Docker(三):Dockerfile 命令詳解

純潔的微笑發表於2018-03-18

上一篇文章Docker(二):Dockerfile 使用介紹介紹了 Dockerfile 的使用,這篇文章我們來繼續瞭解 Dockerfile ,學習 Dockerfile 各種命令的使用。

Dockerfile 指令詳解

1 FROM 指定基礎映象

FROM 指令用於指定其後構建新映象所使用的基礎映象。FROM 指令必是 Dockerfile 檔案中的首條命令,啟動構建流程後,Docker 將會基於該映象構建新映象,FROM 後的命令也會基於這個基礎映象。

FROM語法格式為:

FROM <image>

FROM <image>:<tag>

FROM <image>:<digest>

通過 FROM 指定的映象,可以是任何有效的基礎映象。FROM 有以下限制:

  • FROM 必須 是 Dockerfile 中第一條非註釋命令
  • 在一個 Dockerfile 檔案中建立多個映象時,FROM 可以多次出現。只需在每個新命令 FROM 之前,記錄提交上次的映象 ID。
  • tag 或 digest 是可選的,如果不使用這兩個值時,會使用 latest 版本的基礎映象

2 RUN 執行命令

在映象的構建過程中執行特定的命令,並生成一箇中間映象。格式:

#shell格式
RUN <command>
#exec格式
RUN ["executable", "param1", "param2"]
  • RUN 命令將在當前 image 中執行任意合法命令並提交執行結果。命令執行提交後,就會自動執行 Dockerfile 中的下一個指令。
  • 層級 RUN 指令和生成提交是符合 Docker 核心理念的做法。它允許像版本控制那樣,在任意一個點,對 image 映象進行定製化構建。
  • RUN 指令建立的中間映象會被快取,並會在下次構建中使用。如果不想使用這些快取映象,可以在構建時指定 --no-cache 引數,如:docker build --no-cache

3 COPY 複製檔案

格式:

COPY <源路徑>... <目標路徑>
COPY ["<源路徑1>",... "<目標路徑>"]

和 RUN 指令一樣,也有兩種格式,一種類似於命令列,一種類似於函式呼叫。COPY 指令將從構建上下文目錄中 的檔案/目錄複製到新的一層的映象內的<目標路徑>位置。比如:

COPY package.json /usr/src/app/

<源路徑>可以是多個,甚至可以是萬用字元,其萬用字元規則要滿足 Go 的 filepath.Match 規則,如:

COPY hom* /mydir/
COPY hom?.txt /mydir/

<目標路徑>可以是容器內的絕對路徑,也可以是相對於工作目錄的相對路徑(工作目錄可以用 WORKDIR 指令來指定)。目標路徑不需要事先建立,如果目錄不存在會在複製檔案前先行建立缺失目錄。

此外,還需要注意一點,使用 COPY 指令,原始檔的各種後設資料都會保留。比如讀、寫、執行許可權、檔案變更時間等。這個特性對於映象定製很有用。特別是構建相關檔案都在使用 Git 進行管理的時候。

4 ADD 更高階的複製檔案

ADD 指令和 COPY 的格式和性質基本一致。但是在 COPY 基礎上增加了一些功能。比如<源路徑>可以是一個 URL,這種情況下,Docker 引擎會試圖去下載這個連結的檔案放到<目標路徑>去。

在構建映象時,複製上下文中的檔案到映象內,格式:

ADD <源路徑>... <目標路徑>
ADD ["<源路徑>",... "<目標路徑>"]

注意
如果 docker 發現檔案內容被改變,則接下來的指令都不會再使用快取。關於複製檔案時需要處理的/,基本跟正常的 copy 一致

5 ENV 設定環境變數

格式有兩種:

ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...

這個指令很簡單,就是設定環境變數而已,無論是後面的其它指令,如 RUN,還是執行時的應用,都可以直接使用這裡定義的環境變數。

ENV VERSION=1.0 DEBUG=on \
    NAME="Happy Feet"

這個例子中演示瞭如何換行,以及對含有空格的值用雙引號括起來的辦法,這和 Shell 下的行為是一致的。

6 EXPOSE

為構建的映象設定監聽埠,使容器在執行時監聽。格式:

EXPOSE <port> [<port>...]

EXPOSE 指令並不會讓容器監聽 host 的埠,如果需要,需要在 docker run 時使用 -p-P 引數來發布容器埠到 host 的某個埠上。

7 VOLUME 定義匿名卷

VOLUME用於建立掛載點,即向基於所構建映象創始的容器新增捲:

VOLUME ["/data"]

一個卷可以存在於一個或多個容器的指定目錄,該目錄可以繞過聯合檔案系統,並具有以下功能:

  • 卷可以容器間共享和重用
  • 容器並不一定要和其它容器共享卷
  • 修改卷後會立即生效
  • 對卷的修改不會對映象產生影響
  • 卷會一直存在,直到沒有任何容器在使用它

VOLUME 讓我們可以將原始碼、資料或其它內容新增到映象中,而又不併提交到映象中,並使我們可以多個容器間共享這些內容。

8 WORKDIR 指定工作目錄

WORKDIR用於在容器內設定一個工作目錄:

WORKDIR /path/to/workdir

通過WORKDIR設定工作目錄後,Dockerfile 中其後的命令 RUN、CMD、ENTRYPOINT、ADD、COPY 等命令都會在該目錄下執行。
如,使用WORKDIR設定工作目錄:

WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd

在以上示例中,pwd 最終將會在 /a/b/c 目錄中執行。在使用 docker run 執行容器時,可以通過-w引數覆蓋構建時所設定的工作目錄。

9 USER 指定當前使用者

USER 用於指定執行映象所使用的使用者:

USER daemon

使用USER指定使用者時,可以使用使用者名稱、UID 或 GID,或是兩者的組合。以下都是合法的指定試:

USER user
USER user:group
USER uid
USER uid:gid
USER user:gid
USER uid:group

使用USER指定使用者後,Dockerfile 中其後的命令 RUN、CMD、ENTRYPOINT 都將使用該使用者。映象構建完成後,通過 docker run 執行容器時,可以通過 -u 引數來覆蓋所指定的使用者。

10 CMD

CMD用於指定在容器啟動時所要執行的命令。CMD 有以下三種格式:

CMD ["executable","param1","param2"]
CMD ["param1","param2"]
CMD command param1 param2

省略可執行檔案的 exec 格式,這種寫法使 CMD 中的引數當做 ENTRYPOINT 的預設引數,此時 ENTRYPOINT 也應該是 exec 格式,具體與 ENTRYPOINT 的組合使用,參考 ENTRYPOINT。

注意
與 RUN 指令的區別:RUN 在構建的時候執行,並生成一個新的映象,CMD 在容器執行的時候執行,在構建時不進行任何操作。

11 ENTRYPOINT

ENTRYPOINT 用於給容器配置一個可執行程式。也就是說,每次使用映象建立容器時,通過 ENTRYPOINT 指定的程式都會被設定為預設程式。ENTRYPOINT 有以下兩種形式:

ENTRYPOINT ["executable", "param1", "param2"]
ENTRYPOINT command param1 param2

ENTRYPOINT 與 CMD 非常類似,不同的是通過docker run執行的命令不會覆蓋 ENTRYPOINT,而docker run命令中指定的任何引數,都會被當做引數再次傳遞給 ENTRYPOINT。Dockerfile 中只允許有一個 ENTRYPOINT 命令,多指定時會覆蓋前面的設定,而只執行最後的 ENTRYPOINT 指令。

docker run執行容器時指定的引數都會被傳遞給 ENTRYPOINT ,且會覆蓋 CMD 命令指定的引數。如,執行docker run <image> -d時,-d 引數將被傳遞給入口點。

也可以通過docker run --entrypoint重寫 ENTRYPOINT 入口點。如:可以像下面這樣指定一個容器執行程式:

ENTRYPOINT ["/usr/bin/nginx"]

完整構建程式碼:

# Version: 0.0.3
FROM ubuntu:16.04
MAINTAINER 何民三 "cn.liuht@gmail.com"
RUN apt-get update
RUN apt-get install -y nginx
RUN echo 'Hello World, 我是個容器' \ 
   > /var/www/html/index.html
ENTRYPOINT ["/usr/sbin/nginx"]
EXPOSE 80

使用docker build構建映象,並將映象指定為 itbilu/test:

docker build -t="itbilu/test" .

構建完成後,使用itbilu/test啟動一個容器:

docker run -i -t  itbilu/test -g "daemon off;"

在執行容器時,我們使用了 -g "daemon off;",這個引數將會被傳遞給 ENTRYPOINT,最終在容器中執行的命令為 /usr/sbin/nginx -g "daemon off;"

12 LABEL

LABEL用於為映象新增後設資料,元數以鍵值對的形式指定:

LABEL <key>=<value> <key>=<value> <key>=<value> ...

使用LABEL指定後設資料時,一條LABEL指定可以指定一或多條後設資料,指定多條後設資料時不同後設資料之間通過空格分隔。推薦將所有的後設資料通過一條LABEL指令指定,以免生成過多的中間映象。
如,通過LABEL指定一些後設資料:

LABEL version="1.0" description="這是一個Web伺服器" by="IT筆錄"

指定後可以通過docker inspect檢視:

docker inspect itbilu/test
"Labels": {
    "version": "1.0",
    "description": "這是一個Web伺服器",
    "by": "IT筆錄"
},

13 ARG

ARG用於指定傳遞給構建執行時的變數:

ARG <name>[=<default value>]

如,通過ARG指定兩個變數:

ARG site
ARG build_user=IT筆錄

以上我們指定了 site 和 build_user 兩個變數,其中 build_user 指定了預設值。在使用 docker build 構建映象時,可以通過 --build-arg <varname>=<value> 引數來指定或重設定這些變數的值。

docker build --build-arg site=itiblu.com -t itbilu/test .

這樣我們構建了 itbilu/test 映象,其中site會被設定為 itbilu.com,由於沒有指定 build_user,其值將是預設值 IT 筆錄。

14 ONBUILD

ONBUILD用於設定映象觸發器:

ONBUILD [INSTRUCTION]

當所構建的映象被用做其它映象的基礎映象,該映象中的觸發器將會被鑰觸發。
如,當映象被使用時,可能需要做一些處理:

[...]
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src
[...]

15 STOPSIGNAL

STOPSIGNAL用於設定停止容器所要傳送的系統呼叫訊號:

STOPSIGNAL signal

所使用的訊號必須是核心系統呼叫表中的合法的值,如:SIGKILL。

16 SHELL

SHELL用於設定執行命令(shell式)所使用的的預設 shell 型別:

SHELL ["executable", "parameters"]

SHELL在Windows環境下比較有用,Windows 下通常會有 cmd 和 powershell 兩種 shell,可能還會有 sh。這時就可以通過 SHELL 來指定所使用的 shell 型別:

FROM microsoft/windowsservercore

# Executed as cmd /S /C echo default
RUN echo default

# Executed as cmd /S /C powershell -command Write-Host default
RUN powershell -command Write-Host default

# Executed as powershell -command Write-Host hello
SHELL ["powershell", "-command"]
RUN Write-Host hello

# Executed as cmd /S /C echo hello
SHELL ["cmd", "/S"", "/C"]
RUN echo hello

Dockerfile 使用經驗

Dockerfile 示例

構建Nginx執行環境

# 指定基礎映象
FROM sameersbn/ubuntu:14.04.20161014

# 維護者資訊
MAINTAINER sameer@damagehead.com

# 設定環境
ENV RTMP_VERSION=1.1.10 \
    NPS_VERSION=1.11.33.4 \
    LIBAV_VERSION=11.8 \
    NGINX_VERSION=1.10.1 \
    NGINX_USER=www-data \
    NGINX_SITECONF_DIR=/etc/nginx/sites-enabled \
    NGINX_LOG_DIR=/var/log/nginx \
    NGINX_TEMP_DIR=/var/lib/nginx \
    NGINX_SETUP_DIR=/var/cache/nginx

# 設定構建時變數,映象建立完成後就失效
ARG BUILD_LIBAV=false
ARG WITH_DEBUG=false
ARG WITH_PAGESPEED=true
ARG WITH_RTMP=true

# 複製本地檔案到容器目錄中
COPY setup/ ${NGINX_SETUP_DIR}/
RUN bash ${NGINX_SETUP_DIR}/install.sh

# 複製本地配置檔案到容器目錄中
COPY nginx.conf /etc/nginx/nginx.conf
COPY entrypoint.sh /sbin/entrypoint.sh

# 執行指令
RUN chmod 755 /sbin/entrypoint.sh

# 允許指定的埠
EXPOSE 80/tcp 443/tcp 1935/tcp

# 指定網站目錄掛載點
VOLUME ["${NGINX_SITECONF_DIR}"]

ENTRYPOINT ["/sbin/entrypoint.sh"]
CMD ["/usr/sbin/nginx"]

構建tomcat 環境

Dockerfile檔案

# 指定基於的基礎映象
FROM ubuntu:13.10  

# 維護者資訊
MAINTAINER zhangjiayang "zhangjiayang@sczq.com.cn"  
  
# 映象的指令操作
# 獲取APT更新的資源列表
RUN echo "deb http://archive.ubuntu.com/ubuntu precise main universe"> /etc/apt/sources.list
# 更新軟體
RUN apt-get update  
  
# Install curl  
RUN apt-get -y install curl  
  
# Install JDK 7  
RUN cd /tmp &&  curl -L 'http://download.oracle.com/otn-pub/java/jdk/7u65-b17/jdk-7u65-linux-x64.tar.gz' -H 'Cookie: oraclelicense=accept-securebackup-cookie; gpw_e24=Dockerfile' | tar -xz  
RUN mkdir -p /usr/lib/jvm  
RUN mv /tmp/jdk1.7.0_65/ /usr/lib/jvm/java-7-oracle/  
  
# Set Oracle JDK 7 as default Java  
RUN update-alternatives --install /usr/bin/java java /usr/lib/jvm/java-7-oracle/bin/java 300     
RUN update-alternatives --install /usr/bin/javac javac /usr/lib/jvm/java-7-oracle/bin/javac 300     

# 設定系統環境
ENV JAVA_HOME /usr/lib/jvm/java-7-oracle/  
  
# Install tomcat7  
RUN cd /tmp && curl -L 'http://archive.apache.org/dist/tomcat/tomcat-7/v7.0.8/bin/apache-tomcat-7.0.8.tar.gz' | tar -xz  
RUN mv /tmp/apache-tomcat-7.0.8/ /opt/tomcat7/  
  
ENV CATALINA_HOME /opt/tomcat7  
ENV PATH $PATH:$CATALINA_HOME/bin  

# 復件tomcat7.sh到容器中的目錄 
ADD tomcat7.sh /etc/init.d/tomcat7  
RUN chmod 755 /etc/init.d/tomcat7  
  
# Expose ports.  指定暴露的埠
EXPOSE 8080  
  
# Define default command.  
ENTRYPOINT service tomcat7 start && tail -f /opt/tomcat7/logs/catalina.out

tomcat7.sh命令檔案

export JAVA_HOME=/usr/lib/jvm/java-7-oracle/  
export TOMCAT_HOME=/opt/tomcat7  
  
case $1 in  
start)  
  sh $TOMCAT_HOME/bin/startup.sh  
;;  
stop)  
  sh $TOMCAT_HOME/bin/shutdown.sh  
;;  
restart)  
  sh $TOMCAT_HOME/bin/shutdown.sh  
  sh $TOMCAT_HOME/bin/startup.sh  
;;  
esac  
exit 0

原則與建議

  • 容器輕量化。從映象中產生的容器應該儘量輕量化,能在足夠短的時間內停止、銷燬、重新生成並替換原來的容器。
  • 使用 .gitignore。在大部分情況下,Dockerfile 會和構建所需的檔案放在同一個目錄中,為了提高構建的效能,應該使用 .gitignore 來過濾掉不需要的檔案和目錄。
  • 為了減少映象的大小,減少依賴,僅安裝需要的軟體包。
  • 一個容器只做一件事。解耦複雜的應用,分成多個容器,而不是所有東西都放在一個容器內執行。如一個 Python Web 應用,可能需要 Server、DB、Cache、MQ、Log 等幾個容器。一個更加極端的說法:One process per container。
  • 減少映象的圖層。不要多個 Label、ENV 等標籤。
  • 對續行的引數按照字母表排序,特別是使用apt-get install -y安裝包的時候。
  • 使用構建快取。如果不想使用快取,可以在構建的時候使用引數--no-cache=true來強制重新生成中間映象。

參考

Dockerfile reference
使用Dockerfile構建Docker映象
Docker映象構建檔案Dockerfile及相關命令介紹
深入Dockerfile(一): 語法指南
Docker — 從入門到實踐

相關文章