Docker 技术之Dockerfile

简介

Dockerfile是一个文本格式的配置文件，用户可以使用Dockerfile来快速创建自定义的镜像。

使用 Dockerfile 创建镜像

基本结构

Dockerfile由一行行命令语句组成，并且支持以#开头的注释行。
一般而言，Dockerfile主体内容分为四部分：基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。

主体部分首先使用FROM指令指明所基于的镜像名称，接下来一般是使用LABEL指令说明维护者信息。后面则是镜像操作指令，例如RUN指令将对镜像执行跟随的命令。每运行一条RUN指令，镜像添加新的一层，并提交。最后是CMD指令，来指定运行容器时的操作命令。

指令说明

Dockerfile中指令的一般格式为INSTRUCTION arguments，包括“配置指令”（配置镜像信息）和“操作指令”（具体执行操作）：

配置指令

操作指令

配置指令

1. ARG
   定义创建镜像过程中使用的变量。
   格式为ARG <name>[=<default value>]。
   在执行docker build时，可以通过--build-arg list来为变量赋值。当镜像编译成功后，ARG指定的变量将不再存在（ENV指定的变量将在镜像中保留）。
   Docker内置了一些镜像创建变量，用户可以直接使用而无须声明，包括（不区分大小写）HTTP_PROXY、HTTPS_PROXY、FTP_PROXY、NO_PROXY。
   例如：ARG VERSION=9.3。
2. FROM
   指定所创建镜像的基础镜像。
   格式为FROM <image>[AS<name>]或FROM <image>:<tag>[AS<name>]或FROM <image>@<digest>[AS<name>]。
   任何Dockerfile中第一条指令必须为FROM指令。并且，如果在同一个Dockerfile中创建多个镜像时，可以使用多个FROM指令（每个镜像一次）。
   为了保证镜像精简，可以选用体积较小的镜像如Alpine或Debian作为基础镜像。
   例如：FROM debian:stretch-slim。
3. LABEL
LABEL指令可以为生成的镜像添加元数据标签信息。这些信息可以用来辅助过滤出特定镜像。
   格式为LABEL <key>=<value> <key>=<value> <key>=<value>……。
   例如：LABEL version="1.0.0-rc3"。
4. EXPOSE
   声明镜像内服务监听的端口。
   格式为EXPOSE <port>[<port>/<protocol>……]。
   例如：EXPOSE 22 80 8443。
   注意该指令只是起到声明作用，并不会自动完成端口映射。
   如果要映射端口出来，在启动容器时可以使用-P参数（Docker主机会自动分配一个宿主机的临时端口）或-p HOST_PORT:CONTAINER_PORT参数（具体指定所映射的本地端口）。
5. ENV
   指定环境变量，在镜像生成过程中会被后续RUN指令使用，在镜像启动的容器中也会存在。
   格式为ENV <key> <value>或ENV <key>=<value>……。
   例如：ENV APP_VERSION=1.0.0、ENV PATH $PATH:/usr/local/bin。
   指令指定的环境变量在运行时可以被覆盖掉，如docker run --env <key>=<value> built_image。
   注意当一条ENV指令中同时为多个环境变量赋值并且值也是从环境变量读取时，会为变量都赋值后再更新。例如，以下最终结果为key1=value1 key2=value2：

ENV key1=value2
ENV key1=value1 key2=${key1}

6. ENTRYPOINT
   指定镜像的默认入口命令，该入口命令会在启动容器时作为根命令执行，所有传入值作为该命令的参数。
   支持两种格式：
   ENTRYPOINT ["executable"，"param1"，"param2"]：exec调用执行；
   ENTRYPOINT command param1 param2：shell中执行。
   此时，CMD指令指定值将作为根命令的参数。
   每个Dockerfile中只能有一个ENTRYPOINT，当指定多个时，只有最后一个起效。
   在运行时，可以被--entrypoint参数覆盖掉，如docker run --entrypoint。
7. VOLUME
   创建一个数据卷挂载点。
   格式为VOLUME ["/data"]。
   运行容器时可以从本地主机或其他容器挂载数据卷，一般用来存放数据库和需要保持的数据等。
8. USER
   指定运行容器时的用户名或UID，后续的RUN等指令也会使用指定的用户身份。
   格式为USER daemon。
   当服务不需要管理员权限时，可以通过该命令指定运行用户，并且可以在Dockerfile中创建所需要的用户。
9. WORKDIR
   为后续的RUN、CMD、ENTRYPOINT指令配置工作目录。
   格式为WORKDIR /path/to/workdir。
   可以使用多个WORKDIR指令，后续命令如果参数是相对路径，则会基于之前命令指定的路径。因此，为了避免出错，推荐WORKDIR指令中只使用绝对路径。
10. ONBUILD
    指定当基于所生成镜像创建子镜像时，自动执行的操作指令。
    格式为ONBUILD [INSTRUCTION]。
    使用docker build命令创建子镜像ChildImage时（FROM ParentImage），会首先执行ParentImage中配置的ONBUILD指令。由于ONBUILD指令是隐式执行的，推荐在使用它的镜像标签中进行标注。
11. STOPSIGNAL
    指定所创建镜像启动的容器接收退出的信号值：
    STOPSIGNAL signal
12. HEALTHCHECK
    配置所启动容器如何进行健康检查（如何判断健康与否），自Docker 1.12开始支持。
    格式有两种：

• HEALTHCHECK [OPTIONS]CMD command：根据所执行命令返回值是否为0来判断；
• HEALTHCHECK NONE：禁止基础镜像中的健康检查。
  OPTION支持如下参数：

• -interval=DURATION（default：30s）：过多久检查一次；
• -timeout=DURATION（default：30s）：每次检查等待结果的超时；
• -retries=N（default：3）：如果失败了，重试几次才最终确定失败。

13. SHELL
    指定其他命令使用shell时的默认shell类型：
    SHELL ["executable", "parameters"]
    默认值为["/bin/sh"，"-c"]。

对于Windows系统，Shell路径中使用了“\”作为分隔符，建议在Dockerfile开头添加#escape='\'来指定转义符。

操作指令

1. RUN
   运行指定命令。
   格式为RUN <command>或 RUN ["executable"，"param1"，"param2"]。注意后者指令会被解析为JSON数组，因此必须用双引号。前者默认将在shell终端中运行命令，即/bin/sh -c；后者则使用exec执行，不会启动shell环境。
   指定使用其他终端类型可以通过第二种方式实现，例如RUN ["/bin/bash"，"-c"，"echo hello"]。
   每条RUN指令将在当前镜像基础上执行指定命令，并提交为新的镜像层。当命令较长时可以使用\来换行。
2. CMD
CMD指令用来指定启动容器时默认执行的命令。
   支持三种格式：

• CMD["executable"，"param1"，"param2"]：相当于执行executable param1 param2，推荐方式；
• CMD command param1 param2：在默认的Shell中执行，提供给需要交互的应用；
• CMD["param1"，"param2"]：提供给ENTRYPOINT的默认参数。
  每个Dockerfile只能有一条CMD命令。如果指定了多条命令，只有最后一条会被执行。
  如果用户启动容器时候手动指定了运行的命令（作为run命令的参数），则会覆盖掉CMD指定的命令。

3. ADD
   添加内容到镜像。
   格式为ADD <src> <dest>。
   该命令将复制指定的<src>路径下内容到容器中的<dest>路径下。
   其中<src>可以是Dockerfile所在目录的一个相对路径（文件或目录）；也可以是一个URL；还可以是一个tar文件（自动解压为目录）<dest>可以是镜像内绝对路径，或者相对于工作目录（WORKDIR）的相对路径。
   路径支持正则格式，例如：ADD *.c /code/
4. COPY
   复制内容到镜像。
   格式为COPY <src> <dest>。
   复制本地主机的<src>（为Dockerfile所在目录的相对路径，文件或目录）下内容到镜像中的<dest>。目标路径不存在时，会自动创建。
   路径同样支持正则格式。
   COPY与ADD指令功能类似，当使用本地目录为源目录时，推荐使用COPY。

创建镜像

命令格式

编写完成Dockerfile之后，可以通过docker [image] build命令来创建镜像。
命令格式为：docker build [OPTIONS] PATH | URL | -。

该命令将读取指定路径下（包括子目录）的Dockerfile，并将该路径下所有数据作为上下文（Context）发送给Docker服务端。Docker服务端在校验Dockerfile格式通过后，逐条执行其中定义的指令，碰到ADD、COPY和RUN指令会生成一层新的镜像。最终如果创建镜像成功，会返回最终镜像的ID。
如果上下文过大，会导致发送大量数据给服务端，延缓创建过程。因此除非是生成镜像所必需的文件，不然不要放到上下文路径下。如果使用非上下文路径下的Dockerfile，可以通过-f选项来指定其路径（ -f, --file string Name of the Dockerfile (Default is 'PATH/Dockerfile')）。
要指定生成镜像的标签信息，可以通过-t选项。该选项可以重复使用多次为镜像一次添加多个名称（-t, --tag list Name and optionally a tag in the 'name:tag' format）。

命令选项

docker [image] build命令支持一系列的选项，可以调整创建镜像过程的行为。

build 选项（上）

build 选项（下）

选择父镜像

大部分情况下，生成新的镜像都需要通过FROM指令来指定父镜像。父镜像是生成镜像的基础，会直接影响到所生成镜像的大小和功能。
用户可以选择两种镜像作为父镜像，一种是所谓的基础镜像（baseimage），另外一种是普通的镜像（往往由第三方创建，基于基础镜像）。
基础镜像比较特殊，其Dockerfile中往往不存在FROM指令，或者基于scratch镜像（FROM scratch），这意味着其在整个镜像树中处于根的位置。

使用 .dockerignore 文件

可以通过.dockerignore文件（每一行添加一条匹配模式）来让Docker忽略匹配路径或文件，在创建镜像时候不将无关数据发送到服务端。

例如下面的例子中包括了6行忽略的模式（第一行为注释）：

# .dockerignore 文件中可以定义忽略模式
*/temp* 
*/*/temp* 
tmp?
~*
Dockerfile
!README.md

·dockerignore文件中模式语法支持Golang风格的路径正则格式：

• “*”表示任意多个字符；
• “？”代表单个字符；
• “!”表示不匹配（即不忽略指定的路径或文件）。

多步骤创建

对于需要编译的应用（如C、Go或Java语言等）来说，通常情况下至少需要准备两个环境的Docker镜像：

• 编译环境镜像：包括完整的编译引擎、依赖库等，往往比较庞大。作用是编译应用为二进制文件；
• 运行环境镜像：利用编译好的二进制文件，运行应用，由于不需要编译环境，体积比较小。

使用多步骤创建，可以在保证最终生成的运行环境镜像保持精简的情况下，使用单一的Dockerfile，降低维护复杂度。

例如，创建Dockerfile，使用golang:1.9镜像编译应用二进制文件为app，使用精简的镜像alpine:latest作为运行环境。Dockerfile完整内容为：

FROM golang:1.9 as builder # define stage name as builder
RUN mkdir -p /go/src/test
WORKDIR /go/src/test
COPY main.go .
RUN CGO_ENABLED=0 GOOS=linux go build -o app .
FROM alpine:latest
RUN apk --no-cache add ca-certificates
WORKDIR /root/
COPY --from=builder /go/src/test/app ．# copy file from the builder stage
CMD ["./app"]

Tips

• 使用.dockerignore文件：使用它可以标记在执行docker build时忽略的路径和文件，避免发送不必要的数据内容，从而加快整个镜像创建过程。
• 及时删除临时文件和缓存文件：特别是在执行apt-get指令后，/var/cache/apt下面会缓存了一些安装包；
• 减少镜像层数：如果希望所生成镜像的层数尽量少，则要尽量合并RUN、ADD和COPY指令。通常情况下，多个RUN指令可以合并为一条RUN指令；
• 选用合适的基础镜像：容器的核心是应用。选择过大的父镜像（如Ubuntu系统镜像）会造成最终生成应用镜像的臃肿，推荐选用瘦身过的应用镜像（如node:slim），或者较为小巧的系统镜像（如alpine、busybox或debian）；
• 恰当使用多步骤创建（17.05+版本支持）：通过多步骤创建，可以将编译和运行等过程分开，保证最终生成的镜像只包括运行应用所需要的最小化环境。当然，用户也可以通过分别构造编译镜像和运行镜像来达到类似的结果，但这种方式需要维护多个Dockerfile。

Dockerfile 小结

要编写一个高质量的Dockerfile并不是一件容易的事情，需要不断地学习和实践。

Cheat Sheet

# Dockerfile 关键命令回顾
## 配置指令
ARG <name>[=<default value>]  # 定义创建镜像过程中使用的变量，当镜像编译成功后，ARG指定的变量将不再存在
FROM <image>:<tag>[AS<name>]  # 任何Dockerfile中第一条指令必须为FROM指令，指定所创建镜像的基础镜像
LABEL <key>=<value> <key>=<value> <key>=<value>……  # 为生成的镜像添加元数据标签信息
EXPOSE <port>[<port>/<protocol>……]  # 声明镜像内服务监听的端口
ENV <key> <value>
ENV <key>=<value>……  # 指定环境变量，在镜像生成过程中会被后续RUN指令使用，在镜像启动的容器中也会存在
ENTRYPOINT ["executable"，"param1"，"param2"]  # exec调用执行，指定镜像的默认入口命令，该入口命令会在启动容器时作为根命令执行，所有传入值作为该命令的参数
ENTRYPOINT command param1 param2  # shell中执行
VOLUME ["/data"]  # 创建一个数据卷挂载点
USER daemon  # 指定运行容器时的用户名或UID，后续的RUN等指令也会使用指定的用户身份
WORKDIR /path/to/workdir  # 为后续的RUN、CMD、ENTRYPOINT指令配置工作目录，可以使用多个WORKDIR指令，后续命令如果参数是相对路径，则会基于之前命令指定的路径
ONBUILD [INSTRUCTION]  # 指定当基于所生成镜像创建子镜像时，自动执行的操作指令
STOPSIGNAL signal  # 指定所创建镜像启动的容器接收退出的信号值
HEALTHCHECK [OPTIONS]CMD command  # 根据所执行命令返回值是否为0来判断健康与否
HEALTHCHECK NONE  # 禁止基础镜像中的健康检查
SHELL ["executable", "parameters"]  # 指定其他命令使用shell时的默认shell类型，默认值为["/bin/sh"，"-c"]
## 操作指令
RUN <command>  # 在shell终端中运行命令
RUN ["executable"，"param1"，"param2"]  # 运行指定命令，使用exec执行
CMD["executable"，"param1"，"param2"]  # 相当于执行executable param1 param2，每个Dockerfile只能有一条CMD命令
CMD command param1 param2  # 在默认的Shell中执行
CMD ["param1"，"param2"]  # 提供给ENTRYPOINT的默认参数
ADD <src> <dest>  # 添加内容到镜像，比较强大
COPY <src> <dest>  # 复制本地主机的<src>（为Dockerfile所在目录的相对路径，文件或目录）下内容到镜像中的<dest>，目标路径不存在时，会自动创建
## 创建镜像
docker build [OPTIONS] PATH | URL | - 
## 使用 .dockerignore 文件
## 多步骤创建

有疑问加站长微信联系（非本文作者）