Dockerfile

一、Dockerfile 格式

  1. Dockerfile整体就两类语句组成:
    • # Comment 注释信息
    • Instruction arguments 指令 参数,一行一个指令。
  2. Dockerfile文件名首字母必须大写。
  3. Dockerfile指令不区分大小写,但是为方便和参数做区分,通常指令使用大写字母。
  4. Dockerfile中指令按顺序从上至下依次执行。
  5. Dockerfile中第一个非注释行必须是FROM指令,用来指定制作当前镜像依据的是哪个基础镜像。
  6. Dockerfile中需要调用的文件必须跟Dockerfile文件在同一目录下,或者在其子目录下,父目录或者其它路径无效。

二、Dockerfile 说明

FROM

  • 说明
    • FROM指令必须为Dockerfile文件开篇的第一个非注释行,用于指定构建镜像所使用的基础镜像,后续的指令运行都要依靠此基础镜像所提供的的环境(简单说就是假如Dockerfile中所引用的基础镜像里面没有mkdir命令,那后续的指令是没法使用mkdir参数的。)
    • 实际使用中,如果没有指定仓库,docker build会先从本机查找是否有此基础镜像,如果没有会默认去Docker Hub Registry上拉取,再找不到就会报错。
  • 语法
    • FROM <Repository>[:<Tag>]
    • FROM <Repository>@<Digest>
      • Digest:镜像的哈希码,防止镜像被冒名顶替。

MAINTAINER(已废弃)

  • 说明
    • 用于让Dockerfile的作者提供个人的信息
    • Dockerfile并不限制MAINTAINER指令的位置,但是建议放在FROM指令之后
    • 在较新的docker版本中,已经被LABEL替代。
  • 语法
    • MAINTAINER "merle@列子.com"

LABEL

  • 说明
    • 同docker run -l
    • 让用户为镜像指定各种元数据(键值对的格式)。
  • 语法
    • LABEL <key>=<value> <key>=<value>

COPY

  • 说明
    • 复制宿主机上的文件到目标镜像中
  • 语法
    • COPY ...
    • COPY ["",... ""]
      • :要复制的源文件或者目录,支持通配符
      • :目标路径,即正创建的镜像的文件系统路径,建议使用绝对路径,否则,COPY指令会以WORKDIR为其起始路径。
      • 如果路径中如果包含空白字符,建议使用第二种格式用引号引起来,否则会被当成两个文件。
  • 规则
    • 必须是build上下文中的目录,不能是其父目录中的文件。
    • 如果是目录,则其内部的文件或则子目录会被递归复制,但目录本身不会被复制。
    • 如果指定了多个,或者中使用通配符,则必须是一个目录,且必须以 / 结尾。
      如果事先不存在,它将会被自动创建,包括其父目录路径。

ADD

  • 说明
    • ADD指令跟COPY类似,不过它还支持使用tar文件和URL路径。
      • 当拷贝的源文件是tar文件时,会自动展开为一个目录并拷贝进新的镜像中;然而通过URL获取到的tar文件不会自动展开。
      • 主机可以联网的情况下,docker build可以将网络上的某文件引用下载并打包到新的镜像中。
  • 语法
    • ADD <src>... <dest>
    • ADD ["<src>",... "<dest>"]

WORKDIR

  • 说明
    • 同docker run -w
    • 指定工作目录,可以指多个,每个WORKDIR只影响他下面的指令,直到遇见下一个WORKDIR为止。
    • WORKDIR也可以调用由ENV指令定义的变量。
  • 语法
    • WORKDIR 相对路径或者绝对路径
      • 相对路径是相对于上一个WORKDIR指令的路径,如果上面没有WORKDIR指令,那就是当前Dockerfile文件的目录。

VOLUME

  • 说明
    • docker run -v简化版
      用于在镜像中创建一个挂载点目录。上一章中有提到Volume有两种类型:绑定挂载卷和docker管理的卷。在dockerfile中只支持docker管理的卷,也就是说只能指定容器内的路径,不能指定宿主机的路径。
  • 语法

VOLUME
VOLUME [""]

EXPOSE

  • 说明
    • 同docker run --expose
    • 指定容器中待暴露的端口。比如容器提供的是一个https服务且需要对外提供访问,那就需要指定待暴露443端口,然后在使用此镜像启动容器时搭配 -P 的参数才能将待暴露的状态转换为真正暴露的状态,转换的同时443也会转换成一个随机端口,跟 -p :443一个意思。
    • EXPOSE指令可以一次指定多个端口,例如:EXPOSE 11111/udp 11112/tcp
  • 语法
    • EXPOSE <port>[/<protocol>] [<port>[/<protocol>] ...]
    • <protocol>用于指定协议类型,如果不指定,默认TCP协议。

ENV

  • 说明
    • 同docker run -e
    • 为镜像定义所需的环境变量,并可被ENV指令后面的其它指令所调用。调用格式为\(variable_name或者\)
    • 使用docker run启动容器的时候加上 -e 的参数为variable_name赋值,可以覆盖Dockerfile中ENV指令指定的此variable_name的值。但是不会影响到dockerfile中已经引用过此变量的文件名。下面有举例说明:
  • 语法
    • ENV <key> <value>
    • ENV <key>=<value> ...
      • 第一种格式一次只能定义一个变量,<key>之后所有内容都会被视为<value>的组成部分
      • 第二种格式一次可以定义多个变量,每个变量为一个"="的键值对,如果<value>中包含空格,可以用反斜线 进行转义,也可以为<value>加引号,另外参数过长时可用反斜线做续行。
      • 定义多个变量时,建议使用第二种方式,因为Dockerfile中每一行都是一个镜像层,构建起来比较吃资源。
  • 例子
# 基于busybox启动一个镜像,将test文件拷贝至容器内的/usr/local/aaa/目录下。
[root@docker1 docker]# pwd
/server/docker--rm 
[root@docker1 docker]# echo 1111 >test
[root@docker1 docker]# vim Dockerfile 
# Description: test image
FROM busybox
ENV file=aaa
ADD ./test /usr/local/$file/
[root@docker1 docker]# docker build -t busy:v1 ./
# 根据此镜像启动容器并查看文件是否拷贝成功,并且查看file变量的值
[root@docker1 docker]# docker run --name busy02 --rm busy:v1 ls /usr/local/aaa
test
[root@docker1 docker]# docker run --name busy02 --rm busy:v1 printenv
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=57111b7b246c
file=aaa
HOME=/root
# 接下来我们在启动容器的时候加上-e参数为file变量指定一个新值,并且查看file变量的值
[root@docker1 docker]# docker run --name busy02 -e file=bbb --rm busy:v1 printenv
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=787ad8585fc0
file=bbb
HOME=/root
# 此时再看test的文件,依然是在aaa的目录下的
[root@docker1 docker]# docker run --name busy02 -e file=bbb --rm busy:v1 ls /usr/local/aaa
test
# 这是因为docker build属于第一阶段,而docker run属于第二阶段。第一阶段定义file变量的值aaa已经被引用了,生米已经煮成熟饭了,后续阶段再改file变量的值也影响不了aaa。

RUN

  • 说明
    • 用于指定docker build过程中运行的程序,可以是任何命令。
    • RUN指令后所执行的命令必须在FROM指令后的基础镜像中存在才行。
  • 语法
    • RUN <command>
    • RUN ["executable", "param1", "param2"]
      • <command>通常是一个shell命令,系统默认会把后面的命令作为shell的子进程来运行,以"/bin/sh -c"来运行它,也就意味着此进程在容器中的PID一定不为1,如果是1完事就结束了哇。
      • 第二种格式的参数是一个JSON格式的数组,其中"executable"为要运行的命令,后面的"paramN"为传递给命令的选项或参数。此格式指定的命令不会以"/bin/sh -c"来发起,也就是直接由内核创建,因此不具备shell特性,类似于RUN [ "echo", "$HOME" ],是无法识别 $ 的;如果想要依赖shell特性,可以替换命令为这样的格式[ "/bin/sh", "-c", "echo $HOME" ]。

CMD

  • 说明
    • 指定启动容器的默认要运行的程序,也就是PID为1的进程命令,且其运行结束后容器也会终止。如果不指定,默认是bash。
    • CMD指令指定的默认程序会被docker run命令行指定的参数所覆盖。
    • Dockerfile中可以存在多个CMD指令,但仅最后一个生效。因为一个docker容器只能运行一个PID为1的进程。
    • 类似于RUN指令,也可以运行任意命令或程序,但是两者的运行时间点不同
      • RUN指令运行在docker build的过程中,而CMD指令运行在基于新镜像启动容器(docker run)时。
  • 语法
    • CMD command param1 param2

    • CMD ["executable","param1","param2"]

    • CMD ["param1","param2"]

      • 前两种语法格式同RUN指令。第一种用法对于CMD指令基本没有意义,因为它运行的程序PID不为1。
      • 第三种则需要结合ENTRYPOINT指令使用,CMD指令后面的命令作为ENTRYPOINT指令的默认参数。如果docker run命令行结尾有参数指定,那CMD后面的参数不生效。

ENTRYPOINT

  • 说明

    • 类似CMD指令的功能,用于为容器指定默认运行程序。
    • Dockerfile中可以存在多个ENTRYPOINT指令,但仅最后一个生效
    • 与CMD区别在于,由ENTRYPOINT启动的程序不会被docker run命令行指定的参数所覆盖,而且这些命令行参数会被当做参数传递给ENTRYPOINT指令指定的程序。
    • 不过,docker run的--entrypoint选项的参数可覆盖ENTRYPOINT指定的默认程序。示例如下:
  • 语法

    • ENTRYPOINT command param1 param2
    • ENTRYPOINT ["executable", "param1", "param2"]
  • 列子

# 还是以httpd服务做举例,先以CMD指令开始
[root@docker1 docker]# vim Dockerfile
# Description: test image
FROM busybox
LABEL maintainer="merle <merle@freeit.com>" app="httpd"
ENV WEBDIR="/data/web/html"
RUN mkdir -p ${WEBDIR} && \
    echo 'this is a test web' > ${WEBDIR}/index.html
CMD [ "sh","-c","/bin/httpd -f -h ${WEBDIR}" ]
[root@docker1 docker]# docker build -t httpd:v1 ./
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v1
# 此时为前台运行,复制一个窗口,kill掉容器,然后开始docker run结尾传入新的指令
[root@docker1 ~]# docker kill web01 
web01
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v1 ls /data/web/html
index.html
# 可以看出命令行的参数已经替代了原本的CMD指令指定的程序。下面我们再用ENTRYPOINT指令做测试。
-------------------------------------------------------------------------------------------------------------
[root@docker1 docker]# vim Dockerfile
# Description: test image
FROM busybox
LABEL maintainer="merle <merle@freeit.com>" app="httpd"
ENV WEBDIR="/data/web/html"
RUN mkdir -p ${WEBDIR} && \
    echo 'this is a test web' > ${WEBDIR}/index.html
ENTRYPOINT [ "sh","-c","/bin/httpd -f -h ${WEBDIR}" ]
[root@docker1 docker]# docker build -t httpd:v2 ./
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v2
# 也是前台启动,复制一个窗口,kill掉容器,然后开始docker run结尾传入新的指令
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v2 ls /data/web/html
# 可以看到没有反应,这种情况其实是吧ls /data/web/html当做参数传给了/bin/httpd -f -h ${WEBDIR}程序。只是httpd不识别罢了。我们kill掉容器。加上--entrypoint参数再试一下
[root@docker1 docker]# docker run --name web01 -it --rm --entrypoint="" httpd:v2 ls /data/web/html
index.html
# 使用--entrypoint参数替换命令成功。
# 再测试下CMD的第三种语法,CMD指令的后面的命令作为参数传给ENTRYPOINT指令后的命令
[root@docker1 docker]# vim Dockerfile 
# Description: test image
FROM busybox
LABEL maintainer="merle <merle@freeit.com>" app="httpd"
ENV WEBDIR="/data/web/html"
RUN mkdir -p ${WEBDIR} && \
    echo 'this is a test web' > ${WEBDIR}/index.html
CMD [ "/bin/httpd -f -h ${WEBDIR}" ]
ENTRYPOINT [ "sh","-c" ]
[root@docker1 docker]# docker build -t httpd:v3 ./
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v3
# OK的,前面有说过:指定ENTRYPOINT的情况下,如果docker run命令行结尾有参数指定,那CMD后面的参数不生效,下面咱再试试,还用v3的镜像。
[root@docker1 docker]# docker run --name web01 -it --rm httpd:v3 "ls /data/web/html"
index.html

USER

  • 说明
    • 用于指定docker build过程中任何RUN、CMD等指令的用户名或者UID。
    • 默认情况下容器的运行用户为root。
  • 语法
    • USER [:]
    • USER [:]
      • 实践中UID需要是/etc/passwd中某用户的有效UID,否则docker run命令将运行失败。

HEALTHCHECK

  • 说明

    • 顾名思义,健康检查。此指令的就是告诉docker如果检查容器是否正常工作。拿nginx举例,即便进程运行,服务也不一定正常,因为万一root指错了呢?
  • 语法

    • HEALTHCHECK [OPTIONS] CMD command
    • HEALTHCHECK NONE
      • HEALTHCHECK指令让我们去定义一个CMD,在CMD后面编写一条命令去判断我们的服务运行是否正常。检查肯定不是一次性的,所以OPTIONS就是指定检查的频率等等。

        • --interval=DURATION(默认值:30s):每隔多久检查一次,默认30s
        • --timeout=DURATION(默认值:30s):超时时长,默认30s
        • --start-period=DURATION(默认值:0s):启动健康检查的等待时间。因为容器启动成功时,进程不一定立马就启动成功,那过早开始检查就会返回不健康。
        • --retries=N(默认值:3):如果检查一次失败就返回不健康未免太武断,所以默认三次机会。
        • CMD健康检测命令发出时,返回值有三种情况
          • 0:成功
          • 1:不健康
          • 2:保留,无实际意义。
        • HEALTHCHECK NONE就是不做健康检查
  • 列子

HEALTHCHECK --interval=5m --timeout=3s \
  CMD curl -f http://localhost/ || exit 1

SHELL

  • 说明
    • 用来指定运行程序默认要使用的shell类型,因为windows环境默认是powershell。此指令一般不会使用。
  • 语法
    • SHELL ["executable", "parameters"]

STOPSIGNAL

  • 说明
    • 指定发送使容器退出的系统调用信号。docker stop之所以能停止容器,就是发送了15的信号给容器内PID为1的进程。此指令一般不会使用。
  • 语法
    • STOPSIGNAL signal

ARG

  • 说明
    • ARG命令同EVN类似,也是指定一个变量,但不同的是,ENV指令配合-e参数可以在docker run过程中传参,而使用ARG指令配合--build-arg参数可以在docker build过程中传参,这方便了我们为不同场景构建不同镜像。
  • 语法
    • ARG <name>[=<default value>]
  • 列子
[root@docker1 docker]# vim Dockerfile 

FROM nginx:1.14-alpine
ARG AUTHOR="merle <merle@freeit.com>"    # 指定默认值
LABEL maintainer=$AUTHOR
ENV NGXDIR='/data/web/html/'
ADD index.html $NGXDIR
ADD entrypoint.sh /bin/
CMD ["nginx", "-g", "daemon off;"]
ENTRYPOINT ["/bin/entrypoint.sh"]
[root@docker1 docker]# docker build --build-arg AUTHOR="Jtt <Jtt@freeit.com>" -t nginx:v4 ./
[root@docker1 docker]# docker image inspect nginx:v4 | grep maintainer
                "maintainer": "Jtt <Jtt@freeit.com>"
# 上面只是以maintainer举例,实践环境中可以修改为不同jar包的名字构建不同java程序镜像。

ONBUILD

  • 说明
    • 用于在Dockerfile中定义一个触发器。
    • ONBUILD后面指定的指令在docker build时是不会执行,构建完的镜像在被另一个Dockerfile文件中FROM指令所引用的时才会触发执行。
  • 语法
    • ONBUILD [INSTRUCTION]
      • 几乎任何指令都可以成为触发器指令,但ONBUILD不能自我嵌套,且不会触发FROM和MAINTAINER指令,多数情况是使用RUN或者ADD。
      • 另外在使用COPY指令时,应该注意后续引用该镜像的Dockerfile的同级目录下是否有被拷贝的文件。
  • 列子
[root@docker1 docker]# vim Dockerfile 
FROM nginx:1.14-alpine
LABEL maintainer="merle <merle@freeit.com>"
ENV NGXDIR='/data/web/html/'
ADD index.html $NGXDIR
ADD entrypoint.sh /bin/
ONBUILD add http://nginx.org/download/nginx-1.14.0.tar.gz /usr/local/
CMD ["nginx", "-g", "daemon off;"]
ENTRYPOINT ["/bin/entrypoint.sh"]
[root@docker1 docker]# docker build -t nginx:v5 ./
[root@docker1 docker]# docker run -it --name web01 --rm nginx:v5 ls /usr/local/
bin    lib    share
# 上面的结果或者docker build的过程都可以看出并没有执行ONBUILD后面的指令。我们修改Dockerfile中FROM指定的基础镜像为上面构建完的nginx:v5,然后删除ONBUILD指令。
[root@docker1 docker]# vim Dockerfile 
FROM nginx:v5
LABEL maintainer="merle <merle@freeit.com>"
ENV NGXDIR='/data/web/html/'
ADD index.html $NGXDIR
ADD entrypoint.sh /bin/
CMD ["nginx", "-g", "daemon off;"]
ENTRYPOINT ["/bin/entrypoint.sh"]
[root@docker1 docker]# docker build -t nginx:v6 ./
Sending build context to Docker daemon  6.656kB
Step 1/7 : FROM nginx:v5
# Executing 1 build trigger
Downloading  [=======
# 这里查看构建过程就会发现从第一层构建就开始执行上面的ONBUILD后面的指令了。我们启动容器并查看下/usr/local目录下的文件。
[root@docker1 docker]# docker run -it --name web01 --rm nginx:v6 ls /usr/local
bin                  nginx-1.14.0.tar.gz
lib                  share
posted @ 2020-03-02 14:57  qiqi715  阅读(156)  评论(0编辑  收藏  举报