Docker——Dockerfile 定制镜像

介绍

定制镜像，是以一个镜像为基础，在其上进行定制所需添加的配置、文件。

Dockerfile 是一个文本文件，其内包含了一条条的指令(Instruction)，每一条指令构建一层，所以每一条指令的内容，就是描述该层应当如何构建。

FROM nginx
RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
复制代码

构建镜像

使用 build 构建镜像，docker build [选项] <上下文路径/URL/->

-t参数用来指定镜像文件的名字，后面还能够用冒号指定标签。若是不指定，默认的标签就是latest。

$ docker build -t nginx:v3 .
复制代码

镜像构建上下文

docker build 的工做原理：Docker在运行时分为Docker引擎（也就是服务端守护进程）和客户端工具。Docker的引擎提供了一组REST API ，而如docker命令这样的客户端工具，则是经过这组API与Docker引擎交互，从而完成各类功能。所以，虽然表面上咱们好像是在本机执行各类docker功能，但实际上，一切都是使用的远程调用形式在服务端（Docker引擎）完成。

docker build 命令构建镜像，其实并不是在本地构建，而是在服务端，也就是 Docker 引擎中构建的。

当构建的时候，用户会指定构建镜像上下文的路径，docker build 命令得知这个路径后，会将路径下的全部内容打包，而后上传给Docker引擎。这样 Docker引擎收到这个上下文包后，展开就会得到构建镜像所需的一切文件。

如在 Dockerfile 中这么写：

COPY ./package.json /app/
复制代码

这并非要复制执行 docker build 命令所在的目录下的 package.json，也不是复制 Dockerfile 所在目录下的 package.json，而是复制 上下文（context）目录下的 package.json。

通常来讲，应该会将 Dockerfile 置于一个空目录下，或者项目根目录下。若是该目录下没有所需文件，那么应该把所需文件复制一份过来。若是目录下有些东西确实不但愿构建时传给 Docker 引擎，那么能够用 .dockerignore 文件，该文件是用于剔除不须要做为上下文传递给 Docker 引擎的。

Dockerfile 指令详解

FROM 指定镜像基础

FROM就是指定基础镜像，所以一个 Dockerfile 中 FROM 是必备的指令，而且必须是第一条指令。

FROM nginx
# 空白镜像，不以任何镜像为基础，接下来所写的指令将做为镜像第一层开始存在
FROM scratch
复制代码

RUN 执行指令

# shell格式：RUN <命令>
RUN echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
复制代码

不要每条命令对应一个 RUN，由于每条指令会建一层，这样不少运行时不须要的东西，都会装进镜像里面，好比编译环境，更新的软件包，最后镜像有很是多层，很是臃肿。

可使用一个 RUN 的指令，并使用 && 将所需命令串联起来，使用 \ 命令换行，变成一层。

还能够在最后使用清理工做的命令，删除不须要的文件。

RUN buildDeps='gcc libc6-dev make wget' \
    && apt-get update \
    && apt-get install -y $buildDeps \
    && wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz" \
    && mkdir -p /usr/src/redis \
    && tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \
    && make -C /usr/src/redis \
    && make -C /usr/src/redis install \
    && rm -rf /var/lib/apt/lists/* \
    && rm redis.tar.gz \
    && rm -r /usr/src/redis \
    && apt-get purge -y --auto-remove $buildDeps
复制代码

COPY 复制文件

COPY 指令将从构建上下文目录中 <源路径> 的文件/目录复制到新的一层的镜像内的 <目标路径> 位置

# COPY [--chown=<user>:<group>] <源路径> <目标路径>
COPY package.json /usr/src/app/
# --chown=<user>:<group> 选项来改变文件的所属用户及所属组。
COPY --chown=55:mygroup files* /mydir/
复制代码

<目标路径> 能够是容器内的绝对路径，也能够是相对于工做目录的相对路径（工做目录能够用 WORKDIR 指令来指定）。

使用 COPY 指令，源文件的各类元数据都会保留。好比读、写、执行权限、文件变动时间等。

ADD 更高级的复制文件

ADD 指令和 COPY 的格式和性质基本一致。可是在 COPY 基础上增长了一些功能。

<源路径> 为一个tar压缩文件的话，压缩格式为gzip，bzip2以及xz的状况下，ADD 指令将会自动解压缩这个压缩文件到 <目标路径> 去。

COPY 和 ADD 指令中选择的时候，遵循原则，全部的文件复制均使用 COPY 指令，仅在须要自动解压缩的场合使用 ADD。

CMD 容器启动命令

CMD 指令是在 build 完成后，为了给 docker run 启动到容器时提供默认命令或参数，这些默认值能够包含可执行的命令，也能够只是参数（此时可执行命令就必须提早在ENTRYPOINT中指定）。

docker run 后面出现与 CMD 指定的相同命令，那么 CMD 会被覆盖。

一个 Dockerfile 里只能有一个 CMD，若是有多个，只有最后一个生效。

推荐使用 exec 格式，这类格式在解析时会被解析为 JSON 数组，所以必定要使用双引号，而不要使用单引号。

CMD ["可执行文件", "参数1", "参数2"...]
复制代码

ENTRYPOINT 入口点

ENTRYPOINT ["executable", "param1", "param2"] 
复制代码

ENTRYPOINT 的目的和 CMD 同样，都是容器启动时提供默认的命令及参数。

ENTRYPOINT 在运行时也能够替代，须要经过 docker run 的参数 --entrypoint 来指定。

当指定了 ENTRYPOINT 后，CMD 的含义就发生了改变，再也不是直接的运行其命令，而是将 CMD 的内容做为参数传给 ENTRYPOINT 指令。

场景一：让镜像变成像命令同样使用

# Dockerfile文件
ENTRYPOINT [ "curl", "-s", "https://ip.cn" ]
# 执行Dockerfile文件
$ docker run myip -i
# 若是不实用ENTRYPOINT 而使用 CMD [ "curl", "-s", "https://ip.cn" ]
# 那么 -i 替换了原来的CMD ，从而报错
复制代码

当存在 ENTRYPOINT 后，CMD 的内容将会做为参数传给 ENTRYPOINT，而这里 -i 就是新的 CMD，所以会做为参数传给 curl，最终结果至关于：

$ docker run myip curl -s https://ip.cn -i
复制代码

场景二：应用运行前的准备工做

启动容器就是启动主进程，有些时候，启动主进程前，须要一些准备工做。

好比，可能但愿避免使用 root 用户去启动服务，从而提升安全性，而在启动服务前还须要以 root 身份执行一些必要的准备工做，最后切换到服务用户身份启动服务。

这种状况下，能够写一个脚本，而后放入 ENTRYPOINT 中去执行，而这个脚本会将接到的参数（也就是 ）做为命令，在脚本最后执行。

FROM alpine:3.4
...
RUN addgroup -S redis && adduser -S -G redis redis
...
ENTRYPOINT ["docker-entrypoint.sh"]

EXPOSE 6379
CMD [ "redis-server" ]
复制代码

能够看到其中为了 redis 服务建立了 redis 用户，并在最后指定了 ENTRYPOINT 为 docker-entrypoint.sh 脚本。

该脚本的内容就是根据 CMD 的内容来判断，若是是 redis-server 的话，则切换到 redis 用户身份启动服务器，不然依旧使用 root 身份执行

#!/bin/sh
...
# allow the container to be started with `--user`
if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
    chown -R redis .
    exec su-exec redis "$0" "$@"
fi

exec "$@"
复制代码

ENV 设置环境变量

设置环境变量，不管是后面的其它指令，如 RUN，仍是运行时的应用，均可以直接使用这里定义的环境变量。

# 格式
ENV <key1>=<value1> <key2>=<value2>...
# 环境变量含有空格，须要使用双引号
ENV VERSION=v1.0 DEBUG=on \
    NAME="Happy Feet"
# 其余命令使用须要在环境变量加上$
RUN  rm "node-$VERSION-linux-x64.tar.xz"
复制代码

ARG 构建参数

ARG <参数名>[=<默认值>]
复制代码

ARG 设置的构建环境的环境变量，在未来容器运行时是不会存在这些环境变量的。

不要使用 ARG 保存密码之类的信息，由于 docker history 仍是能够看到全部值的。

Dockerfile 中的 ARG 指令是定义参数名称，以及定义其默认值。该默认值能够在构建命令 docker build 中用 --build-arg <参数名>=<值> 来覆盖。

VOLUME 定义匿名卷

VOLUME ["<路径1>", "<路径2>"...]
VOLUME <路径>
复制代码

容器运行时应该尽可能保持容器存储层不发生写操做，对于数据库类须要保存动态数据的应用，其数据库文件应该保存于卷(volume)中。

为了防止运行时用户忘记将动态文件所保存目录挂载为卷，在 Dockerfile 中，能够事先指定某些目录挂载为匿名卷，这样在运行时若是用户不指定挂载，其应用也能够正常运行，不会向容器存储层写入大量数据。

# 这里的/data目录就会在运行时自动挂载为匿名卷。
# 任何向/data中写入的信息都不会记录进容器存储层，从而保证了容器存储层的无状态化。
VOLUME /data

# 使用mydata这个命名卷挂载到了/data这个位置，替代了Dockerfile中定义的匿名卷的挂载配置。
docker run -d -v mydata:/data xxxx
复制代码

EXPOSE 声明端口

EXPOSE 指令是声明运行时容器提供服务端口，只是一个声明，在运行时并不会由于这个声明应用就会开启这个端口的服务。

EXPOSE <端口1> [<端口2>...]
复制代码

使用 docker run -P 时，会自动随机映射 EXPOSE 的端口到宿主机的端口上。

EXPOSE 和在运行时使用 -p <宿主端口>:<容器端口> 区别：

• -p，是映射宿主端口和容器端口，就是将容器的对应端口服务公开给外界访问。
• EXPOSE 仅仅是声明容器打算使用什么端口而已，并不会自动在宿主进行端口映射。

WORKDIR 指定工做目录

WORKDIR 指令能够来指定工做目录（或者称为当前目录），之后各层的当前目录就被改成指定的目录，如该目录不存在，WORKDIR 会帮你创建目录。

WORKDIR <工做目录路径>
复制代码

例子：

RUN cd /app
RUN echo "hello" > world.txt
复制代码

若是将这个 Dockerfile 进行构建镜像运行后，会发现找不到 /app/world.txt 文件，或者其内容不是 hello。

缘由每个 RUN 都是启动一个容器、执行命令、而后提交存储层文件变动。第一层 RUN cd /app 的执行仅仅是当前进程的工做目录变动，一个内存上的变化而已，其结果不会形成任何文件变动。而到第二层的时候，启动的是一个全新的容器，跟第一层的容器更彻底不要紧，天然不可能继承前一层构建过程当中的内存变化。

所以若是须要改变之后各层的工做目录的位置，那么应该使用 WORKDIR 指令。

USER 指定当前用户

USER 指令和 WORKDIR 类似，都是改变环境状态并影响之后的层。

WORKDIR 是改变工做目录，USER 则是改变以后层的执行 RUN, CMD 以及 ENTRYPOINT 这类命令的身份。

USER <用户名>[:<用户组>]
复制代码

LABEL 添加元数据

LABEL 用于为镜像添加元数据，元数以键值对的形式指定

LABEL <key>=<value> <key>=<value> <key>=<value>
复制代码

如，经过 LABEL 指定一些元数据：

LABEL version="1.0" description="这是一个Web服务器" by="IT笔录"
# 指定镜像做者
LABEL maintainer="itbilu.com"
复制代码

指定后能够经过 docker inspect 查看：

$sudo docker inspect itbilu/test
"Labels": {
    "version": "1.0",
    "description": "这是一个Web服务器",
    "by": "IT笔录"
},
复制代码