Docker 技术之Dockerfile

aside section ._1OhGeD · · 976 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

简介

Dockerfile是一个文本格式的配置文件,用户可以使用Dockerfile来快速创建自定义的镜像。

使用 Dockerfile 创建镜像

基本结构

Dockerfile由一行行命令语句组成,并且支持以#开头的注释行。
一般而言,Dockerfile主体内容分为四部分:基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。

主体部分首先使用FROM指令指明所基于的镜像名称,接下来一般是使用LABEL指令说明维护者信息。后面则是镜像操作指令,例如RUN指令将对镜像执行跟随的命令。每运行一条RUN指令,镜像添加新的一层,并提交。最后是CMD指令,来指定运行容器时的操作命令。

指令说明

Dockerfile中指令的一般格式为INSTRUCTION arguments,包括“配置指令”(配置镜像信息)和“操作指令”(具体执行操作):

配置指令
操作指令

配置指令

  1. ARG
    定义创建镜像过程中使用的变量。
    格式为ARG <name>[=<default value>]
    在执行docker build时,可以通过--build-arg list来为变量赋值。当镜像编译成功后,ARG指定的变量将不再存在(ENV指定的变量将在镜像中保留)。
    Docker内置了一些镜像创建变量,用户可以直接使用而无须声明,包括(不区分大小写)HTTP_PROXYHTTPS_PROXYFTP_PROXYNO_PROXY
    例如:ARG VERSION=9.3
  2. FROM
    指定所创建镜像的基础镜像。
    格式为FROM <image>[AS<name>]FROM <image>:<tag>[AS<name>]FROM <image>@<digest>[AS<name>]
    任何Dockerfile中第一条指令必须为FROM指令。并且,如果在同一个Dockerfile中创建多个镜像时,可以使用多个FROM指令(每个镜像一次)
    为了保证镜像精简,可以选用体积较小的镜像如AlpineDebian作为基础镜像。
    例如:FROM debian:stretch-slim
  3. LABEL
    LABEL指令可以为生成的镜像添加元数据标签信息。这些信息可以用来辅助过滤出特定镜像。
    格式为LABEL <key>=<value> <key>=<value> <key>=<value>……
    例如:LABEL version="1.0.0-rc3"
  4. EXPOSE
    声明镜像内服务监听的端口。
    格式为EXPOSE <port>[<port>/<protocol>……]
    例如:EXPOSE 22 80 8443
    注意该指令只是起到声明作用,并不会自动完成端口映射
    如果要映射端口出来,在启动容器时可以使用-P参数(Docker主机会自动分配一个宿主机的临时端口)或-p HOST_PORT:CONTAINER_PORT参数(具体指定所映射的本地端口)。
  5. ENV
    指定环境变量,在镜像生成过程中会被后续RUN指令使用,在镜像启动的容器中也会存在。
    格式为ENV <key> <value>ENV <key>=<value>……
    例如:ENV APP_VERSION=1.0.0ENV PATH $PATH:/usr/local/bin
    指令指定的环境变量在运行时可以被覆盖掉,如docker run --env <key>=<value> built_image
    注意当一条ENV指令中同时为多个环境变量赋值并且值也是从环境变量读取时,会为变量都赋值后再更新。例如,以下最终结果为key1=value1 key2=value2
ENV key1=value2
ENV key1=value1 key2=${key1}
  1. ENTRYPOINT
    指定镜像的默认入口命令,该入口命令会在启动容器时作为根命令执行,所有传入值作为该命令的参数。
    支持两种格式:
    ENTRYPOINT ["executable","param1","param2"]exec调用执行;
    ENTRYPOINT command param1 param2shell中执行。
    此时,CMD指令指定值将作为根命令的参数。
    每个Dockerfile中只能有一个ENTRYPOINT,当指定多个时,只有最后一个起效。
    在运行时,可以被--entrypoint参数覆盖掉,如docker run --entrypoint
  2. VOLUME
    创建一个数据卷挂载点。
    格式为VOLUME ["/data"]
    运行容器时可以从本地主机或其他容器挂载数据卷,一般用来存放数据库和需要保持的数据等。
  3. USER
    指定运行容器时的用户名或UID,后续的RUN等指令也会使用指定的用户身份。
    格式为USER daemon
    当服务不需要管理员权限时,可以通过该命令指定运行用户,并且可以在Dockerfile中创建所需要的用户。
  4. WORKDIR
    为后续的RUNCMDENTRYPOINT指令配置工作目录。
    格式为WORKDIR /path/to/workdir
    可以使用多个WORKDIR指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径。因此,为了避免出错,推荐WORKDIR指令中只使用绝对路径。
  5. ONBUILD
    指定当基于所生成镜像创建子镜像时,自动执行的操作指令。
    格式为ONBUILD [INSTRUCTION]
    使用docker build命令创建子镜像ChildImage时(FROM ParentImage),会首先执行ParentImage中配置的ONBUILD指令。由于ONBUILD指令是隐式执行的,推荐在使用它的镜像标签中进行标注。
  6. STOPSIGNAL
    指定所创建镜像启动的容器接收退出的信号值:
    STOPSIGNAL signal
  7. HEALTHCHECK
    配置所启动容器如何进行健康检查(如何判断健康与否),自Docker 1.12开始支持。
    格式有两种:
  • HEALTHCHECK [OPTIONS]CMD command:根据所执行命令返回值是否为0来判断;
  • HEALTHCHECK NONE:禁止基础镜像中的健康检查。
    OPTION支持如下参数:
  • -interval=DURATION(default:30s):过多久检查一次;
  • -timeout=DURATION(default:30s):每次检查等待结果的超时;
  • -retries=N(default:3):如果失败了,重试几次才最终确定失败。
  1. SHELL
    指定其他命令使用shell时的默认shell类型:
    SHELL ["executable", "parameters"]
    默认值为["/bin/sh","-c"]

对于Windows系统,Shell路径中使用了“\”作为分隔符,建议在Dockerfile开头添加#escape='\'来指定转义符。

操作指令

  1. RUN
    运行指定命令。
    格式为RUN <command>RUN ["executable","param1","param2"]。注意后者指令会被解析为JSON数组,因此必须用双引号。前者默认将在shell终端中运行命令,即/bin/sh -c;后者则使用exec执行,不会启动shell环境。
    指定使用其他终端类型可以通过第二种方式实现,例如RUN ["/bin/bash","-c","echo hello"]
    每条RUN指令将在当前镜像基础上执行指定命令,并提交为新的镜像层。当命令较长时可以使用\来换行。
  2. CMD
    CMD指令用来指定启动容器时默认执行的命令。
    支持三种格式:
  • CMD["executable","param1","param2"]:相当于执行executable param1 param2,推荐方式;
  • CMD command param1 param2:在默认的Shell中执行,提供给需要交互的应用;
  • CMD["param1","param2"]:提供给ENTRYPOINT的默认参数。
    每个Dockerfile只能有一条CMD命令。如果指定了多条命令,只有最后一条会被执行。
    如果用户启动容器时候手动指定了运行的命令(作为run命令的参数),则会覆盖掉CMD指定的命令。
  1. ADD
    添加内容到镜像。
    格式为ADD <src> <dest>
    该命令将复制指定的<src>路径下内容到容器中的<dest>路径下。
    其中<src>可以是Dockerfile所在目录的一个相对路径(文件或目录);也可以是一个URL;还可以是一个tar文件(自动解压为目录)<dest>可以是镜像内绝对路径,或者相对于工作目录(WORKDIR)的相对路径。
    路径支持正则格式,例如:ADD *.c /code/
  2. COPY
    复制内容到镜像。
    格式为COPY <src> <dest>
    复制本地主机的<src>(为Dockerfile所在目录的相对路径,文件或目录)下内容到镜像中的<dest>。目标路径不存在时,会自动创建。
    路径同样支持正则格式。
    COPYADD指令功能类似,当使用本地目录为源目录时,推荐使用COPY

创建镜像

命令格式

编写完成Dockerfile之后,可以通过docker [image] build命令来创建镜像。
命令格式为:docker build [OPTIONS] PATH | URL | -

该命令将读取指定路径下(包括子目录)的Dockerfile,并将该路径下所有数据作为上下文(Context)发送给Docker服务端。Docker服务端在校验Dockerfile格式通过后,逐条执行其中定义的指令,碰到ADDCOPYRUN指令会生成一层新的镜像。最终如果创建镜像成功,会返回最终镜像的ID
如果上下文过大,会导致发送大量数据给服务端,延缓创建过程。因此除非是生成镜像所必需的文件,不然不要放到上下文路径下。如果使用非上下文路径下的Dockerfile,可以通过-f选项来指定其路径( -f, --file string Name of the Dockerfile (Default is 'PATH/Dockerfile'))。
要指定生成镜像的标签信息,可以通过-t选项。该选项可以重复使用多次为镜像一次添加多个名称(-t, --tag list Name and optionally a tag in the 'name:tag' format)。

命令选项

docker [image] build命令支持一系列的选项,可以调整创建镜像过程的行为。

build 选项(上)
build 选项(下)

选择父镜像

大部分情况下,生成新的镜像都需要通过FROM指令来指定父镜像。父镜像是生成镜像的基础,会直接影响到所生成镜像的大小和功能。
用户可以选择两种镜像作为父镜像,一种是所谓的基础镜像(baseimage),另外一种是普通的镜像(往往由第三方创建,基于基础镜像)。
基础镜像比较特殊,其Dockerfile中往往不存在FROM指令,或者基于scratch镜像(FROM scratch),这意味着其在整个镜像树中处于根的位置。

使用 .dockerignore 文件

可以通过.dockerignore文件(每一行添加一条匹配模式)来让Docker忽略匹配路径或文件,在创建镜像时候不将无关数据发送到服务端。

例如下面的例子中包括了6行忽略的模式(第一行为注释):

# .dockerignore 文件中可以定义忽略模式
*/temp* 
*/*/temp* 
tmp?
~*
Dockerfile
!README.md

·dockerignore文件中模式语法支持Golang风格的路径正则格式:

  • “*”表示任意多个字符;
  • “?”代表单个字符;
  • “!”表示不匹配(即不忽略指定的路径或文件)。

多步骤创建

对于需要编译的应用(如C、Go或Java语言等)来说,通常情况下至少需要准备两个环境的Docker镜像:

  • 编译环境镜像:包括完整的编译引擎、依赖库等,往往比较庞大。作用是编译应用为二进制文件;
  • 运行环境镜像:利用编译好的二进制文件,运行应用,由于不需要编译环境,体积比较小。

使用多步骤创建,可以在保证最终生成的运行环境镜像保持精简的情况下,使用单一的Dockerfile,降低维护复杂度。

例如,创建Dockerfile,使用golang:1.9镜像编译应用二进制文件为app,使用精简的镜像alpine:latest作为运行环境。Dockerfile完整内容为:

FROM golang:1.9 as builder # define stage name as builder
RUN mkdir -p /go/src/test
WORKDIR /go/src/test
COPY main.go .
RUN CGO_ENABLED=0 GOOS=linux go build -o app .
FROM alpine:latest
RUN apk --no-cache add ca-certificates
WORKDIR /root/
COPY --from=builder /go/src/test/app .# copy file from the builder stage
CMD ["./app"]

Tips

  • 使用.dockerignore文件:使用它可以标记在执行docker build时忽略的路径和文件,避免发送不必要的数据内容,从而加快整个镜像创建过程。
  • 及时删除临时文件和缓存文件:特别是在执行apt-get指令后,/var/cache/apt下面会缓存了一些安装包;
  • 减少镜像层数:如果希望所生成镜像的层数尽量少,则要尽量合并RUN、ADD和COPY指令。通常情况下,多个RUN指令可以合并为一条RUN指令;
  • 选用合适的基础镜像:容器的核心是应用。选择过大的父镜像(如Ubuntu系统镜像)会造成最终生成应用镜像的臃肿,推荐选用瘦身过的应用镜像(如node:slim),或者较为小巧的系统镜像(如alpine、busybox或debian);
  • 恰当使用多步骤创建(17.05+版本支持):通过多步骤创建,可以将编译和运行等过程分开,保证最终生成的镜像只包括运行应用所需要的最小化环境。当然,用户也可以通过分别构造编译镜像和运行镜像来达到类似的结果,但这种方式需要维护多个Dockerfile

Dockerfile 小结

要编写一个高质量的Dockerfile并不是一件容易的事情,需要不断地学习和实践。

Cheat Sheet

# Dockerfile 关键命令回顾
## 配置指令
ARG <name>[=<default value>]  # 定义创建镜像过程中使用的变量,当镜像编译成功后,ARG指定的变量将不再存在
FROM <image>:<tag>[AS<name>]  # 任何Dockerfile中第一条指令必须为FROM指令,指定所创建镜像的基础镜像
LABEL <key>=<value> <key>=<value> <key>=<value>……  # 为生成的镜像添加元数据标签信息
EXPOSE <port>[<port>/<protocol>……]  # 声明镜像内服务监听的端口
ENV <key> <value>
ENV <key>=<value>……  # 指定环境变量,在镜像生成过程中会被后续RUN指令使用,在镜像启动的容器中也会存在
ENTRYPOINT ["executable","param1","param2"]  # exec调用执行,指定镜像的默认入口命令,该入口命令会在启动容器时作为根命令执行,所有传入值作为该命令的参数
ENTRYPOINT command param1 param2  # shell中执行
VOLUME ["/data"]  # 创建一个数据卷挂载点
USER daemon  # 指定运行容器时的用户名或UID,后续的RUN等指令也会使用指定的用户身份
WORKDIR /path/to/workdir  # 为后续的RUN、CMD、ENTRYPOINT指令配置工作目录,可以使用多个WORKDIR指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径
ONBUILD [INSTRUCTION]  # 指定当基于所生成镜像创建子镜像时,自动执行的操作指令
STOPSIGNAL signal  # 指定所创建镜像启动的容器接收退出的信号值
HEALTHCHECK [OPTIONS]CMD command  # 根据所执行命令返回值是否为0来判断健康与否
HEALTHCHECK NONE  # 禁止基础镜像中的健康检查
SHELL ["executable", "parameters"]  # 指定其他命令使用shell时的默认shell类型,默认值为["/bin/sh","-c"]
## 操作指令
RUN <command>  # 在shell终端中运行命令
RUN ["executable","param1","param2"]  # 运行指定命令,使用exec执行
CMD["executable","param1","param2"]  # 相当于执行executable param1 param2,每个Dockerfile只能有一条CMD命令
CMD command param1 param2  # 在默认的Shell中执行
CMD ["param1","param2"]  # 提供给ENTRYPOINT的默认参数
ADD <src> <dest>  # 添加内容到镜像,比较强大
COPY <src> <dest>  # 复制本地主机的<src>(为Dockerfile所在目录的相对路径,文件或目录)下内容到镜像中的<dest>,目标路径不存在时,会自动创建
## 创建镜像
docker build [OPTIONS] PATH | URL | - 
## 使用 .dockerignore 文件
## 多步骤创建

有疑问加站长微信联系(非本文作者)

本文来自:简书

感谢作者:aside section ._1OhGeD

查看原文:Docker 技术之Dockerfile

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

976 次点击  
加入收藏 微博
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传