使用Dockerfile建立镜像

Dockerfile是一个文本格式的配置文件，用户可使用Dockerfile来快速建立自定义的镜像。

Dockerfile典型的基本结构和它支持的众多指令，并具体讲解经过这些指令来编写定制镜像的Dockerfile，以及如何生成镜像。

最后介绍使用Dockerfile的一些最佳实践经验。

基本结构

Dockerfile由一行行命令语句组成，而且支持以#开头的注释行。

通常而言，Dockerfile分为四部分：基础镜像信息、维护者信息、镜像操做指令和容器启动时执行指令。

例如：

# This Dockerfile uses the ubuntu image

# VERSION 2 - EDITION 1

# Author: docker_user

# Command format: Instruction [arguments / command] ..

# Base image to use, this must be set as the first line

FROM ubuntu

# Maintainer: docker_user <docker_user at="" email.com="">(@docker_user)

MAINTAINER docker_user docker_user@email.com

# Commands to update the image

RUN echo "deb http://archive.ubuntu.com/ubuntu/ raring main universe" >> /etc/apt/sources.list

RUN apt-get update && apt-get install -y nginx

RUN echo "\ndaemon off;" >> /etc/nginx/nginx.conf

# Commands when creating a new container

CMD /usr/sbin/nginx

其中，一开始必须指明所基于的镜像名称，接下来通常是说明维护者信息。后面则是镜像操做指令，例如RUN指令，RUN指令将对镜像执行跟随的命令。每运行一条RUN指令，镜像就添加新的一层，并提交。最后是CMD指令，用来指定运行容器时的操做命令。

下面是Docker Hub上两个热门镜像的Dockerfile的例子，能够帮助对Dockerfile结构有个基本的认识。

第一个例子是在debian:jessie基础镜像基础上安装Nginx环境，从而建立一个新的nginx镜像：

FROM debian:jessie

MAINTAINER NGINX Docker Maintainers "docker-maint@nginx.com"

ENV NGINX_VERSION 1.10.1-1

RUN apt-key adv --keyserver hkp://pgp.mit.edu:80 --recv-keys 573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62 \
&& echo "deb http://nginx.org/packages/debian/ jessie nginx" >> /etc/
apt/sources.list \
&& apt-get update \
&& apt-get install --no-install-recommends --no-install-suggests -y \
ca-certificates \
nginx=${NGINX_VERSION} \
nginx-module-xslt \
nginx-module-geoip \
nginx-module-image-filter \
nginx-module-perl \
nginx-module-njs \
gettext-base \
&& rm -rf /var/lib/apt/lists/*
# forward request and error logs to docker log collector
RUN ln -sf /dev/stdout /var/log/nginx/access.log \
&& ln -sf /dev/stderr /var/log/nginx/error.log

EXPOSE 80 443
CMD ["nginx", "-g", "daemon off;"] 

指令说明

指令的通常格式为INSTRUCTION arguments，指令包括FROM、MAINTAINER、RUN等，参见表8-1。

1.FROM

指定所建立镜像的基础镜像，若是本地不存在，则默认会去Docker Hub下载指定镜像。

格式为FROM，或FROM:，或FROM@。

任何Dockerfile中的第一条指令必须为FROM指令。而且若是在同一个Dockerfile中建立多个镜像，可使用多个FROM指令（每一个镜像一次）。

2.MAINTAINER

指定维护者信息，格式为MAINTAINER。例如：

MAINTAINER image_creator@docker.com

该信息会写入生成镜像的Author属性域中。

3.RUN

运行指定命令。格式为RUN或RUN["executable"，"param1"，"param2"]。

注意，后一个指令会被解析为Json数组，所以必须用双引号。前者默认将在shell终端中运行命令，即/bin/sh-c；后者则使用exec执行，不会启动shell环境。

指定使用其余终端类型能够经过第二种方式实现，例如RUN["/bin/bash"，"-c"，"echo hello"]。

每条RUN指令将在当前镜像的基础上执行指定命令，并提交为新的镜像。当命令较长时可使用\来换行。例如：

4.CMD

CMD指令用来指定启动容器时默认执行的命令。它支持三种格式：

1. CMD["executable"，"param1"，"param2"]使用exec执行，是推荐使用的方式；
2. CMD command param1 param2在/bin/sh中执行，提供给须要交互的应用；
3. CMD["param1"，"param2"]提供给ENTRYPOINT的默认参数。

每一个Dockerfile只能有一条CMD命令。若是指定了多条命令，只有最后一条会被执行。

若是用户启动容器时手动指定了运行的命令（做为run的参数），则会覆盖掉CMD指定的命令。

5.LABEL

LABEL指令用来指定生成镜像的元数据标签信息。格式为LABEL = = =...。

例如：

LABEL version="1.0"

LABEL description="This text illustrates \ that label-values can span multiple lines."

6.EXPOSE

声明镜像内服务所监听的端口。

格式为EXPOSE[...]。

例如：EXPOSE 22 80 8443

注意，该指令只是起到声明做用，并不会自动完成端口映射。

在启动容器时须要使用-P，Docker主机会自动分配一个宿主机的临时端口转发到指定的端口；使用-p，则能够具体指定哪一个宿主机的本地端口会映射过来。

7.ENV

指定环境变量，在镜像生成过程当中会被后续RUN指令使用，在镜像启动的容器中也会存在。

格式为ENV或ENV=...。

指令指定的环境变量在运行时能够被覆盖掉，如docker run --env=built_image。

8.ADD

该命令将复制指定的路径下的内容到容器中的路径下。格式为ADD。

其中能够是Dockerfile所在目录的一个相对路径（文件或目录），也能够是一个URL，还能够是一个tar文件（若是为tar文件，会自动解压到路径下）。能够是镜像内的绝对路径，或者相对于工做目录（WORKDIR）的相对路径。路径支持正则格式，例如：ADD *.c  /code/

9.COPY

复制本地主机的（为Dockerfile所在目录的相对路径、文件或目录）下的内容到镜像中的下。目标路径不存在时，会自动建立。格式为COPY。

路径一样支持正则格式。当使用本地目录为源目录时，推荐使用COPY。

10.ENTRYPOINT

指定镜像的默认入口命令，该入口命令会在启动容器时做为根命令执行，全部传入值做为该命令的参数。

支持两种格式：

ENTRYPOINT ["executable", "param1", "param2"]
(
exec
调用执行);
ENTRYPOINT command param1 param2
(
shell
中执行);

此时，CMD指令指定值将做为根命令的参数。

每一个Dockerfile中只能有一个ENTRYPOINT，当指定多个时，只有最后一个有效。

在运行时，能够被--entrypoint参数覆盖掉，如docker run--entrypoint。

11.VOLUME

建立一个数据卷挂载点。格式为VOLUME["/data"]。

能够从本地主机或其余容器挂载数据卷，通常用来存放数据库和须要保存的数据等。

12.USER

指定运行容器时的用户名或UID，后续的RUN等指令也会使用指定的用户身份。格式为USER daemon。

当服务不须要管理员权限时，能够经过该命令指定运行用户，而且能够在以前建立所须要的用户。

例如：RUN groupadd -r postgres && useradd -r -g postgres postgres

要临时获取管理员权限可使用gosu或sudo。

13.WORKDIR

为后续的RUN、CMD和ENTRYPOINT指令配置工做目录。格式为WORKDIR /path/to/workdir。

可使用多个WORKDIR指令，后续命令若是参数是相对路径，则会基于以前命令指定的路径。

例如：

WORKDIR /a

WORKDIR b

WORKDIR c

RUN pwd

则最终路径为/a/b/c。

14.ARG

指定一些镜像内使用的参数（例如版本号信息等），这些参数在执行docker build命令时才以--build-arg=格式传入。格式为ARG[=]。

则能够用docker build --build-arg=.来指定参数值。

15.ONBUILD

配置当所建立的镜像做为其余镜像的基础镜像时，所执行的建立操做指令。格式为ONBUILD [INSTRUCTION]。

例如，Dockerfile使用以下的内容建立了镜像image-A：

[...]
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src
[...]

若是基于image-A建立新的镜像时，新的Dockerfile中使用FROM image-A指定基础镜像，会自动执行ONBUILD指令的内容，等价于在后面添加了两条指令：

FROM image-A
#Automatically run the following
ADD . /app/src
RUN /usr/local/bin/python-build --dir /app/src

使用ONBUILD指令的镜像，推荐在标签中注明，例如ruby:1.9-onbuild。

16.STOPSIGNAL

指定所建立镜像启动的容器接收退出的信号值。例如：STOPSIGNAL signal

17.HEALTHCHECK

配置所启动容器如何进行健康检查（如何判断健康与否），自Docker 1.12开始支持。

格式有两种：

HEALTHCHECK [OPTIONS] CMD command：根据所执行命令返回值是否为0来判断；

HEALTHCHECK NONE：禁止基础镜像中的健康检查。

OPTION支持：

1. --interval=DURATION（默认为：30s）：过多久检查一次；
2. --timeout=DURATION（默认为：30s）：每次检查等待结果的超时；
3. --retries=N（默认为：3）：若是失败了，重试几回才最终肯定失败。

18.SHELL

指定其余命令使用shell时的默认shell类型。默认值为["/bin/sh"，"-c"]。

对于Windows系统，建议在Dockerfile开头添加#escape=`来指定转义信息。

使用Dockerfile建立镜像

编写完成Dockerfile以后，能够经过docker build命令来建立镜像。

基本的格式为docker build [选项] 内容路径，该命令将读取指定路径下（包括子目录）的Dockerfile，并将该路径下的全部内容发送给Docker服务端，由服务端来建立镜像。所以除非生成镜像须要，不然通常建议放置Dockerfile的目录为空目录。

有两点经验：

1. 若是使用非内容路径下的Dockerfile，能够经过-f选项来指定其路径。
2. 要指定生成镜像的标签信息，可使用-t选项。

例如，指定Dockerfile所在路径为/tmp/docker_builder/，而且但愿生成镜像标签为build_repo/first_image，

使用下面的命令：$ docker build -t build_repo/first_image /tmp/docker_builder/

使用.dockerignore文件

能够经过.dockerignore文件（每一行添加一条匹配模式）来让Docker忽略匹配模式路径下的目录和文件。例如：

# comment  相似.gitignore
*/temp*
*/*/temp*
tmp?
~*

最佳实践

所谓最佳实践，其实是从需求出发，来定制适合本身、高效方便的镜像。

首先，要尽可能吃透每一个指令的含义和执行效果，本身多编写一些简单的例子进行测试，弄清楚了再撰写正式的Dockerfile。此外，Docker Hub官方仓库中提供了大量的优秀镜像和对应的Dockefile，能够经过阅读它们来学习如何撰写高效的Dockerfile。

建议在生成镜像过程当中，尝试从以下角度进行思考，完善所生成的镜像。

1. 精简镜像用途：尽可能让每一个镜像的用途都比较集中、单一，避免构造大而复杂、多功能的镜像；
2. 选用合适的基础镜像：过大的基础镜像会形成生成臃肿的镜像，通常推荐较为小巧的debian镜像；
3. 提供足够清晰的命令注释和维护者信息：Dockerfile也是一种代码，须要考虑方便后续扩展和他人使用；
4. 正确使用版本号：使用明确的版本号信息，如1.0，2.0，而非latest，将避免内容不一致可能引起的惨案；
5. 减小镜像层数：若是但愿所生成镜像的层数尽可能少，则要尽可能合并指令，例如多个RUN指令能够合并为一条；
6. 及时删除临时文件和缓存文件：特别是在执行apt-get指令后，/var/cache/apt下面会缓存一些安装包；
7. 提升生成速度：如合理使用缓存，减小内容目录下的文件，或使用.dockerignore文件指定等；
8. 调整合理的指令顺序：在开启缓存的状况下，内容不变的指令尽可能放在前面，这样能够尽可能复用；
9. 减小外部源的干扰：若是确实要从外部引入数据，须要指定持久的地址，并带有版本信息，让他人能够重复而不出错。