usr/local/bin/python-build--dir /app/src

[...]

如果基于 image-A 创建新的镜像时，新的Dockerfile中使用  FROM image-A  指定基础镜像时，会自动执行ONBUILD  指令内容。

等价于在后面添加了两条指令。

FROM image-A

#Automatically run the following

ADD . /app/src

RUN /usr/local/bin/python-build --dir/app/src

使用 ONBUILD  指令的镜像，推荐在标签中注明，例如 ruby:1.9-onbuild

编写完成Dockerfile之后，可以通过docker build  命令来创建镜像。

基本的格式为docker build [选项] 路径，该命令将读取指定路径下的Dockerfile，并将该路径下所有内容发送给 Docker 服务端，由服务端来创建镜像。因此一般建议放置Dockerfile的目录为空目录.

要指定镜像的标签信息，可以通过  -t  选项，例如

$ sudodocker build –tmyrepo/myapp/tmp/test1/

docker应用案例：使用dockerfile创建sshd镜像模板并提供http访问应用

1) 创建一个sshd_dockerfile工作目录
[root@gy ~]# mkdir sshd_dockerfile
[root@gy ~]# cd sshd_dockerfile/
[root@gy sshd_dockerfile]# touch Dockerfile run.sh
[root@gy sshd_dockerfile]# ls
Dockerfile  run.sh

编辑run.sh文件

[root@gy sshd_dockerfile]# vim run.sh 

在主机上生成ssh秘钥对，并创建authorized_keys文件

[root@gy ~]# ssh-keygen -t rsa

[root@gy ~]# cat ~/.ssh/id_rsa.pub > /root/sshd_dockerfile/authorized_keys

2)编写Dockerfile

[root@gy sshd_dockerfile]# vim Dockerfil

以上选项的含义解释：

FROM docker.io/centos:latest选择一个已有的os镜像作为基础(这里选择centos7镜像)

MAINTAINER 镜像的作者

RUN yum install -y openssh-server sudo安装openssh-server和sudo软件包

添加测试用户admin，密码admin，并且将此用户添加到sudoers里

RUN useradd admin

RUN echo "admin:admin" | chpasswd

RUN echo "admin   ALL=(ALL)       ALL" >> /etc/sudoers

下面这两句比较特殊，在centos6上必须要有，否则创建出来的容器sshd不能登录

RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key

RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key

注意：centos7上必须要有，否则创建出来的容器sshd不能登录

RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key

RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key

RUN ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key

RUN ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key

将公钥信息上传到远程连接用户的宿主目录的.ssh下

ADD authorized_keys /home/admin/.ssh/authorized_keys

启动sshd服务并且暴露22端口

RUN mkdir /var/run/sshd 

EXPOSE 22 80

CMD ["/run.sh"]   也可以写成这种方式CMD ["/usr/sbin/sshd", "-D"]

在sshd_dockerfile目录下，使用docker build命令来创建镜像，注意：在最后还有一个 ”.”表示使用当前目录中的dockerfile.

[root@gy sshd_dockerfile]# docker build -t"centos:httpd" .

执行docker images查看新生成的镜像

[root@gy sshd_dockerfile]# docker images

使用刚才建好的镜像运行一个容器，将容器的端口映射到主机的10122，并查看是否运行。

[root@gy ~]# docker run -dit -p 10122:22 centos:httpd

在宿主主机打开一个终端，连接刚才新建的容器。

注：admin用户是容器中的用户，192.168.221.147地址是宿主机的地址。

退出容器：     

 exit  直接退出容器，退出后容器不运行。

shift+p+q：退出容器放入后台运行