Docker04-dockerfile

dockerfile

dockerfile涉及执行代码、执行文件、环境变量、依赖包、运行时环境、动态链接库、操作系统发行版、服务进程、内核进程

从应用软件的角度来看，三者分别代表软件的三个不同阶段
dockerfile是软件的原材料
docker镜像是软件的交付品
docker容器是软件的运行态

Dockerfile运行大致流程

1.docker从基础镜像运行一个容器
2.执行一条指令并对容器做出修改
3.执行类型与docker commit的操作提交一个新的镜像层
4.在基于刚才提交的镜像运行一个新的容器
5.执行dockerfile中的下一条指令直至所有指令都执行完毕

Dockerfile每条指令都会创建一个新的镜像层，并对镜像进行提交

根据Dockerfile生成新镜像

docker build -t nginx:v2 -f mydocker .
docker build -t nginx:v2 .

-f 指定dockerfile文件
-t 指定新镜像的名称和标签
.   当前路径

docker build 默认执行叫做Dockerfile的文件，如果当前目录有这个文件，则可以省略-f
docker build -t nginx:v2 .

dockerfile的路径可以是本地路径、URL路径。若设置为-，表示从标准输入获取dockerfile内容
echo -e 'FROM busybox\nRUN echo "hello world"' | docker build -
docker build -<<EOF
FROM busybox
RUN echo "hello world"
EOF

Dockerfile保留字指令

FROM               # 基础镜像，基于这个dockerfile创建的镜像将以此为基础
MAINTAINER         # 镜像维护者，一般是写 姓名.邮箱
RUN                # 容器构建时执行的命令，可以有多条，依次执行
EXPOSE             # 当前容器对外暴露的端口
WORKDIR            # 创建容器后，终端默认登陆的工作目录
ENV                # 容器的环境变量
ADD                # 拷贝 将宿主文件拷贝至容器，并自动处理URL，解压tar包
COPY               # 拷贝 将宿主文件拷贝至容器
VOLUME             # 容器数据卷，用于数据持久化
CMD                # 容器启动时执行的命令，可以有多个，但是只有最后一个生效，会被docker run的命令覆盖
ENTRYPOINT         # 指定容器启动时要运行的命令，多个仅最后一个生效
ONBUILD            # 基于该dockerfile创建镜像被用于其他镜像的基础镜像时，执行ONBUILD语句

FROM

指定基础镜像，必须为第一个命令

格式：
　　FROM <image>
　　FROM <image>:<tag>
　　FROM <image>@<digest>
示例：
　　FROM mysql:5.6
注：
　　tag或digest是可选的，如果不使用这两个值时，会使用latest版本的基础镜像

MAINTAINER

维护者信息

格式：
    MAINTAINER <name>
示例：
    MAINTAINER Jasper Xu
    MAINTAINER sorex@163.com
    MAINTAINER Jasper Xu <sorex@163.com>

ADD

将本地文件添加到镜像中，tar类型文件会自动解压(网络压缩资源不会被解压)，可以访问网络资源，类似wget

格式：
    ADD <src>... <dest>
    ADD ["<src>",... "<dest>"] 用于支持包含空格的路径
示例：
    ADD hom* /mydir/          # 添加所有以"hom"开头的文件
    ADD hom?.txt /mydir/      # ? 替代一个单字符,例如："home.txt"
    ADD test relativeDir/     # 添加 "test" 到 `WORKDIR`/relativeDir/
    ADD test /absoluteDir/    # 添加 "test" 到 /absoluteDir/

COPY

功能类似ADD，不会自动解压文件，不能访问网络资源

RUN

构建镜像时执行的命令,有以下两种命令执行方式：

shell执行格式：
    RUN <command>
exec执行格式：
    RUN ["executable", "param1", "param2"]
示例：
    RUN ["executable", "param1", "param2"]
    RUN apk update
    RUN ["/etc/execfile", "arg1", "arg1"]
注：
　　RUN指令创建的中间镜像会被缓存，并会在下次构建中使用。如果不想使用这些缓存镜像，可以在构建时指定--no-cache参数，如：docker build --no-cache

CMD

容器启动时运行的命令

格式有三种：
    CMD ["executable","param1","param2"]      # 执行可执行文件，推荐格式
    CMD ["param1","param2"]                   # 如果设置了ENTRYPOINT，该命令表示为ENTRYPOINT配置额外参数
    CMD command param1 param2                 # shell格式的命令
示例：
    CMD echo "This is a test." | wc -l
    CMD ["/usr/bin/wc","--help"]
注：
　　多个CMD仅最后一个执行
    CMD中参数，会被docker run中指定的参数覆盖

ENTRYPOINT

ENTRYPOINT指令可以让容器以应用程序或服务的形式运行
和CMD指令类似，但是ENTRYPOINT指令一定会执行

格式：
    ENTRYPOINT ["executable", "param1", "param2"]   # 可执行文件, 推荐格式
    ENTRYPOINT command param1 param2                # shell格式命令
示例：
    FROM ubuntu
    ENTRYPOINT ["curl", "-s", "http://ip.cn"]
    CMD ["-i"]
注：
　　 docker run命令中指定的任何参数，都会被当做ENTRYPOINT的附加参数
     Dockerfile中只允许有一个ENTRYPOINT命令，多指定只执行最后一个
     CMD与ENTRYPOINT共存时，CMD中的值会作为ENTRYPOINT的参数

--entrypoint 选项会忽略dockerfile中的ENTRYPOINT
docker run --entrypoint="cat" example /etc/hostname

LABEL

用于为镜像添加元数据

格式：
    LABEL <key>=<value> <key>=<value> <key>=<value> ...
示例：
　　LABEL version="1.0" description="这是一个Web服务器" by="IT笔录"
注：
　　使用LABEL指定元数据时，一条LABEL指定可以指定一或多条元数据，指定多条元数据时不同元数据之间通过空格分隔。推荐将所有的元数据通过一条LABEL指令指定，以免生成过多的中间镜像。

ENV

设置环境变量

格式：
    ENV <key> <value>  #<key>之后的所有内容均会被视为其<value>的组成部分，因此，一次只能设置一个变量
    ENV <key>=<value> ...  #可以设置多个变量，每个变量为一个"<key>=<value>"的键值对，如果<key>中包含空格，可以使用\来进行转义，也可以通过""来进行标示；另外，反斜线也可以用于续行
示例：
    ENV myName John Doe
    ENV myDog Rex The Dog
    ENV myCat=fluffy

EXPOSE

指定于外界交互的端口

格式：
    EXPOSE <port> [<port>...]
示例：
    EXPOSE 80 443
    EXPOSE 8080
    EXPOSE 11211/tcp 11211/udp
注：
　　EXPOSE并不会让容器的端口访问到主机。要使其可访问，需要在docker run运行容器时通过-p来发布这些端口，或通过-P参数来发布EXPOSE导出的所有端口，当强制 –icc=false 的时候，那么只有 EXPOSE 的端口，其它容器才可以访问

VOLUME

用于指定持久化目录，VOLUME与docker run -v不同，前者只是创建挂载点，当容器运行时docker默认将/var/lib/docker/volume/下的一个目录挂载到挂载点

格式：
    VOLUME ["/path/to/dir"]
示例：
    VOLUME ["/data"]
    VOLUME ["/var/www", "/var/log/apache2", "/etc/apache2"
注：
　　一个卷可以存在于一个或多个容器的指定目录，该目录可以绕过联合文件系统，并具有以下功能：
1 卷可以容器间共享和重用
2 容器并不一定要和其它容器共享卷
3 修改卷后会立即生效
4 对卷的修改不会对镜像产生影响
5 卷会一直存在，直到没有任何容器在使用它

WORKDIR

工作目录，类似于cd命令

格式：
    WORKDIR /path/to/workdir
示例：
    WORKDIR /a  (这时工作目录为/a)
    WORKDIR b  (这时工作目录为/a/b)
    WORKDIR c  (这时工作目录为/a/b/c)
注：
　　通过WORKDIR设置工作目录后，Dockerfile中其后的命令RUN、CMD、ENTRYPOINT、ADD、COPY等命令都会在该目录下执行。在使用docker run运行容器时，可以通过-w参数覆盖构建时所设置的工作目录。

USER

指定运行容器时的用户名或 UID，后续的 RUN 也会使用指定用户。使用USER指定用户时，可以使用用户名、UID或GID，或是两者的组合。当服务不需要管理员权限时，可以通过该命令指定运行用户。并且可以在之前创建所需要的用户

格式:
　　USER user
　　USER user:group
　　USER uid
　　USER uid:gid
　　USER user:gid
　　USER uid:group
示例：
　　USER www
注：
　　使用USER指定用户后，Dockerfile中其后的命令RUN、CMD、ENTRYPOINT都将使用该用户。镜像构建完成后，通过docker run运行容器时，可以通过-u参数来覆盖所指定的用户。

ARG

用于指定传递给构建运行时的变量

格式：
    ARG <name>[=<default value>]
示例：
    ARG site
    ARG build_user=www

ONBUILD

用于设置镜像触发器

格式：
　　ONBUILD <dockerfile命令> <参数>
示例：
　　ONBUILD ADD . /app/src
　　ONBUILD RUN /usr/local/bin/python-build --dir /app/src
注：
　　当所构建的镜像被用做其它镜像的基础镜像，该镜像中的触发器将会被触发

查看镜像中的onbuild指令的内容
docker inspect -f *{{.ContainerConfig.OnBuild}}* example

忽略Dockerfile目录中的文件

所有位于dockerfile目录中的文件都称为“上下文”。
从上下文中忽略某些文档时，使用dockerignore文件

cat .dockerignore

example/hello.txt
example/*.cpp
wo*
.git
.svn

Dockerfile示例

# This my first nginx Dockerfile
# Version 1.0

# Base images 基础镜像
FROM centos

#MAINTAINER 维护者信息
MAINTAINER tianfeiyu

#ENV 设置环境变量
ENV PATH /usr/local/nginx/sbin:$PATH

#ADD  文件放在当前目录下，拷过去会自动解压
ADD nginx-1.8.0.tar.gz /usr/local/  
ADD epel-release-latest-7.noarch.rpm /usr/local/  

#RUN 执行以下命令
RUN rpm -ivh /usr/local/epel-release-latest-7.noarch.rpm
RUN yum install -y wget lftp gcc gcc-c++ make openssl-devel pcre-devel pcre && yum clean all
RUN useradd -s /sbin/nologin -M www

#WORKDIR 相当于cd
WORKDIR /usr/local/nginx-1.8.0

RUN ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-pcre && make && make install

RUN echo "daemon off;" >> /etc/nginx.conf

#EXPOSE 映射端口
EXPOSE 80

#CMD 运行以下命令
CMD ["nginx"]

创建支持ssh服务的镜像

docker run -it ubuntu:17.04 /bin/bash
apt-get update
apt-get install openssh-server
mkdir -p /var/run/sshd
/usr/sbin/sshd -D &
netstat -tunlp
# 取消pam登陆限制
sed ri 's/session required pam loginuid.so/#session required pam loginuid.so/g' /etc/pam.d/sshd

# 创建.ssh目录，并复制需要登录的公钥信息到authorized keys 文件中
# 公钥信息一般为本地主机用户目录下的.ssh/idrsa.pub文件，可由ssh-keygen-t rsa命令生成
mkdir /root/.ssh
vi /root/.ssh/authorized_keys

# 创建自动启动 SSH服务的可执行文件run.sh，并添加可执行权限:
vi /run.sh
#!/bin/bash
/usr/sbin/sshd -D
chmod +x run.sh

# 退出容器
exit

# 保存并使用容器
docker commit fc1 sshd:ubuntu
docker run -p 10022:22 -d sshd:ubuntu /run.sh

使用dockerfile创建支持ssh服务的镜像

# 创建工作目录
mkdir /path/to/sshd_ubuntu
touch /path/to/sshd_ubuntu/{Dockerfile,run.sh}

# 编写run.sh和authorized_keys文件
vim run.sh
#!/bin/bash
/usr/sbin/sshd -D

ssh-keygen -t rsa
cat ~/.ssh/id_rsa.pub > authorized_keys

# 编写dockerfile
vim Dockerfile
FROM ubuntu:17.04
MAINTAINER create by xxx
# 更换国内yum，有省略
RUN echo "deb http://mirrors.163.com/ubuntu/ trusty main restricted univers multiverse" >/etc/apt/sources.list
....
RUN apt-get update

#安装ssh服务
RUN apt-get install openssh-server
RUN mkdir -p /var/run/sshd
RUN mkdir -p /root/.ssh
RUN sed ri 's/session required pam loginuid.so/#session required pam loginuid.so/g' /etc/pam.d/sshd

# 复制配置文件
ADD authorized_keys /root/.ssh/authorized_keys
ADD run.sh /run.sh
RUN chmod 755 /run.sh

EXPOSE 22
CMD ["/run.sh"]

# 创建镜像
docker build -t sshd:dockerfile .

继承支持ssh的镜像，创建新镜像

# 继承sshd镜像
FROM sshd:dockerfile

# 新的镜像会继承sshd镜像开放的22端口
...