运维docker09-创建docker镜像

官方文档：https://docs.docker.com/engine/reference/builder/

1、容器化

• Docker的核心思想就是如何将应用整合到容器中，并且能在容器中实际运行。
• 将应用整合到容器中并且运行起来的这个过程,称为“容器化"(Containerizing)，有时也叫作"Docker化”(Dockerizing)。
• 容器是为应用而生!具体来说，容器能够简化应用的构建、部署和运行过程。
• 完整的应用容器化过程主要分为以下几个步骤。
  • (1)编写应用代码。
  • (2)创建一个Dockerfile,其中包括当前应用的描述、依赖以及该如何运行这个应用。
  • (3)对该Dockerfile执行docker image build命令。
  • (4)等待Docker将应用程序构建到Docker镜像中。
• 创建镜像的方法主要有三种：
  • 基于已有容器创建。
  • 基于本地模板导入。
  • 基于Dockerfile 创建。

2、基于已有容器创建镜像

• 基本语法格式如下：

docker container commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]
    -a, --author string    作者信息(e.g., "John Hannibal Smith <hannibal@a-team.com>")
    -c, --change list      提交的时候执行Dockerfile指令，包括CMD | ENTRYPOINT | ENV | EXPOSE | LABEL | ONBUILD | USER | VOLUME | WORKDIR等；
    -m, --message string   提交消息
    -p, --pause            在提交期间暂停容器

示例：

]# docker container run --name b1 -it busybox:latest /bin/sh                      #启动一个容器
/ # mkdir /data
/ # echo "centoshh" > /data/210911.txt
/ # exit

]# docker container commit -m "add a new file" -a "centoshh" b1 mybusybox:v1.0    #创建镜像
sha256:79dc3791322075094284409c8b08077b0baa1401a6293b879b4227be0df6ec2b

]# docker container run --name b2 -it mybusybox:v1.0 /bin/sh                      #用新镜像启动容器，并查看添加的文件
/ # cat /data/210911.txt
centoshh

3、基于本地模板导入创建镜像

• 直接从一个操作系统模板文件导人一个镜像
• 要直接导人一个镜像，可以使用OpenVZ提供的模板来创建，或者用其他已导出的镜像模板来创建。OPENVZ 模板的下载地址为http://openvz.org/Download/templates/precreated
• 基本语法格式如下：

docker image import [OPTIONS] file|URL|- [REPOSITORY[:TAG]]    #从tarball中导入内容以创建文件系统映像
    -c, --change list       对创建的映像应用Dockerfile指令
    -m, --message string    为导入的镜像设置提交消息
    --platform string       如果服务器支持多平台，则设置平台

示例：

cat centos-7-x86_64.tar.gz | docker image import - centos:v7

4、基于Dockerfile创建镜像

1、dockerfile概述

• 通过读取Dockerfile中的指令，Docker可以自动构建镜像。
• Dockerfile是一种文本文档，其中包含一行行命令语句，并且支持以#开头的注释行。

1、dockerfile用法

• docker build命令从Dockerfile和上下文构建一个镜像。
  • 上下文是指定位置PATH或URL上的一组文件。
  • PATH：本地文件系统上的一个目录
  • URL：一个Git存储库位置
  • 上下文是递归处理的。因此，PATH包括任何子目录，URL包括存储库及其子模块。
• 在Docker守护进程运行Dockerfile中的指令之前，它会对Dockerfile执行一个初步的验证，如果语法不正确就会返回一个错误
• Docker守护进程逐行运行Dockerfile中的指令，如果有必要，在最终输出新映像的ID之前，将每个指令的结果提交给一个新镜像。Docker守护进程会自动清理你发送的上下文。
• 注意，每条指令都是独立运行的，并创建一个新镜像——因此run cd /tmp对下一条指令没有任何影响。

2、dockerfile格式

• Dockerfile中指令格式一般为：

INSTRUCTION arguments    #指令不区分大小写。但是，约定将它们大写，以便更容易地将它们与参数区分开来。

• Dockerfile必须以FROM指令开始。这可能是在解析器指令、注释和全局作用域arg之后。
• FROM指令指定要构建的父映像。FROM前只能有一个或多个ARG指令，这些指令声明了在FROM行中使用的参数。

• Docker将以#开头的行视为注释。行中任何其他位置的#标记都被视为参数。
• 注释行在Dockerfile指令执行之前被删除。
• 注释中不支持换行符。

示例：

# Comment
RUN echo 'we are running some # of cool things'

2、变量替换

• 环境变量(用ENV语句声明)也可以作为Dockerfile解释的变量在某些指令中使用。
• 引用环境变量格式：

$variable_name
${variable_name}    #大括号语法通常用于解决变量名不带空格的问题，比如${foo}_bar。

• ${variable_name}语法还支持下面指定的一些标准bash修饰符:
  • ${variable:-word}表示如果variable设置，则结果将是该值。如果variable未设置，word则将是结果。
  • ${variable:+word}表示如果variable设置则为word结果，否则为空字符串。
  • 在所有情况下，word可以是任何字符串，包括其他环境变量。
• 将变量转义为字符串：例如，\\$foo或\\${foo}将分别转换为\$foo和\${foo}字面量。
• Dockerfile中支持环境变量的指令
  • ADD
  • COPY
  • ENV
  • EXPOSE
  • FROM
  • LABEL
  • STOPSIGNAL
  • USER
  • VOLUME
  • WORKDIR
  • ONBUILD (当与上面支持的指令之一组合时)

示例：

FROM busybox
ENV FOO=/bar
WORKDIR ${FOO}   # WORKDIR /bar
ADD . $FOO       # ADD . /bar
COPY \$FOO /quux # COPY $FOO /quux

• 注意当一条ENV指令中为多个环境变量赋值并且值也是从环境变量读取时，会为变量都赋值后再更新（先赋值再更新）。

示例：

ENV abc=hello
ENV abc=bye def=$abc    #def的值为hello，先赋值再更新
ENV ghi=$abc

3、.dockerignore文件

• 在docker CLI将上下文发送给docker守护进程之前，它会在上下文的根目录下查找一个名为.dockerignore的文件。如果该文件存在，CLI将修改上下文以排除匹配其中模式的文件和目录。这有助于避免不必要地将大的或敏感的文件和目录发送到守护进程，并可能使用ADD或COPY将它们添加到镜像中。
• dockerignore文件中模式语法支持Golang风格的路径正则格式:
  • "*"表示任意多个字符;
  • "?"代表单个字符;
  • "!"表示不匹配(即不忽略指定的路径或文件)。

示例1：

# comment
*/temp*
*/*/temp*
temp?

• # comment    注释行，将会被忽略。
• */temp*          排除根目录的任何直接子目录中名称以temp开头的文件和目录。例如，普通文件/somedir/temporary.txt和目录/somedir/temp被排除在外。
• */*/temp*        从根目录下两层的任何子目录中排除以temp开头的文件和目录。例如，/somedir/subdir/temporary.txt将被排除。
• temp?            排除根目录下以单字符扩展名temp的文件和目录，例如/tempa和/tempb。

示例2：

• Docker支持一个特殊的通配符字符串**，它可以匹配任意数量的目录(包括0)。

**/*.Go       #将排除在所有目录中以.Go结尾的所有文件

示例3：

• !(感叹号)可用于对排除的情况作例外处理。

*.md
!README.md    #除了README.md之外的所有markdown文件都被排除。

示例4：

• 匹配特定文件的.dockerignore的最后一行决定是否包含该文件。

*.md
!README*.md
README-secret.md    #除了README-secret.md以外，不包含任何markdown文件。

4、解析器指令

• 解析器指令是可选的，它会影响Dockerfile中后续行的处理方式。
• 解析器指令不会添加镜像层，也不会显示为构建步骤。

• 解析器指令被写成一种特殊类型的注释，形式为# directive=value。
• 解析器指令必须位于Dockerfile的最顶端。且一个解析器指令只能使用一次。
• 解析器指令不区分大小写。但是，按照惯例，它们是小写的。一般在解析器指令后面都要包含空行。
• 解析器指令不支持行延续字符。

1、syntax

• 该特性仅在使用BuildKit后端时可用，在使用经典构建器后端时被忽略。
• 基本语法格式如下：

# syntax=[remote image reference]

示例：

# syntax=docker/dockerfile:1
# syntax=docker.io/docker/dockerfile:1
# syntax=example.com/user/repo:tag@sha256:abcdef...

2、escape

• 基本语法格式如下：

# escape=\ (backslash)
# escape=` (backtick)

• escape指令设置Dockerfile中用于转义字符的字符。如果未指定，默认转义字符为\。
• 转义字符既用于转义行中的字符，也用于转义换行。这允许Dockerfile指令跨多行。
• 注意，无论Dockerfile中是否包含escape解析器指令，RUN命令中都不会执行转义，除非在行尾。
• 将转义字符设置为'在Windows上特别有用，因为\是目录路径分隔符。

示例：

# escape=`

FROM microsoft/nanoserver
COPY testfile.txt c:\
RUN dir c:\

5、指令说明

• Dockerfile中指令的一般格式为INSTRUCTION arguments，包括“配置指令”(配置镜像信息)和“操作指令”(具体执行操作)。

1、ARG

• 定义创建镜像过程中使用的变量。（可以包含多个ARG指令）

• 基本语法格式如下：

ARG <name> [=<default value>]

• 在执行docker build时，可以通过--build-arg <varname>=<value>来为变量赋值。如果用户指定了未在Dockerfile中定义的构建参数，则构建会输出警告。
• 当镜像编译成功后，ARG指定的变量将不再存在(ENV指定的变量将在镜像中保留)。
• Docker内置了一些镜像创建变量，用户可以直接使用而无须声明，包括(不区分大小写)HTTP_PROXY、HTTPS_PROXY、FTP_PROXY、NO_PROXY。

2、FROM

• 指定所创建镜像的基础镜像。

• 基本语法格式如下：

FROM <image> [AS <name>]
FROM <image>:<tag> [AS <name>]
FROM <image>@<digest> [AS <name>]

• • name可以用于后面的FROM和COPY。
  • 标签或摘要值是可选的。如果省略其中任何一个，构造器默认采用最新的标记。如果不能找到标记值，构造器将返回一个错误。
• 任何Dockerfile中第一条指令必须为FROM指令（即第一条非注释行必须是FROM指令），用于为镜像构建过程指定基准镜像，后续的指令运行于此基准镜像所提供的运行环境。
• ARG是Dockerfile中唯一可能先于FROM的指令。
• 如果在同一个Dockerfile中创建多个镜像时，可以使用多个FROM指令(每个镜像一次)。
• 实践中，基准镜像可以是任何可用镜像文件。默认情况下， docker build会在docker主机上查找指定的镜像文件，在其不存在时，则会从Docker Hub Registry上拉取所需的镜像文件。如果找不到指定的镜像文件， docker build会返回一个错误信息。
• 为了保证镜像精简，可以选用体积较小的镜像如Alpine或Debian作为基础镜像。

示例：

ARG VERSION=9.3
FROM debian:$(VERSION)

3、LABEL

• LABEL指令可以为生成的镜像添加元数据标签信息。这些信息可以用来辅助过滤出特定镜像。（可以包含多个LABEL指令）

• 基本语法格式如下：

LABEL <key>=<value> <key>=<value> ...

示例：

LABEL version="1.0.0-rc3"
LABEL author="centoshh" date="2020-09-20"
LABEL description="This text illustrates \         #要在标签值中包含空格，可以使用引号和反斜杠。
    that label-values can span multiple lines."

4、EXPOSE

• 声明容器运行时要监听的端口。

• 基本语法格式如下：

EXPOSE <port> [<port>/<protocol>...]               #protocol用于指定传输层协议，可为tcp或udp二者之一，默认为TCP协议。

• 注意该指令只是起到声明作用，并不会自动完成端口映射，即默认情况下，启动容器时不会暴露端口。
• 如果要映射端口出来，在启动容器时可以使用-P参数(Docker主机会自动分配一个宿主机的临时端口)或-p HOST_PORT:CONTAINER_PORT参数(具体指定所映射的本地端口)。
• 无论EXPOSE设置如何，都可以在运行容器时使用docker container run -p覆盖它们。

示例：

EXPOSE 11211/udp 11211/tcp
EXPOSE 22 80/tcp 8443

5、ENV

• 指定环境变量，在镜像生成过程中会被Dockerfile文件中位于其后的其它指令（如ENV、ADD、COPY等）调用。
• 在镜像启动的容器中ENV指定的环境变量也会存在。
• 在运行容器时docker container run --env <key>=<value>，可以进行更改环境变量

• 基本语法格式如下：

ENV <key> <value>        #<key>之后的所有内容均会被视作其<value>的组成部分，一行只能设置一个变量
ENV <key>=<value> ...    #一行可以设置多个变量。定义多个变量时，建议使用

• 调用格式为 \$variable_name 或 \${variable_name}
• dockerfile中定义的变量可以用在创建镜像(docker image build)和启动容器(docker container run)。
  • 创建镜像时变量值是dockerfile中定义的，不能进行传递参数。
  • 启动容器时可以传递参数，修改dokerfile中定义的变量值。

示例：

ENV APP_VERSION=l.0.0
ENV APP_HOME=/usr/local/app
ENV PATH $PATH:/usr/local/bin

6、ENTRYPOINT

• 指定在镜像运行为容器时默认运行的程序，从而使容器像是一个单独的可执行程序。
• 每个Dockerfile中只能有一个ENTRYPOINT，当指定多个时只有最后一个生效。
• 当Dockerfile有ENTRYPOINT时，CMD指令指定的值将作为ENTRYPOINT指定程序的参数。

• 基本语法格式如下：

ENTRYPOINT ["executable", "paraml","param2"]    #exec中执行;
ENTRYPOINT command paraml param2                #shell中执行。

• 由ENTRYPOINT启动的程序不会被docker run命令行指定的参数覆盖，而且，这些命令行参数会被当作参数传递给ENTRYPOINT指定的程序。
• docker container run命令的--entrypoint选项的参数可以覆盖ENTRYPOINT指令指定的程序。

7、VOLUME

• 创建一个数据卷挂载点。

• 基本语法格式如下：

VOLUME ["/data"]    #指定的时容器中的目录，而且不能指定宿主机的目录

• 如果挂载点目录中本来就有文件，docker run命令会在卷挂载完成后将此前的所有文件复制到新挂載的卷中

8、USER

• 指定运行容器时的用户名或UID，后续的指令（RUN、CMD或ENTRYPOINT）也会使用指定的用户身份。
• 默认情况下，container以root用户运行。

• 基本语法格式如下：

USER <user>[:<group>]
USER <UID>[:<GID>]

• 需要注意的是，<UID>可以为任意数字，但必须为/etc/passwd中某用户的有效UID，否则，docker container run命令将运行失败
• 当服务不需要管理员权限时，可以通过该命令指定运行用户，并且可以在Dockerfile中创建所需要的用户。
• 要临时获取管理员权限可以使用gosu命令。

示例：

RUN groupadd -r postgres && useradd --no-log-init -r -g postgres postgres

9、WORKDIR

• 为后续的RUN、CMD、ENTRYPOINT、COPY和ADD指令配置工作目录。

• 基本语法格式如下：

WORKDIR /path/to/workdir

• 可以使用多个WORKDIR指令，后续命令如果参数是相对路径，则会基于之前命令指定的路径。
• 为了避免出错，推荐WORKDIR指令中只使用绝对路径。

示例：

WORKDIR /a
WORKDIR Ь
WORKDIR c
RUN pwd    #最终路径为/a/b/c

10、ONBUILD

• 指定当基于所生成镜像创建子镜像时，自动执行的操作指令。

• 基本语法格式如下：

ONBUIID [INSTRUCTION]

• 在ONBUILD指令中使用ADD或COPY指令应该格外小心，因为构建镜像的过程中缺少指定的源文件时会失败。
• 尽管任何指令都可以嵌套ONBUILD中，但ONBUILD不能自我嵌套，且不会触发FROM和MAINTAINER指令。
• ONBUILD指令是隐式执行的，因此使用包含ONBUILD指令的Dockerfile构建的镜像应该使用特殊的标签，例如ruby:2.0-onbuild。
• ONBUILD指令在创建专门用于自动编译、检查等操作的基础镜像时，十分有用。

示例：

###使用如下的Dockerfile创建父镜像ParentImage，指定ONBUILD指令:
# Dockerf ile for Parentimage
[...]
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir / app/src
[...]

###使用docker build命令创建子镜像ChildImage时（FROM Parentimage），会首先执行ParentImage中配置的ONBUILD指令：
# Dockerfile for Childimage
FROM ParentImage

###等价于在Childimage的Dockerfile中添加了如下指令：
#Automatically run the following when building Ch 工ldimage
ADD . /app/src
RUN /usr/local/bin/python-build --dir /app/src

11、STOPSIGNAL

• 指定所创建镜像启动的容器接收退出的信号值。

• 基本语法格式如下：

STOPSIGNAL signal    #signal是kill能识别的值。signal与内核中的syscall表匹配，例如9。或以SIGNAME格式表示的信号名，例如SIGKILL

12、HEALTHCHECK

• 配置所启动容器如何进行健康检查(如何判断健康与否)，自Docker 1.12开始支持

• 基本语法格式如下：

HEALTHCHECK [OPTIONS] CMD command            #根据所执行命令返回值是否为0来判断
    --interval=DURATION (default: 30s)       检测时间间隔
    --timeout=DURATION (default: 30s)        每次检查等待结果的超时时长;
    --retries=N (default: 3)                 如果失败了,重试几次才最终确定失败。
    --start-period=DURATION (default: 0s)    容器启动后等待n秒后再检测
HEALTHCHECK NONE                             #禁止基础镜像中的健康检查。

• 命令的退出状态指示容器的运行状况。可能的值是
  • 0: success成功-容器是健康的，随时可以使用
  • 1: unhealthy不健康-容器不能正常工作
  • 2: reserved保留-不要使用此退出代码

示例：

HEALTHCHECK --interval=5m --timeout=3s \
    CMD curl -f http://localhost/ || exit 1

13、SHELL

• 指定其他命令使用shell时的默认shell类型
• SHELL指令可以出现多次。每条SHELL指令都会覆盖之前所有SHELL指令，并影响后面的所有指令
• 基本语法格式如下：

SHELL ["executable", "parameters"]    #默认的shell，在Linux上是["/bin/sh","-c"]，在Windows上是["cmd","/S" ,"/C"]

• 注意，对于Windows系统，Shell路径中使用了“＼”作为分隔符，建议在Dockerfile开头添加＃ escape＝'来指定转义符。

14、RUN

• 用于指定docker build过程中运行的命令，可以是任何底层镜像支持的命令
• 每条RUN指令将在当前镜像基础上执行指定命令，并提交为新的镜像层。

• 基本语法格式如下：
  • 前者默认将在shell终端中运行命令，即/bin/sh -c。
  • 后者则使用exec执行，不会启动shell环境。

RUN <command>                             #shell形式，命令在shell中运行，Linux下默认为/bin/sh -c, Windows下默认为cmd /S /C
RUN ["executable", "paraml", "param2"]    #exec形式。指令会被解析为JSON数组，因此必须用双引号

• 第一种格式：
  • command通常是一个shell命令，且以"/bin/sh -c"来运行它。
  • 这意味着此进程在容器中的PID不为1，不能接收Unix信号。因此，当使用docker container stop命令停止容器时，此进程接收不到SIGTERM信号。
• 第二种格式：
  • executable为要运行的命令。
  • paramN为传递给命令的选项或参数。
  • 命令不会以"/bin/sh -c"来发起，因此常见的shell操作如变量替换以及通配符(?，*等)替换将不会进行。
  • 如果要运行的命令依赖于此shell特性的话，可以将其替换为类似下面的格式。RUN ["/bin/bash"，"-c"，"<executable>"，"<param1>"]
• RUN和CMD的区别：
  • RUN指令中的命令，在使用dockerfile构建镜像时被执行。
  • CMD指令中的命令，在镜像文件启动为一个容器时被执行。
  • CMD指令的首要目的在于为启动的容器指定默认要运行的程序，且其运行结束后，容器也将终止。

示例1：

• 指定使用其他终端类型可以通过第二种方式实现。

RUN ["/bin/bash", "-c"llecho hel1o"]

示例2：

• 在shell形式中，当命令较长时可以使用＼来换行

RUN apt-get update \
    && apt-get install -y libsnappy-dev zliblg-dev libbz2-dev \
    && rm -rf /var/cache/apt \
    && rm rf /var/lib/apt/lists/*

15、CMD

• CMD指令用来指定启动容器时默认执行的命令。（底层镜像支持的任何命令或应用程序）

• 基本语法格式如下：

CMD ["executable", "param1", "param2"]     #exec形式，这是首选的形式
CMD command paraml param2                  #shell形式，在默认的Shell中执行,提供给需要交互的应用;
CMD ["paraml", "param2"]                   #为ENTRYPOINT提供默认参数。

• 每个Dockerfile只能有一条CMD命令。如果指定了多条命令，只有最后一条会生效。
• 如果用户启动容器时候手动指定了运行的命令(作为docker container run命令的参数)，则会覆盖掉CMD指定的命令。

• 不同ENTRYPOINT/CMD组合下执行的命令：

16、ADD

• 添加内容到镜像。

• 基本语法格式如下：

ADD [--chown=<user>:<group>] <src>... <dest>           #--chown功能仅在用于构建Linux容器的Dockerfile上受支持，不适用于Windows容器
ADD [--chown=<user>:<group>] ["<src>",... "<dest>"]    #适用于路径中包含空格

• ADD命令将复制指定的<src>路径下内容到容器中的<dest>路径下。
  • <src>可以是Dockerfile所在目录的一个相对路径(文件或目录);也可以是一个URL;还可以是一个tar文件(自动解压为目录) 。
  • <dest>可以是镜像内绝对路径,或者相对于工作目录(WORKDIR)的相对路径。
  • 路径支持正则格式
• 操作准则
  • 如果<src>为URL且<dest>不以/结尾，则<src>指定的文件将被下载并直接被创建为<dest>；如果<dest>以/结尾，则文件名URL指定的文件将被直接下载并保存为<dest>/<filename>
  • 如果<src>是一个本地系统上的压缩格式的tar文件，它将被展开为一个目录，其行为类似于"tar -x"命令;然而，通过URL获取到的tar文件将不会自动展开
  • 如果<src>有多个，或其间接或直接使用了通配符，则<dest>必须是一个以/结尾的目录路径;如果<dest>不以/结尾，则其被视作一个普通文件，<src>的内容将被直接写入到<dest>

17、COPY

• 用于从Docker主机复制文件至创建的新镜像文件。

• 基本语法格式如下：

COPY [--chown=<user>:<group>] <src>... <dest>           #--chown功能仅在用于构建Linux容器的Dockerfile上受支持，不适用于Windows容器。
COPY [--chown=<user>:<group>] ["<src>",... "<dest>"]    #适用于路径中包含空格

• 复制本地主机的<src> (为Dockerfile所在目录的相对路径、文件或目录)下内容到镜像中的<dest>。目标路径不存在时，会自动创建。
• 文件复制准则
  • <src>必须是build上下文中的路径,不能是其父目录中的文件
  • 如果<src>是目录,则其内部文件或子目录会被递归复制,但<src>目录自身不会被复制
  • 如果指定多个<src>,或在<src>中使用了通配符,则<dest>必须是一个目录,且必须以/结尾
  • 如果<dest>事先不存在,它将会被自动创建,这包括其父目录路径
• 路径同样支持正则格式。
• COPY与ADD指令功能类似，当使用本地目录为源目录时，推荐使用COPY

6、创建镜像

• 编写完成Dockerfile之后，可以通过docker image build命令来创建镜像。
  • 该命令将读取指定路径下(包括子目录)的Dockerfile，并将该路径下所有数据作为上下文(Context)发送给Docker服务端。
  • Docker服务端在校验Dockerfile格式通过后，逐条执行其中定义的指令，碰到ADD、COPY和RUN指令会生成一层新的镜像层。
  • 最终如果创建镜像成功，会返回最终镜像的ID 。
• 如果上下文过大，会导致发送大量数据给服务端，延缓创建过程。因此除非是生成镜像所必需的文件，不然不要放到上下文路径下。
• 如果使用非上下文路径下的Dockerfile，可以通过-f选项来指定其路径。
• 要指定生成镜像的标签信息，可以通过-t选项。该选项可以重复使用多次，一次添加一个名称。

1、docker image build命令

• 基本语法格式如下：

docker image build [OPTIONS] PATH | URL | -
    --add-host list           添加自定义的主机名到IP的映射(host:ip)
    --build-arg list          添加创建时的变量
    --cache-from strings      使用指定镜像作为缓存源
    --cgroup-parent string    继承的上层cgroup
    --compress                使用gzip来压缩创建上下文数据
    --cpu-period int          分配的CFS调度器时长
    --cpu-quota int           CFS调度器总份额
    -c, --cpu-shares int      CPU权重(relative weight)
    --cpuset-cpus string      多CPU允许使用的CPU(0-3, 0,1)
    --cpuset-mems string      多CPU允许使用的内存(0-3, 0,1)
    --disable-content-trust   不进行镜像校验,默认为真
    -f, --file string         Dockerfile名称
    --force-rm                总是删除中间过程的容器
    --iidfile string          将镜像ID写人到文件
    --isolation string        容器的隔离机制
    --label list              配置镜像的元数据
    -m, --memory bytes        限制使用内存量
    --memory-swap bytes       限制内存和缓存的总量，'-1'以启用无限交换
    --network string          指定RUN命令时的网络模式(default "default")
    --no-cache                在构建映像时不使用缓存
    --pull                    总是尝试获取镜像的最新版本
    -q, --quiet               不打印创建过程中的日志信息
    --rm                      创建成功后自动删除中间过程容器,默认为真
    --security-opt strings    指定安全相关的选项
    --shm-size bytes          /dev/shm的大小
    -t, --tag list            指定镜像的标签列表，例如'name:tag'
    --target string           指定创建的目标阶段
    --ulimit ulimit           指定ulimit的配置(default [])

2、选择父镜像

• 大部分情况下，生成新的镜像都需要通过FROM指令来指定父镜像。父镜像是生成镜像的基础，会直接影响到所性成镜像的大小和功能。
• 用户可以选择两种镜像作为父镜像：
  • 一种是所谓的基础镜像(baseimage)。
  • 另外一种是普通的镜像(往往由第三方创建，基于基础镜像)。
• 基础镜像比较特殊，其Dockerfile中往往不存FROM指令，或者基于scratch镜像(FROM scratch)，这意味着其在整个镜像树中处于根的位置。
• 普通镜像也可以作为父镜像来使用， 包括常见的busybox、debian、ubuntu等。

• Docker不同类型镜像之间的继承关系

示例：

• 下面的Dockerfile定义了一个简单的基础镜像，将用户提前编译好的二进制可执行文件binary复制到镜像中，运行容器时执行binary命令：

FROM scratch
ADD binary /
CMD ［"/binary"]

3、多步骤创建

• 自17.05版本开始，Docker支持多步骤镜像创建(Multi-stage build)特性，可以精简最终生成的镜像大小。
• 对于需要编译的应用(如C、Go或Java语言等)来说，通常情况下至少需要准备两个环境的Docker镜像:
  • 编译环境镜像:包括完整的编译引擎、依赖库等，往往比较庞大。作用是编译应用为二进制文件;
  • 运行环境镜像:利用编译好的二进制文件，运行应用，由于不需要编译环境，体积比较小。
• 使用多步骤创建，可以在保证最终生成的运行环境镜像保持精简的情况下，使用单一的Dockerfile，降低维护复杂度。

7、dockerfile的最佳实践

1、所谓最佳实践，就是从需求出发，来定制适合自己、高效方便的镜像。

• 首先，要尽量吃透每个指令的含义和执行效果，多编写一些简单的例子进行测试，弄清楚了再撰写正式的Dockerfile。
• 此外，Docker Hub官方仓库中提供了大量的优秀镜像和对应的Dockefile，可以通过阅读它们来学习如何撰写高效的Dockerfile。

2、建议读者在生成镜像过程中，尝试从如下角度进行思考，完善所生成镜像

• 精简镜像用途：尽量让每个镜像的用途都比较集中单一，避免构造大而复杂、多功能的镜像。
• 选用合适的基础镜像：容器的核心是应用。选择过大的父镜像(如Ubuntu系统镜像)会造成最终生成应用镜像的臃肿，推荐选用瘦身过的应用镜像(如node:sim)，或者较为小巧的系统镜像(如alpine、busybox或debian)。
• 提供注释和维护者信息： Dockerfile也是一种代码，需要考虑方便后续的扩展和他人的使用。
• 正确使用版本号：使用明确的版本号信息，如1.0，2.0，而非依赖于默认的latest.通过版本号可以避免环境不一致导致的问题。
• 减少镜像层数：如果希望所生成镜像的层数尽量少，则要尽量合并RUN，ADD和COPY指令。通常情况下，多个RUN指令可以合并为一条RUN指令。
• 恰当使用多步骤创建(17.05+版本支持)：通过多步骤创建，可以将编译和运行等过程分开，保证最终生成的镜像只包括运行应用所需要的最小化环境。当然，用户也可以通过分别构造编译镜像和运行镜像来达到类似的结果，但这种方式需要维护多个Dockerfile
• 使用.dockerignore文件：使用它可以标记在执行docker build时忽略的路径和文件，避免发送不必要的数据内容，从而加快整个镜像创建过程。
• 及时删除临时文件和缓存文件：特别是在执行apt-get指令后，/var/cache/apt下面会缓存了一些安装包。
• 提高生成速度：如合理使用cache，减少内容目录下的文件，或使用.dockerignore文件指定等。
• 调整合理的指令顺序：在开启cache的情况下，内容不变的指令尽量放在前面，这样可以尽量复用。
• 减少外部源的干扰：如果确实要从外部引入数据，需要指定持久的地址，并带版本信息等，让他人可以复用而不出错。