一、Dockerfile Introduction
前面的docker镜像管理章节有说到,构建镜像的方式有两种:一种是基于容器制作,另一种就是通过Dockerfile。Dockerfile其实就是我们用来构建Docker镜像的源码,当然这不是所谓的编程源码,而是一些命令的组合,只要理解它的逻辑和语法格式,就可以编写Dockerfile了。
简要概括Dockerfile的作用:它可以让用户个性化定制Docker镜像。因为工作环境中的需求各式各样,网络上的镜像很难满足实际的需求。
二、Dockerfile Format
Dockerfile整体就两类语句组成:
- # Comment 注释信息
- Instruction arguments 指令 参数,一行一个指令。
- Dockerfile文件名首字母必须大写。
- Dockerfile指令不区分大小写,但是为方便和参数做区分,通常指令使用大写字母。
- Dockerfile中指令按顺序从上至下依次执行。
- Dockerfile中第一个非注释行必须是FROM指令,用来指定制作当前镜像依据的是哪个基础镜像。
Dockerfile中需要调用的文件必须跟Dockerfile文件在同一目录下,或者在其子目录下,父目录或者其它路径无效。
三、Dockerfile Instructions
FROM
Introduction
- FROM指令必须为Dockerfile文件开篇的第一个非注释行,用于指定构建镜像所使用的基础镜像,后续的指令运行都要依靠此基础镜像所提供的的环境(简单说就是假如Dockerfile中所引用的基础镜像里面没有mkdir命令,那后续的指令是没法使用mkdir参数的。)
- 实际使用中,如果没有指定仓库,docker build会先从本机查找是否有此基础镜像,如果没有会默认去Docker Hub Registry上拉取,再找不到就会报错。
Syntax
- FROM <Repository>[:<Tag>]
FROM <Repository>@<Digest>
- Digest:镜像的哈希码,防止镜像被冒名顶替。
MAINTAINER(deprecated)
Introduction
- 用于让Dockerfile的作者提供个人的信息
- Dockerfile并不限制MAINTAINER指令的位置,但是建议放在FROM指令之后
- 在较新的docker版本中,已经被LABEL替代。
Syntax
- MAINTAINER "merle@example.com"
LABEL
Introduction
- 同docker run -l
- 让用户为镜像指定各种元数据(键值对的格式)。
Syntax
- LABEL <key>=<value> <key>=<value>
COPY
Introduction
- 复制宿主机上的文件到目标镜像中
Syntax
- COPY <src>... <dest>
COPY ["<src>",... "<dest>"]
- <src>:要复制的源文件或者目录,支持通配符
- <dest>:目标路径,即正创建的镜像的文件系统路径,建议使用绝对路径,否则,COPY指令会以WORKDIR为其起始路径。
- 如果路径中如果包含空白字符,建议使用第二种格式用引号引起来,否则会被当成两个文件。
Rules
- <src>必须是build上下文中的目录,不能是其父目录中的文件。
- 如果<src>是目录,则其内部的文件或则子目录会被递归复制,但<src>目录本身不会被复制。
- 如果指定了多个<src>,或者<src>中使用通配符,则<dest>必须是一个目录,且必须以 / 结尾。
- 如果<dest>事先不存在,它将会被自动创建,包括其父目录路径。
ADD
Introduction
ADD指令跟COPY类似,不过它还支持使用tar文件和URL路径。
- 当拷贝的源文件是tar文件时,会自动展开为一个目录并拷贝进新的镜像中;然而通过URL获取到的tar文件不会自动展开。
- 主机可以联网的情况下,docker build可以将网络上的某文件引用下载并打包到新的镜像中。
Syntax
- ADD <src>... <dest>
- ADD ["<src>",... "<dest>"]
WORKDIR
Introduction
- 同docker run -w
- 指定工作目录,可以指多个,每个WORKDIR只影响他下面的指令,直到遇见下一个WORKDIR为止。
- WORKDIR也可以调用由ENV指令定义的变量。
Syntax
WORKDIR 相对路径或者绝对路径
- 相对路径是相对于上一个WORKDIR指令的路径,如果上面没有WORKDIR指令,那就是当前Dockerfile文件的目录。
VOLUME
Introduction
- docker run -v简化版
- 用于在镜像中创建一个挂载点目录。上一章中有提到Volume有两种类型:绑定挂载卷和docker管理的卷。在dockerfile中只支持docker管理的卷,也就是说只能指定容器内的路径,不能指定宿主机的路径。
Syntax
- VOLUME <mountpoint>
- VOLUME ["<mountpoint>"]
EXPOSE
Introduction
- 同docker run --expose
- 指定容器中待暴露的端口。比如容器提供的是一个https服务且需要对外提供访问,那就需要指定待暴露443端口,然后在使用此镜像启动容器时搭配 -P 的参数才能将待暴露的状态转换为真正暴露的状态,转换的同时443也会转换成一个随机端口,跟 -p :443一个意思。
- EXPOSE指令可以一次指定多个端口,例如:EXPOSE 11111/udp 11112/tcp
Syntax
- EXPOSE <port>[/<protocol>] [<port>[/<protocol>] ...]
- <protocol>用于指定协议类型,如果不指定,默认TCP协议。
ENV
Introduction
- 同docker run -e
- 为镜像定义所需的环境变量,并可被ENV指令后面的其它指令所调用。调用格式为$variable_name或者${variable_name}
- 使用docker run启动容器的时候加上 -e 的参数为variable_name赋值,可以覆盖Dockerfile中ENV指令指定的此variable_name的值。但是不会影响到dockerfile中已经引用过此变量的文件名。下面有举例说明:
Syntax
- ENV <key> <value>
ENV <key>=<value> ...
- 第一种格式一次只能定义一个变量,<key>之后所有内容都会被视为<value>的组成部分
- 第二种格式一次可以定义多个变量,每个变量为一个"="的键值对,如果<value>中包含空格,可以用反斜线 进行转义,也可以为<value>加引号,另外参数过长时可用反斜线做续行。
- 定义多个变量时,建议使用第二种方式,因为Dockerfile中每一行都是一个镜像层,构建起来比较吃资源。
Example
# 基于busybox启动一个镜像,将test文件拷贝至容器内的/usr/local/aaa/目录下。
[root@docker1 docker]# pwd
/server/docker--rm
[root@docker1 docker]# echo 1111 >test
[root@docker1 docker]# vim Dockerfile
# Description: test image
FROM busybox
ENV file=aaa
ADD ./test /usr/local/$file/
[root@docker1 docker]# docker build -t busy:v1 ./
# 根据此镜像启动容器并查看文件是否拷贝成功,并且查看file变量的值
[root@docker1 docker]# docker run --name busy02 --rm busy:v1 ls /usr/local/aaa
test
[root@docker1 docker]# docker run --name busy02 --rm busy:v1 printenv
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=57111b7b246c
file=aaa
HOME=/root
# 接下来我们在启动容器的时候加上-e参数为file变量指定一个新值,并且查看file变量的值
[root@docker1 docker]# docker run --name busy02 -e file=bbb --rm busy:v1 printenv
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=787ad8585fc0
file=bbb
HOME=/root
# 此时再看test的文件,依然是在aaa的目录下的
[root@docker1 docker]# docker run --name busy02 -e file=bbb --rm busy:v1 ls /usr/local/aaa
test
# 这是因为docker build属于第一阶段,而docker run属于第二阶段。第一阶段定义file变量的值aaa已经被引用了,生米已经煮成熟饭了,后续阶段再改file变量的值也影响不了aaa。
RUN
Introduction
- 用于指定docker build过程中运行的程序,可以是任何命令。
- RUN指令后所执行的命令必须在FROM指令后的基础镜像中存在才行。
Syntax
- RUN <command>
RUN ["executable", "param1", "param2"]
- <command>通常是一个shell命令,系统默认会把后面的命令作为shell的子进程来运行,以"/bin/sh -c"来运行它,也就意味着此进程在容器中的PID一定不为1,如果是1完事就结束了哇。
- 第二种格式的参数是一个JSON格式的数组,其中"executable"为要运行的命令,后面的"paramN"为传递给命令的选项或参数。此格式指定的命令不会以"/bin/sh -c"来发起,也就是直接由内核创建,因此不具备shell特性,类似于RUN [ "echo", "$HOME" ],是无法识别 $ 的;如果想要依赖shell特性,可以替换命令为这样的格式[ "/bin/sh", "-c", "echo $HOME" ]。
CMD
Introduction
- 指定启动容器的默认要运行的程序,也就是PID为1的进程命令,且其运行结束后容器也会终止。如果不指定,默认是bash。
- CMD指令指定的默认程序会被docker run命令行指定的参数所覆盖。
- Dockerfile中可以存在多个CMD指令,但仅最后一个生效。因为一个docker容器只能运行一个PID为1的进程。
类似于RUN指令,也可以运行任意命令或程序,但是两者的运行时间点不同
- RUN指令运行在docker build的过程中,而CMD指令运行在基于新镜像启动容器(docker run)时。
Syntax
- CMD command param1 param2
- CMD ["executable","param1","param2"]
CMD ["param1","param2"]
- 前两种语法格式同RUN指令。第一种用法对于CMD指令基本没有意义,因为它运行的程序PID不为1。
- 第三种则需要结合ENTRYPOINT指令使用,CMD指令后面的命令作为ENTRYPOINT指令的默认参数。如果docker run命令行结尾有参数指定,那CMD后面的参数不生效。
ENTRYPOINT
Introduction
- 类似CMD指令的功能,用于为容器指定默认运行程序。
- Dockerfile中可以存在多个ENTRYPOINT指令,但仅最后一个生效
- 与CMD区别在于,由ENTRYPOINT启动的程序不会被docker run命令行指定的参数所覆盖,而且这些命令行参数会被当做参数传递给ENTRYPOINT指令指定的程序。
- 不过,docker run的--entrypoint选项的参数可覆盖ENTRYPOINT指定的默认程序。示例如下:
Syntax
- ENTRYPOINT command param1 param2
- ENTRYPOINT ["executable", "param1", "param2"]
Example
# 还是以httpd服务做举例,先以CMD指令开始
[root@docker1 docker]# vim Dockerfile
# Description: test image
FROM busybox
LABEL maintainer="merle <merle@freeit.com>" app="httpd"
ENV WEBDIR="/data/web/html"
RUN mkdir -p ${WEBDIR} && \
echo 'this is a test web' > ${WEBDIR}/index.html
CMD [ "sh","-c","/bin/httpd -f -h ${WEBDIR}" ]
[root@docker1 docker]# docker build -t httpd:v1 ./
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v1
# 此时为前台运行,复制一个窗口,kill掉容器,然后开始docker run结尾传入新的指令
[root@docker1 ~]# docker kill web01
web01
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v1 ls /data/web/html
index.html
# 可以看出命令行的参数已经替代了原本的CMD指令指定的程序。下面我们再用ENTRYPOINT指令做测试。
-------------------------------------------------------------------------------------------------------------
[root@docker1 docker]# vim Dockerfile
# Description: test image
FROM busybox
LABEL maintainer="merle <merle@freeit.com>" app="httpd"
ENV WEBDIR="/data/web/html"
RUN mkdir -p ${WEBDIR} && \
echo 'this is a test web' > ${WEBDIR}/index.html
ENTRYPOINT [ "sh","-c","/bin/httpd -f -h ${WEBDIR}" ]
[root@docker1 docker]# docker build -t httpd:v2 ./
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v2
# 也是前台启动,复制一个窗口,kill掉容器,然后开始docker run结尾传入新的指令
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v2 ls /data/web/html
# 可以看到没有反应,这种情况其实是吧ls /data/web/html当做参数传给了/bin/httpd -f -h ${WEBDIR}程序。只是httpd不识别罢了。我们kill掉容器。加上--entrypoint参数再试一下
[root@docker1 docker]# docker run --name web01 -it --rm --entrypoint="" httpd:v2 ls /data/web/html
index.html
# 使用--entrypoint参数替换命令成功。
# 再测试下CMD的第三种语法,CMD指令的后面的命令作为参数传给ENTRYPOINT指令后的命令
[root@docker1 docker]# vim Dockerfile
# Description: test image
FROM busybox
LABEL maintainer="merle <merle@freeit.com>" app="httpd"
ENV WEBDIR="/data/web/html"
RUN mkdir -p ${WEBDIR} && \
echo 'this is a test web' > ${WEBDIR}/index.html
CMD [ "/bin/httpd -f -h ${WEBDIR}" ]
ENTRYPOINT [ "sh","-c" ]
[root@docker1 docker]# docker build -t httpd:v3 ./
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v3
# OK的,前面有说过:指定ENTRYPOINT的情况下,如果docker run命令行结尾有参数指定,那CMD后面的参数不生效,下面咱再试试,还用v3的镜像。
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v3 "ls /data/web/html"
index.html
USER
Introduction
- 用于指定docker build过程中任何RUN、CMD等指令的用户名或者UID。
- 默认情况下容器的运行用户为root。
Syntax
- USER <user>[:<group>]
USER <UID>[:<GID>]
- 实践中UID需要是/etc/passwd中某用户的有效UID,否则docker run命令将运行失败。
HEALTHCHECK
Introduction
- 顾名思义,健康检查。此指令的就是告诉docker如果检查容器是否正常工作。拿nginx举例,即便进程运行,服务也不一定正常,因为万一root指错了呢?
Syntax
- HEALTHCHECK [OPTIONS] CMD command
HEALTHCHECK NONE
HEALTHCHECK指令让我们去定义一个CMD,在CMD后面编写一条命令去判断我们的服务运行是否正常。检查肯定不是一次性的,所以OPTIONS就是指定检查的频率等等。
- --interval=DURATION(默认值:30s):每隔多久检查一次,默认30s
- --timeout=DURATION(默认值:30s):超时时长,默认30s
- --start-period=DURATION(默认值:0s):启动健康检查的等待时间。因为容器启动成功时,进程不一定立马就启动成功,那过早开始检查就会返回不健康。
- --retries=N(默认值:3):如果检查一次失败就返回不健康未免太武断,所以默认三次机会。
CMD健康检测命令发出时,返回值有三种情况
- 0:成功
- 1:不健康
- 2:保留,无实际意义。
HEALTHCHECK NONE就是不做健康检查
Example
HEALTHCHECK --interval=5m --timeout=3s \
CMD curl -f http://localhost/ || exit 1
SHELL
Introduction
- 用来指定运行程序默认要使用的shell类型,因为windows环境默认是powershell。此指令一般不会使用。
Syntax
- SHELL ["executable", "parameters"]
STOPSIGNAL
Introduction
- 指定发送使容器退出的系统调用信号。docker stop之所以能停止容器,就是发送了15的信号给容器内PID为1的进程。此指令一般不会使用。
Syntax
- STOPSIGNAL signal
ARG
Introduction
- ARG命令同EVN类似,也是指定一个变量,但不同的是,ENV指令配合-e参数可以在docker run过程中传参,而使用ARG指令配合--build-arg参数可以在docker build过程中传参,这方便了我们为不同场景构建不同镜像。
Syntax
- ARG <name>[=<default value>]
Example
[root@docker1 docker]# vim Dockerfile
FROM nginx:1.14-alpine
ARG AUTHOR="merle <merle@freeit.com>" # 指定默认值
LABEL maintainer=$AUTHOR
ENV NGXDIR='/data/web/html/'
ADD index.html $NGXDIR
ADD entrypoint.sh /bin/
CMD ["nginx", "-g", "daemon off;"]
ENTRYPOINT ["/bin/entrypoint.sh"]
[root@docker1 docker]# docker build --build-arg AUTHOR="Jtt <Jtt@freeit.com>" -t nginx:v4 ./
[root@docker1 docker]# docker image inspect nginx:v4 | grep maintainer
"maintainer": "Jtt <Jtt@freeit.com>"
# 上面只是以maintainer举例,实践环境中可以修改为不同jar包的名字构建不同java程序镜像。
ONBUILD
Introduction
- 用于在Dockerfile中定义一个触发器。
- ONBUILD后面指定的指令在docker build时是不会执行,构建完的镜像在被另一个Dockerfile文件中FROM指令所引用的时才会触发执行。
Syntax
ONBUILD [INSTRUCTION]
- 几乎任何指令都可以成为触发器指令,但ONBUILD不能自我嵌套,且不会触发FROM和MAINTAINER指令,多数情况是使用RUN或者ADD。
- 另外在使用COPY指令时,应该注意后续引用该镜像的Dockerfile的同级目录下是否有被拷贝的文件。
Example
[root@docker1 docker]# vim Dockerfile
FROM nginx:1.14-alpine
LABEL maintainer="merle <merle@freeit.com>"
ENV NGXDIR='/data/web/html/'
ADD index.html $NGXDIR
ADD entrypoint.sh /bin/
ONBUILD add http://nginx.org/download/nginx-1.14.0.tar.gz /usr/local/
CMD ["nginx", "-g", "daemon off;"]
ENTRYPOINT ["/bin/entrypoint.sh"]
[root@docker1 docker]# docker build -t nginx:v5 ./
[root@docker1 docker]# docker run -it --name web01 --rm nginx:v5 ls /usr/local/
bin lib share
# 上面的结果或者docker build的过程都可以看出并没有执行ONBUILD后面的指令。我们修改Dockerfile中FROM指定的基础镜像为上面构建完的nginx:v5,然后删除ONBUILD指令。
[root@docker1 docker]# vim Dockerfile
FROM nginx:v5
LABEL maintainer="merle <merle@freeit.com>"
ENV NGXDIR='/data/web/html/'
ADD index.html $NGXDIR
ADD entrypoint.sh /bin/
CMD ["nginx", "-g", "daemon off;"]
ENTRYPOINT ["/bin/entrypoint.sh"]
[root@docker1 docker]# docker build -t nginx:v6 ./
Sending build context to Docker daemon 6.656kB
Step 1/7 : FROM nginx:v5
# Executing 1 build trigger
Downloading [=======
# 这里查看构建过程就会发现从第一层构建就开始执行上面的ONBUILD后面的指令了。我们启动容器并查看下/usr/local目录下的文件。
[root@docker1 docker]# docker run -it --name web01 --rm nginx:v6 ls /usr/local
bin nginx-1.14.0.tar.gz
lib share
写作不易,转载请注明出处,谢谢~~