运维docker09-创建docker镜像
官方文档:https://docs.docker.com/engine/reference/builder/
1、容器化
- Docker的核心思想就是如何将应用整合到容器中,并且能在容器中实际运行。
- 将应用整合到容器中并且运行起来的这个过程,称为“容器化"(Containerizing),有时也叫作"Docker化”(Dockerizing)。
- 容器是为应用而生!具体来说,容器能够简化应用的构建、部署和运行过程。
- 完整的应用容器化过程主要分为以下几个步骤。
- (1)编写应用代码。
- (2)创建一个Dockerfile,其中包括当前应用的描述、依赖以及该如何运行这个应用。
- (3)对该Dockerfile执行docker image build命令。
- (4)等待Docker将应用程序构建到Docker镜像中。
- 创建镜像的方法主要有三种:
- 基于已有容器创建。
- 基于本地模板导入。
- 基于Dockerfile 创建。
2、基于已有容器创建镜像
- 基本语法格式如下:
docker container commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]] -a, --author string 作者信息(e.g., "John Hannibal Smith <hannibal@a-team.com>") -c, --change list 提交的时候执行Dockerfile指令,包括CMD | ENTRYPOINT | ENV | EXPOSE | LABEL | ONBUILD | USER | VOLUME | WORKDIR等; -m, --message string 提交消息 -p, --pause 在提交期间暂停容器
示例:
]# docker container run --name b1 -it busybox:latest /bin/sh #启动一个容器 / # mkdir /data / # echo "centoshh" > /data/210911.txt / # exit ]# docker container commit -m "add a new file" -a "centoshh" b1 mybusybox:v1.0 #创建镜像 sha256:79dc3791322075094284409c8b08077b0baa1401a6293b879b4227be0df6ec2b ]# docker container run --name b2 -it mybusybox:v1.0 /bin/sh #用新镜像启动容器,并查看添加的文件 / # cat /data/210911.txt centoshh
3、基于本地模板导入创建镜像
- 直接从一个操作系统模板文件导人一个镜像
- 要直接导人一个镜像,可以使用OpenVZ提供的模板来创建,或者用其他已导出的镜像模板来创建。OPENVZ 模板的下载地址为http://openvz.org/Download/templates/precreated
- 基本语法格式如下:
docker image import [OPTIONS] file|URL|- [REPOSITORY[:TAG]] #从tarball中导入内容以创建文件系统映像 -c, --change list 对创建的映像应用Dockerfile指令 -m, --message string 为导入的镜像设置提交消息 --platform string 如果服务器支持多平台,则设置平台
示例:
cat centos-7-x86_64.tar.gz | docker image import - centos:v7
4、基于Dockerfile创建镜像
1、dockerfile概述
- 通过读取Dockerfile中的指令,Docker可以自动构建镜像。
- Dockerfile是一种文本文档,其中包含一行行命令语句,并且支持以#开头的注释行。
1、dockerfile用法
- docker build命令从Dockerfile和上下文构建一个镜像。
- 上下文是指定位置PATH或URL上的一组文件。
- PATH:本地文件系统上的一个目录
- URL:一个Git存储库位置
- 上下文是递归处理的。因此,PATH包括任何子目录,URL包括存储库及其子模块。
- 在Docker守护进程运行Dockerfile中的指令之前,它会对Dockerfile执行一个初步的验证,如果语法不正确就会返回一个错误
- Docker守护进程逐行运行Dockerfile中的指令,如果有必要,在最终输出新映像的ID之前,将每个指令的结果提交给一个新镜像。Docker守护进程会自动清理你发送的上下文。
- 注意,每条指令都是独立运行的,并创建一个新镜像——因此run cd /tmp对下一条指令没有任何影响。
2、dockerfile格式
- Dockerfile中指令格式一般为:
INSTRUCTION arguments #指令不区分大小写。但是,约定将它们大写,以便更容易地将它们与参数区分开来。
- Dockerfile必须以FROM指令开始。这可能是在解析器指令、注释和全局作用域arg之后。
- FROM指令指定要构建的父映像。FROM前只能有一个或多个ARG指令,这些指令声明了在FROM行中使用的参数。
- Docker将以#开头的行视为注释。行中任何其他位置的#标记都被视为参数。
- 注释行在Dockerfile指令执行之前被删除。
- 注释中不支持换行符。
示例:
# Comment RUN echo 'we are running some # of cool things'
2、变量替换
- 环境变量(用ENV语句声明)也可以作为Dockerfile解释的变量在某些指令中使用。
- 引用环境变量格式:
$variable_name ${variable_name} #大括号语法通常用于解决变量名不带空格的问题,比如${foo}_bar。
- ${variable_name}语法还支持下面指定的一些标准bash修饰符:
- ${variable:-word}表示如果variable设置,则结果将是该值。如果variable未设置,word则将是结果。
- ${variable:+word}表示如果variable设置则为word结果,否则为空字符串。
- 在所有情况下,word可以是任何字符串,包括其他环境变量。
- 将变量转义为字符串:例如,\\$foo或\\${foo}将分别转换为\$foo和\${foo}字面量。
- Dockerfile中支持环境变量的指令
- ADD
- COPY
- ENV
- EXPOSE
- FROM
- LABEL
- STOPSIGNAL
- USER
- VOLUME
- WORKDIR
- ONBUILD (当与上面支持的指令之一组合时)
示例:
FROM busybox ENV FOO=/bar WORKDIR ${FOO} # WORKDIR /bar ADD . $FOO # ADD . /bar COPY \$FOO /quux # COPY $FOO /quux
- 注意当一条ENV指令中为多个环境变量赋值并且值也是从环境变量读取时,会为变量都赋值后再更新(先赋值再更新)。
示例:
ENV abc=hello ENV abc=bye def=$abc #def的值为hello,先赋值再更新 ENV ghi=$abc
3、.dockerignore文件
- 在docker CLI将上下文发送给docker守护进程之前,它会在上下文的根目录下查找一个名为.dockerignore的文件。如果该文件存在,CLI将修改上下文以排除匹配其中模式的文件和目录。这有助于避免不必要地将大的或敏感的文件和目录发送到守护进程,并可能使用ADD或COPY将它们添加到镜像中。
- dockerignore文件中模式语法支持Golang风格的路径正则格式:
- "*"表示任意多个字符;
- "?"代表单个字符;
- "!"表示不匹配(即不忽略指定的路径或文件)。
示例1:
# comment */temp* */*/temp* temp?
- # comment 注释行,将会被忽略。
- */temp* 排除根目录的任何直接子目录中名称以temp开头的文件和目录。例如,普通文件/somedir/temporary.txt和目录/somedir/temp被排除在外。
- */*/temp* 从根目录下两层的任何子目录中排除以temp开头的文件和目录。例如,/somedir/subdir/temporary.txt将被排除。
- temp? 排除根目录下以单字符扩展名temp的文件和目录,例如/tempa和/tempb。
示例2:
- Docker支持一个特殊的通配符字符串**,它可以匹配任意数量的目录(包括0)。
**/*.Go #将排除在所有目录中以.Go结尾的所有文件
示例3:
- !(感叹号)可用于对排除的情况作例外处理。
*.md !README.md #除了README.md之外的所有markdown文件都被排除。
示例4:
- 匹配特定文件的.dockerignore的最后一行决定是否包含该文件。
*.md !README*.md README-secret.md #除了README-secret.md以外,不包含任何markdown文件。
4、解析器指令
- 解析器指令是可选的,它会影响Dockerfile中后续行的处理方式。
- 解析器指令不会添加镜像层,也不会显示为构建步骤。
- 解析器指令被写成一种特殊类型的注释,形式为# directive=value。
- 解析器指令必须位于Dockerfile的最顶端。且一个解析器指令只能使用一次。
- 解析器指令不区分大小写。但是,按照惯例,它们是小写的。一般在解析器指令后面都要包含空行。
- 解析器指令不支持行延续字符。
1、syntax
- 该特性仅在使用BuildKit后端时可用,在使用经典构建器后端时被忽略。
- 基本语法格式如下:
# syntax=[remote image reference]
示例:
# syntax=docker/dockerfile:1 # syntax=docker.io/docker/dockerfile:1 # syntax=example.com/user/repo:tag@sha256:abcdef...
2、escape
- 基本语法格式如下:
# escape=\ (backslash) # escape=` (backtick)
- escape指令设置Dockerfile中用于转义字符的字符。如果未指定,默认转义字符为\。
- 转义字符既用于转义行中的字符,也用于转义换行。这允许Dockerfile指令跨多行。
- 注意,无论Dockerfile中是否包含escape解析器指令,RUN命令中都不会执行转义,除非在行尾。
- 将转义字符设置为'在Windows上特别有用,因为\是目录路径分隔符。
示例:
# escape=` FROM microsoft/nanoserver COPY testfile.txt c:\ RUN dir c:\
5、指令说明
- Dockerfile中指令的一般格式为INSTRUCTION arguments,包括“配置指令”(配置镜像信息)和“操作指令”(具体执行操作)。
1、ARG
- 定义创建镜像过程中使用的变量。(可以包含多个ARG指令)
- 基本语法格式如下:
ARG <name> [=<default value>]
- 在执行docker build时,可以通过--build-arg <varname>=<value>来为变量赋值。如果用户指定了未在Dockerfile中定义的构建参数,则构建会输出警告。
- 当镜像编译成功后,ARG指定的变量将不再存在(ENV指定的变量将在镜像中保留)。
- Docker内置了一些镜像创建变量,用户可以直接使用而无须声明,包括(不区分大小写)HTTP_PROXY、HTTPS_PROXY、FTP_PROXY、NO_PROXY。
2、FROM
- 指定所创建镜像的基础镜像。
- 基本语法格式如下:
FROM <image> [AS <name>] FROM <image>:<tag> [AS <name>] FROM <image>@<digest> [AS <name>]
-
- name可以用于后面的FROM和COPY。
- 标签或摘要值是可选的。如果省略其中任何一个,构造器默认采用最新的标记。如果不能找到标记值,构造器将返回一个错误。
- 任何Dockerfile中第一条指令必须为FROM指令(即第一条非注释行必须是FROM指令),用于为镜像构建过程指定基准镜像,后续的指令运行于此基准镜像所提供的运行环境。
- ARG是Dockerfile中唯一可能先于FROM的指令。
- 如果在同一个Dockerfile中创建多个镜像时,可以使用多个FROM指令(每个镜像一次)。
- 实践中,基准镜像可以是任何可用镜像文件。默认情况下, docker build会在docker主机上查找指定的镜像文件,在其不存在时,则会从Docker Hub Registry上拉取所需的镜像文件。如果找不到指定的镜像文件, docker build会返回一个错误信息。
- 为了保证镜像精简,可以选用体积较小的镜像如Alpine或Debian作为基础镜像。
示例:
ARG VERSION=9.3 FROM debian:$(VERSION)
3、LABEL
- LABEL指令可以为生成的镜像添加元数据标签信息。这些信息可以用来辅助过滤出特定镜像。(可以包含多个LABEL指令)
- 基本语法格式如下:
LABEL <key>=<value> <key>=<value> ...
示例:
LABEL version="1.0.0-rc3" LABEL author="centoshh" date="2020-09-20" LABEL description="This text illustrates \ #要在标签值中包含空格,可以使用引号和反斜杠。 that label-values can span multiple lines."
4、EXPOSE
- 声明容器运行时要监听的端口。
- 基本语法格式如下:
EXPOSE <port> [<port>/<protocol>...] #protocol用于指定传输层协议,可为tcp或udp二者之一,默认为TCP协议。
- 注意该指令只是起到声明作用,并不会自动完成端口映射,即默认情况下,启动容器时不会暴露端口。
- 如果要映射端口出来,在启动容器时可以使用-P参数(Docker主机会自动分配一个宿主机的临时端口)或-p HOST_PORT:CONTAINER_PORT参数(具体指定所映射的本地端口)。
- 无论EXPOSE设置如何,都可以在运行容器时使用docker container run -p覆盖它们。
示例:
EXPOSE 11211/udp 11211/tcp EXPOSE 22 80/tcp 8443
5、ENV
- 指定环境变量,在镜像生成过程中会被Dockerfile文件中位于其后的其它指令(如ENV、ADD、COPY等)调用。
- 在镜像启动的容器中ENV指定的环境变量也会存在。
- 在运行容器时docker container run --env <key>=<value>,可以进行更改环境变量
- 基本语法格式如下:
ENV <key> <value> #<key>之后的所有内容均会被视作其<value>的组成部分,一行只能设置一个变量 ENV <key>=<value> ... #一行可以设置多个变量。定义多个变量时,建议使用
- 调用格式为 \$variable_name 或 \${variable_name}
- dockerfile中定义的变量可以用在创建镜像(docker image build)和启动容器(docker container run)。
- 创建镜像时变量值是dockerfile中定义的,不能进行传递参数。
- 启动容器时可以传递参数,修改dokerfile中定义的变量值。
示例:
ENV APP_VERSION=l.0.0 ENV APP_HOME=/usr/local/app ENV PATH $PATH:/usr/local/bin
6、ENTRYPOINT
- 指定在镜像运行为容器时默认运行的程序,从而使容器像是一个单独的可执行程序。
- 每个Dockerfile中只能有一个ENTRYPOINT,当指定多个时只有最后一个生效。
- 当Dockerfile有ENTRYPOINT时,CMD指令指定的值将作为ENTRYPOINT指定程序的参数。
- 基本语法格式如下:
ENTRYPOINT ["executable", "paraml","param2"] #exec中执行; ENTRYPOINT command paraml param2 #shell中执行。
- 由ENTRYPOINT启动的程序不会被docker run命令行指定的参数覆盖,而且,这些命令行参数会被当作参数传递给ENTRYPOINT指定的程序。
- docker container run命令的--entrypoint选项的参数可以覆盖ENTRYPOINT指令指定的程序。
7、VOLUME
- 创建一个数据卷挂载点。
- 基本语法格式如下:
VOLUME ["/data"] #指定的时容器中的目录,而且不能指定宿主机的目录
- 如果挂载点目录中本来就有文件,docker run命令会在卷挂载完成后将此前的所有文件复制到新挂載的卷中
8、USER
- 指定运行容器时的用户名或UID,后续的指令(RUN、CMD或ENTRYPOINT)也会使用指定的用户身份。
- 默认情况下,container以root用户运行。
- 基本语法格式如下:
USER <user>[:<group>] USER <UID>[:<GID>]
- 需要注意的是,<UID>可以为任意数字,但必须为/etc/passwd中某用户的有效UID,否则,docker container run命令将运行失败
- 当服务不需要管理员权限时,可以通过该命令指定运行用户,并且可以在Dockerfile中创建所需要的用户。
- 要临时获取管理员权限可以使用gosu命令。
示例:
RUN groupadd -r postgres && useradd --no-log-init -r -g postgres postgres
9、WORKDIR
- 为后续的RUN、CMD、ENTRYPOINT、COPY和ADD指令配置工作目录。
- 基本语法格式如下:
WORKDIR /path/to/workdir
- 可以使用多个WORKDIR指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径。
- 为了避免出错,推荐WORKDIR指令中只使用绝对路径。
示例:
WORKDIR /a WORKDIR Ь WORKDIR c RUN pwd #最终路径为/a/b/c
10、ONBUILD
- 指定当基于所生成镜像创建子镜像时,自动执行的操作指令。
- 基本语法格式如下:
ONBUIID [INSTRUCTION]
- 在ONBUILD指令中使用ADD或COPY指令应该格外小心,因为构建镜像的过程中缺少指定的源文件时会失败。
- 尽管任何指令都可以嵌套ONBUILD中,但ONBUILD不能自我嵌套,且不会触发FROM和MAINTAINER指令。
- ONBUILD指令是隐式执行的,因此使用包含ONBUILD指令的Dockerfile构建的镜像应该使用特殊的标签,例如ruby:2.0-onbuild。
- ONBUILD指令在创建专门用于自动编译、检查等操作的基础镜像时,十分有用。
示例:
###使用如下的Dockerfile创建父镜像ParentImage,指定ONBUILD指令: # Dockerf ile for Parentimage [...] ONBUILD ADD . /app/src ONBUILD RUN /usr/local/bin/python-build --dir / app/src [...] ###使用docker build命令创建子镜像ChildImage时(FROM Parentimage),会首先执行ParentImage中配置的ONBUILD指令: # Dockerfile for Childimage FROM ParentImage ###等价于在Childimage的Dockerfile中添加了如下指令: #Automatically run the following when building Ch 工ldimage ADD . /app/src RUN /usr/local/bin/python-build --dir /app/src
11、STOPSIGNAL
- 指定所创建镜像启动的容器接收退出的信号值。
- 基本语法格式如下:
STOPSIGNAL signal #signal是kill能识别的值。signal与内核中的syscall表匹配,例如9。或以SIGNAME格式表示的信号名,例如SIGKILL
12、HEALTHCHECK
- 配置所启动容器如何进行健康检查(如何判断健康与否),自Docker 1.12开始支持
- 基本语法格式如下:
HEALTHCHECK [OPTIONS] CMD command #根据所执行命令返回值是否为0来判断 --interval=DURATION (default: 30s) 检测时间间隔 --timeout=DURATION (default: 30s) 每次检查等待结果的超时时长; --retries=N (default: 3) 如果失败了,重试几次才最终确定失败。 --start-period=DURATION (default: 0s) 容器启动后等待n秒后再检测 HEALTHCHECK NONE #禁止基础镜像中的健康检查。
- 命令的退出状态指示容器的运行状况。可能的值是
- 0: success成功-容器是健康的,随时可以使用
- 1: unhealthy不健康-容器不能正常工作
- 2: reserved保留-不要使用此退出代码
示例:
HEALTHCHECK --interval=5m --timeout=3s \ CMD curl -f http://localhost/ || exit 1
13、SHELL
- 指定其他命令使用shell时的默认shell类型
- SHELL指令可以出现多次。每条SHELL指令都会覆盖之前所有SHELL指令,并影响后面的所有指令
- 基本语法格式如下:
SHELL ["executable", "parameters"] #默认的shell,在Linux上是["/bin/sh","-c"],在Windows上是["cmd","/S" ,"/C"]
- 注意,对于Windows系统,Shell路径中使用了“\”作为分隔符,建议在Dockerfile开头添加# escape='来指定转义符。
14、RUN
- 用于指定docker build过程中运行的命令,可以是任何底层镜像支持的命令
- 每条RUN指令将在当前镜像基础上执行指定命令,并提交为新的镜像层。
- 基本语法格式如下:
- 前者默认将在shell终端中运行命令,即/bin/sh -c。
- 后者则使用exec执行,不会启动shell环境。
RUN <command> #shell形式,命令在shell中运行,Linux下默认为/bin/sh -c, Windows下默认为cmd /S /C RUN ["executable", "paraml", "param2"] #exec形式。指令会被解析为JSON数组,因此必须用双引号
- 第一种格式:
- command通常是一个shell命令,且以"/bin/sh -c"来运行它。
- 这意味着此进程在容器中的PID不为1,不能接收Unix信号。因此,当使用docker container stop命令停止容器时,此进程接收不到SIGTERM信号。
- 第二种格式:
- executable为要运行的命令。
- paramN为传递给命令的选项或参数。
- 命令不会以"/bin/sh -c"来发起,因此常见的shell操作如变量替换以及通配符(?,*等)替换将不会进行。
- 如果要运行的命令依赖于此shell特性的话,可以将其替换为类似下面的格式。RUN ["/bin/bash","-c","<executable>","<param1>"]
- RUN和CMD的区别:
- RUN指令中的命令,在使用dockerfile构建镜像时被执行。
- CMD指令中的命令,在镜像文件启动为一个容器时被执行。
- CMD指令的首要目的在于为启动的容器指定默认要运行的程序,且其运行结束后,容器也将终止。
示例1:
- 指定使用其他终端类型可以通过第二种方式实现。
RUN ["/bin/bash", "-c"llecho hel1o"]
示例2:
- 在shell形式中,当命令较长时可以使用\来换行
RUN apt-get update \ && apt-get install -y libsnappy-dev zliblg-dev libbz2-dev \ && rm -rf /var/cache/apt \ && rm rf /var/lib/apt/lists/*
15、CMD
- CMD指令用来指定启动容器时默认执行的命令。(底层镜像支持的任何命令或应用程序)
- 基本语法格式如下:
CMD ["executable", "param1", "param2"] #exec形式,这是首选的形式 CMD command paraml param2 #shell形式,在默认的Shell中执行,提供给需要交互的应用; CMD ["paraml", "param2"] #为ENTRYPOINT提供默认参数。
- 每个Dockerfile只能有一条CMD命令。如果指定了多条命令,只有最后一条会生效。
- 如果用户启动容器时候手动指定了运行的命令(作为docker container run命令的参数),则会覆盖掉CMD指定的命令。
- 不同ENTRYPOINT/CMD组合下执行的命令:
16、ADD
- 添加内容到镜像。
- 基本语法格式如下:
ADD [--chown=<user>:<group>] <src>... <dest> #--chown功能仅在用于构建Linux容器的Dockerfile上受支持,不适用于Windows容器 ADD [--chown=<user>:<group>] ["<src>",... "<dest>"] #适用于路径中包含空格
- ADD命令将复制指定的<src>路径下内容到容器中的<dest>路径下。
- <src>可以是Dockerfile所在目录的一个相对路径(文件或目录);也可以是一个URL;还可以是一个tar文件(自动解压为目录) 。
- <dest>可以是镜像内绝对路径,或者相对于工作目录(WORKDIR)的相对路径。
- 路径支持正则格式
- 操作准则
- 如果<src>为URL且<dest>不以/结尾,则<src>指定的文件将被下载并直接被创建为<dest>;如果<dest>以/结尾,则文件名URL指定的文件将被直接下载并保存为<dest>/<filename>
- 如果<src>是一个本地系统上的压缩格式的tar文件,它将被展开为一个目录,其行为类似于"tar -x"命令;然而,通过URL获取到的tar文件将不会自动展开
- 如果<src>有多个,或其间接或直接使用了通配符,则<dest>必须是一个以/结尾的目录路径;如果<dest>不以/结尾,则其被视作一个普通文件,<src>的内容将被直接写入到<dest>
17、COPY
- 用于从Docker主机复制文件至创建的新镜像文件。
- 基本语法格式如下:
COPY [--chown=<user>:<group>] <src>... <dest> #--chown功能仅在用于构建Linux容器的Dockerfile上受支持,不适用于Windows容器。 COPY [--chown=<user>:<group>] ["<src>",... "<dest>"] #适用于路径中包含空格
- 复制本地主机的<src> (为Dockerfile所在目录的相对路径、文件或目录)下内容到镜像中的<dest>。目标路径不存在时,会自动创建。
- 文件复制准则
- <src>必须是build上下文中的路径,不能是其父目录中的文件
- 如果<src>是目录,则其内部文件或子目录会被递归复制,但<src>目录自身不会被复制
- 如果指定多个<src>,或在<src>中使用了通配符,则<dest>必须是一个目录,且必须以/结尾
- 如果<dest>事先不存在,它将会被自动创建,这包括其父目录路径
- 路径同样支持正则格式。
- COPY与ADD指令功能类似,当使用本地目录为源目录时,推荐使用COPY
6、创建镜像
- 编写完成Dockerfile之后,可以通过docker image build命令来创建镜像。
- 该命令将读取指定路径下(包括子目录)的Dockerfile,并将该路径下所有数据作为上下文(Context)发送给Docker服务端。
- Docker服务端在校验Dockerfile格式通过后,逐条执行其中定义的指令,碰到ADD、COPY和RUN指令会生成一层新的镜像层。
- 最终如果创建镜像成功,会返回最终镜像的ID 。
- 如果上下文过大,会导致发送大量数据给服务端,延缓创建过程。因此除非是生成镜像所必需的文件,不然不要放到上下文路径下。
- 如果使用非上下文路径下的Dockerfile,可以通过-f选项来指定其路径。
- 要指定生成镜像的标签信息,可以通过-t选项。该选项可以重复使用多次,一次添加一个名称。
1、docker image build命令
- 基本语法格式如下:
docker image build [OPTIONS] PATH | URL | - --add-host list 添加自定义的主机名到IP的映射(host:ip) --build-arg list 添加创建时的变量 --cache-from strings 使用指定镜像作为缓存源 --cgroup-parent string 继承的上层cgroup --compress 使用gzip来压缩创建上下文数据 --cpu-period int 分配的CFS调度器时长 --cpu-quota int CFS调度器总份额 -c, --cpu-shares int CPU权重(relative weight) --cpuset-cpus string 多CPU允许使用的CPU(0-3, 0,1) --cpuset-mems string 多CPU允许使用的内存(0-3, 0,1) --disable-content-trust 不进行镜像校验,默认为真 -f, --file string Dockerfile名称 --force-rm 总是删除中间过程的容器 --iidfile string 将镜像ID写人到文件 --isolation string 容器的隔离机制 --label list 配置镜像的元数据 -m, --memory bytes 限制使用内存量 --memory-swap bytes 限制内存和缓存的总量,'-1'以启用无限交换 --network string 指定RUN命令时的网络模式(default "default") --no-cache 在构建映像时不使用缓存 --pull 总是尝试获取镜像的最新版本 -q, --quiet 不打印创建过程中的日志信息 --rm 创建成功后自动删除中间过程容器,默认为真 --security-opt strings 指定安全相关的选项 --shm-size bytes /dev/shm的大小 -t, --tag list 指定镜像的标签列表,例如'name:tag' --target string 指定创建的目标阶段 --ulimit ulimit 指定ulimit的配置(default [])
2、选择父镜像
- 大部分情况下,生成新的镜像都需要通过FROM指令来指定父镜像。父镜像是生成镜像的基础,会直接影响到所性成镜像的大小和功能。
- 用户可以选择两种镜像作为父镜像:
- 一种是所谓的基础镜像(baseimage)。
- 另外一种是普通的镜像(往往由第三方创建,基于基础镜像)。
- 基础镜像比较特殊,其Dockerfile中往往不存FROM指令,或者基于scratch镜像(FROM scratch),这意味着其在整个镜像树中处于根的位置。
- 普通镜像也可以作为父镜像来使用, 包括常见的busybox、debian、ubuntu等。
- Docker不同类型镜像之间的继承关系
示例:
- 下面的Dockerfile定义了一个简单的基础镜像,将用户提前编译好的二进制可执行文件binary复制到镜像中,运行容器时执行binary命令:
FROM scratch ADD binary / CMD ["/binary"]
3、多步骤创建
- 自17.05版本开始,Docker支持多步骤镜像创建(Multi-stage build)特性,可以精简最终生成的镜像大小。
- 对于需要编译的应用(如C、Go或Java语言等)来说,通常情况下至少需要准备两个环境的Docker镜像:
- 编译环境镜像:包括完整的编译引擎、依赖库等,往往比较庞大。作用是编译应用为二进制文件;
- 运行环境镜像:利用编译好的二进制文件,运行应用,由于不需要编译环境,体积比较小。
- 使用多步骤创建,可以在保证最终生成的运行环境镜像保持精简的情况下,使用单一的Dockerfile,降低维护复杂度。
7、dockerfile的最佳实践
1、所谓最佳实践,就是从需求出发,来定制适合自己、高效方便的镜像。
- 首先,要尽量吃透每个指令的含义和执行效果,多编写一些简单的例子进行测试,弄清楚了再撰写正式的Dockerfile。
- 此外,Docker Hub官方仓库中提供了大量的优秀镜像和对应的Dockefile,可以通过阅读它们来学习如何撰写高效的Dockerfile。
2、建议读者在生成镜像过程中,尝试从如下角度进行思考,完善所生成镜像
- 精简镜像用途:尽量让每个镜像的用途都比较集中单一,避免构造大而复杂、多功能的镜像。
- 选用合适的基础镜像:容器的核心是应用。选择过大的父镜像(如Ubuntu系统镜像)会造成最终生成应用镜像的臃肿,推荐选用瘦身过的应用镜像(如node:sim),或者较为小巧的系统镜像(如alpine、busybox或debian)。
- 提供注释和维护者信息: Dockerfile也是一种代码,需要考虑方便后续的扩展和他人的使用。
- 正确使用版本号:使用明确的版本号信息,如1.0,2.0,而非依赖于默认的latest.通过版本号可以避免环境不一致导致的问题。
- 减少镜像层数:如果希望所生成镜像的层数尽量少,则要尽量合并RUN,ADD和COPY指令。通常情况下,多个RUN指令可以合并为一条RUN指令。
- 恰当使用多步骤创建(17.05+版本支持):通过多步骤创建,可以将编译和运行等过程分开,保证最终生成的镜像只包括运行应用所需要的最小化环境。当然,用户也可以通过分别构造编译镜像和运行镜像来达到类似的结果,但这种方式需要维护多个Dockerfile
- 使用.dockerignore文件:使用它可以标记在执行docker build时忽略的路径和文件,避免发送不必要的数据内容,从而加快整个镜像创建过程。
- 及时删除临时文件和缓存文件:特别是在执行apt-get指令后,/var/cache/apt下面会缓存了一些安装包。
- 提高生成速度:如合理使用cache,减少内容目录下的文件,或使用.dockerignore文件指定等。
- 调整合理的指令顺序:在开启cache的情况下,内容不变的指令尽量放在前面,这样可以尽量复用。
- 减少外部源的干扰:如果确实要从外部引入数据,需要指定持久的地址,并带版本信息等,让他人可以复用而不出错。