概述
Docker
可以通过Dockerfile
的内容来自动构建镜像。Dockerfile
是一个包含创建镜像所有命令的文本文件,通过docker build
命令可以根据Dockerfile
的内容构建镜像。
一、基本结构:
Dockerfile
由一行行命令语句组成,并且支持以 # 开头的注释行。 一般分为四部分:
1、基础镜像信息
2、维护者信息
3、镜像操作指令
4、容器启动时执行指令
# This dockerfile uses the ubuntu image
# VERSION 2 - EDITION 1
# Author: docker_user
# Command format: Instruction [arguments / command] ..
# Base image to use, this must be set as the first line
FROM ubuntu # 基础镜像信息
# Maintainer: docker_user <docker_user at email.com> (@docker_user)
MAINTAINER docker_user docker_user@email.com # 维护者信息
# Commands to update the image # 镜像操作指令
RUN echo "deb http://archive.ubuntu.com/ubuntu/ raring main universe" >> /etc/apt/sources.list
RUN apt-get update && apt-get install -y nginx
RUN echo "
daemon off;" >> /etc/nginx/nginx.conf
# Commands when creating a new container
CMD /usr/sbin/nginx # 容器启动时执行指令
- 其中,一开始必须指明所基于的镜像名称,接下来推荐说明维护者信息。后面则是镜像操作指令,例如
RUN
指令,RUN
指令将对镜像执行跟随的命令。每运行一条RUN
指令,镜像添加新的一层,并提交。最后是CMD
指令,来指定运行容器时的操作命令。
# Nginx
#
# VERSION 0.0.1
FROM ubuntu
MAINTAINER Victor Vieux <victor@docker.com>
RUN apt-get update && apt-get install -y inotify-tools nginx apache2 openssh-server
# Firefox over VNC
#
# VERSION 0.3
FROM ubuntu
# Install vnc, xvfb in order to create a 'fake' display and firefox
RUN apt-get update && apt-get install -y x11vnc xvfb firefox
RUN mkdir /.vnc
# Setup a password
RUN x11vnc -storepasswd 1234 ~/.vnc/passwd
# Autostart firefox (might not be the best way, but it does the trick)
RUN bash -c 'echo "firefox" >> /.bashrc'
EXPOSE 5900
CMD ["x11vnc", "-forever", "-usepw", "-create"]
# Multiple images example
#
# VERSION 0.1
FROM ubuntu
RUN echo foo > bar
# Will output something like ===> 907ad6c2736f
FROM ubuntu
RUN echo moo > oink
# Will output something like ===> 695d7793cbe4
# You᾿ll now have two images, 907ad6c2736f with /bar, and 695d7793cbe4 with
# /oink.
二、指令
- 指令的一般格式为
INSTRUCTION arguments
,指令包括FROM
、MAINTAINER
、RUN
等,指令名称必须全部大写。
1. FROM # 基础镜像,一切从这里开始构建
2. MAINTAINER # 镜像作者:姓名+邮箱
3. RUN # 镜像构建的时候需要运行的命令
4. ADD # 步骤。(tomcat镜像的压缩包就是一种添加内容)
5. WORKDIR # 镜像的工作目录
6. VOLUME # 挂载的目录
7. EXPOSE # 暴露端口配置
8. CMD # 指定这个容器启动的时候要运行的命令,只有最后一个会生效,可被替代 (替换)
9. ENTRYPOINT # 指定这个容器启动的时候要运行的命令,可以直接追加命令 (追加)
10. ONBUILD # 当构建一个被继承 DockerFile ,这个时候就会运行 ONBUILD 的指令,是一种触发指令
11. COPY # 类似ADD命令,将我们的文件拷贝到镜像中
12. ENV # 构建的时候设置环境变量
2.1 FROM
- 格式为
FROM <image>
或FROM <image>:<tag>
。
1、FROM
指定构建镜像的基础源镜像,如果本地没有指定的镜像,则会自动从Docker
的公共库pull
镜像下来。
2、FROM
必须是Dockerfile
中非注释行的第一个指令,即一个Dockerfile
从FROM
语句开始。
3、FROM
可以在一个Dockerfile
中出现多次,如果有需求在一个Dockerfile
中创建多个镜像。
4、如果FROM
语句没有指定镜像标签,则默认使用latest
标签。
2.2 MAINTAINER
- 格式为
MAINTAINER <name>
,指定维护者信息。
2.3 RUN
- 格式为
RUN <command>
或RUN ["executable", "param1", "param2"]
。
1、前者将在shell
终端中运行命令,即/bin/sh -c
;后者则使用exec
执行。指定使用其它终端可以通过第二种方式实现,例如RUN ["/bin/bash", "-c", "echo hello"]
。
2、每条RUN
指令将在当前镜像基础上执行指定命令,并提交为新的镜像。当命令较长时可以使用来换行。
3、RUN
产生的缓存在下一次构建的时候是不会失效的,会被重用,可以使用--no-cache
选项,即docker build --no-cache
,如此便不会缓存。
2.4 CMD
- 支持三种格式
CMD ["executable","param1","param2"] # 使用 exec 执行,推荐方式;
CMD command param1 param2 # 在 /bin/sh 中执行,提供给需要交互的应用;
CMD ["param1","param2"] # 提供给 ENTRYPOINT 的默认参数;
1、指定启动容器时执行的命令,每个 Dockerfile
只能有一条 CMD
命令。如果指定了多条命令,只有最后一条会被执行。
2、如果用户启动容器时候指定了运行的命令,则会覆盖掉 CMD
指定的命令。
CMD
会在启动容器的时候执行,build
时不执行,而RUN
只是在构建镜像的时候执行,后续镜像构建完成之后,启动容器就与RUN
无关了,这个初学者容易弄混这个概念,这里简单注解一下。
2.5 EXPOSE
- 格式为
EXPOSE <port> [<port>...]
。
告诉Docker
服务端容器暴露的端口号,供互联系统使用。在启动容器时需要通过-P
,Docker
主机会自动分配一个端口转发到指定的端口。
2.6 ENV
- 格式为
ENV <key> <value>
。
ENV <key> <value> # 只能设置一个变量
ENV <key>=<value> ... # 允许一次设置多个变量
ENV myName="John Doe" myDog=Rex The Dog
myCat=fluffy
# 等同于
ENV myName John Doe
ENV myDog Rex The Dog
ENV myCat fluffy
- 指定一个环境变量,会被后续
RUN
指令使用,并在容器运行时保持。例如:
ENV PG_MAJOR 9.3
ENV PG_VERSION 9.3.4
RUN curl -SL http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress && …
ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH
2.7 ADD
- 格式为
ADD <src> <dest>
。
该命令将复制指定的<src>
到容器中的<dest>
。
其中<src>
可以是Dockerfile
所在目录的一个相对路径;
也可以是一个URL
;
还可以是一个tar
文件(自动解压为目录)。 - 支持通过
GO
的正则模糊匹配
ADD hom* /mydir/ # adds all files starting with "hom"
ADD hom?.txt /mydir/ # ? is replaced with any single character
- 路径必须是绝对路径,如果不存在,会自动创建对应目录
- 路径必须是
Dockerfile
所在路径的相对路径 - 如果是一个目录,只会复制目录下的内容,而目录本身则不会被复制
2.8 COPY
- 格式为
COPY <src> <dest>
。
复制本地主机的<src>
(为Dockerfile
所在目录的相对路径)到容器中的<dest>
。
当使用本地目录为源目录时,推荐使用COPY
。
2.9 ENTRYPOINT
- 两种格式:
ENTRYPOINT ["executable", "param1", "param2"]
ENTRYPOINT command param1 param2(shell中执行)。
Exec form ENTRYPOINT
示例
FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ["-c"]
Shell form ENTRYPOINT
示例
这种方式会在/bin/sh -c
中执行,会忽略任何CMD
或者docker run
命令行选项,为了确保docker stop
能够停止长时间运行ENTRYPOINT
的容器,确保执行的时候使用exec
选项。
FROM ubuntu
ENTRYPOINT exec top -b
- 如果在
ENTRYPOINT
忘记使用exec
选项,则可以使用CMD
补上:
FROM ubuntu
ENTRYPOINT top -b
CMD --ignored-param1 # --ignored-param2 ... --ignored-param3 ... 依此类推
- 配置容器启动后执行的命令,并且不可被
docker run
提供的参数覆盖。 - 每个
Dockerfile
中只能有一个ENTRYPOINT
,当指定多个时,只有最后一个起效。
2.10 VOLUME
- 格式为
VOLUME ["<路径1>", "<路径2>"...]
或VOLUME <路径>
创建一个可以从本地主机或其他容器挂载的挂载点,一般用来存放数据库和需要保持的数据等。
VOLUME ["/var/www", "/var/log/apache2", "/etc/apache2"]
2.11 USER
- 格式为
USER daemon
。
指定运行容器时的用户名或UID
,后续的RUN
、CMD
、ENTRYPOINT
也会使用指定用户。 - 当服务不需要管理员权限时,可以通过该命令指定运行用户。并且可以在之前创建所需要的用户,例如:
RUN groupadd -r postgres && useradd -r -g postgres postgres
- 要临时获取管理员权限可以使用
gosu
,而不推荐sudo
。
2.12 WORKDIR
- 格式为
WORKDIR /path/to/workdir
。
为后续的RUN
、CMD
、ENTRYPOINT
指令配置工作目录。
可以使用多个WORKDIR
指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径。例如:
WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd
- 则最终路径为
/a/b/c
。 WORKDIR
指令可以在ENV
设置变量之后调用环境变量:
ENV DIRPATH /path
ENV DIRNAME test
WORKDIR $DIRPATH/$DIRNAME
- 最终路径则为
/path/test
2.13 ONBUILD
- 格式为
ONBUILD [INSTRUCTION]
。 - 配置当所创建的镜像,作为其它新创建镜像的基础镜像时,所执行的操作指令。
例如,Dockerfile
使用如下的内容创建了镜像image-A
。
[...]
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src
[...]
- 如果基于
image-A
创建新的镜像时,新的Dockerfile
中使用FROM image-A
指定基础镜像时,会自动执行ONBUILD
指令内容,等价于在后面添加了两条指令。
FROM image-A
#Automatically run the following
ADD . /app/src
RUN /usr/local/bin/python-build --dir /app/src
- 使用
ONBUILD
指令的镜像,推荐在标签中注明,例如ruby:1.9-onbuild
。
3、创建镜像
- 编写完成
Dockerfile
之后,可以通过docker build
命令来创建镜像。
[root@VM-0-6-centos ~]# docker build --help
Usage: docker build [OPTIONS] PATH | URL | -
Build an image from a Dockerfile
Options:
--add-host list Add a custom host-to-IP mapping (host:ip)
--build-arg list Set build-time variables
--cache-from strings Images to consider as cache sources
--cgroup-parent string Optional parent cgroup for the container
--compress Compress the build context using gzip
--cpu-period int Limit the CPU CFS (Completely Fair Scheduler) period
--cpu-quota int Limit the CPU CFS (Completely Fair Scheduler) quota
-c, --cpu-shares int CPU shares (relative weight)
--cpuset-cpus string CPUs in which to allow execution (0-3, 0,1)
--cpuset-mems string MEMs in which to allow execution (0-3, 0,1)
--disable-content-trust Skip image verification (default true)
-f, --file string Name of the Dockerfile (Default is 'PATH/Dockerfile')
--force-rm Always remove intermediate containers
--iidfile string Write the image ID to the file
--isolation string Container isolation technology
--label list Set metadata for an image
-m, --memory bytes Memory limit
--memory-swap bytes Swap limit equal to memory plus swap: '-1' to enable unlimited swap
--network string Set the networking mode for the RUN instructions during build (default "default")
--no-cache Do not use cache when building the image
--pull Always attempt to pull a newer version of the image
-q, --quiet Suppress the build output and print image ID on success
--rm Remove intermediate containers after a successful build (default true)
--security-opt strings Security options
--shm-size bytes Size of /dev/shm
-t, --tag list Name and optionally a tag in the 'name:tag' format
--target string Set the target build stage to build.
--ulimit ulimit Ulimit options (default [])
- 基本的格式为
docker build [选项] 路径
,该命令将读取指定路径下(包括子目录)的Dockerfile
,并将该路径下所有内容发送给Docker
服务端,由服务端来创建镜像。 - 因此一般建议放置
Dockerfile
的目录为空目录。也可以通过.dockerignore
文件(每一行添加一条匹配模式)来让Docker
忽略路径下的目录和文件。 - 要指定镜像的标签信息,可以通过
-t
选项,例如:
[root@VM-0-6-centos ~]# docker build -t nginx:v3 . # 未尾的 . 不能省略
注:最后的 .
代表本次执行的上下文路径,不能省略
- 补充
-
使用
.dockerignore
文件:相关连接
为了在docker build
过程中更快上传和更加高效,应该使用一个.dockerignore
文件用来排除构建镜像时不需要的文件或目录。例如,除非. Git
在构建过程中需要用到,否则你应该将它添加到.dockerignore
文件中,这样可以节省很多时间。 -
避免安装不必要的软件包
为了降低复杂性、依赖性、文件大小以及构建时间,应该避免安装额外的或不必要的包。例如,不需要在一个数据库镜像中安装一个文本编辑器。 -
每个容器都只跑一个进程
在大多数情况下,一个容器应该只单独跑一个程序。解耦应用到多个容器使其更容易横向扩展和重用。如果一个服务依赖另外一个服务,可以参考 Linking Containers Together 。
-
最小化层
我们知道每执行一个指令,都会有一次镜像的提交,镜像是分层的结构,对于Dockerfile
,应该找到可读性和最小化层之间的平衡。 -
多行参数排序
如果可能,通过字母顺序来排序,这样可以避免安装包的重复并且更容易更新列表,另外可读性也会更强,添加一个空行使用换行:
RUN apt-get update && apt-get install -y
bzr
cvs
git
mercurial
subversion
-
创建缓存
镜像构建过程中会按照Dockerfile
的顺序依次执行,每执行一次指令Docker
会寻找是否有存在的镜像缓存可复用,如果没有则创建新的镜像。如果不想使用缓存,则可以在docker build
时添加--no-cache = true
选项。 -
从基础镜像开始就已经在缓存中了,下一个指令会对比所有的子镜像寻找是否执行相同的指令,如果没有则缓存失效。在大多数情况下只对比
Dockerfile
指令和子镜像就足够了。ADD
和COPY
指令除外,执行ADD
和COPY
时存放到镜像的文件也是需要检查的,完成一个文件的校验之后再利用这个校验在缓存中查找,如果检测的文件改变则缓存失效。RUN apt-get -y update
命令只检查命令是否匹配,如果匹配就不会再执行更新了。为了有效地利用缓存,你需要保持你的
Dockerfile
一致,并且尽量在末尾修改。 -
Dockerfile
指令FROM
: 只要可能就使用官方镜像库作为基础镜像RUN
: 为保持可读性、方便理解、可维护性,把长或者复杂的RUN
语句使用分隔符分成多行- 不建议
RUN apt-get update
独立成行,否则如果后续包有更新,那么也不会再执行更新 - 避免使用
RUN apt-get upgrade
或者dist-upgrade
,很多必要的包在一个非privileged
权限的容器里是无法升级的。如果知道某个包更新,使用apt-get install -y xxx
- 标准写法
RUN apt-get update && apt-get install -y package-bar package-foo
- 例子:
RUN apt-get update && apt-get install -y aufs-tools automake btrfs-tools build-essential curl dpkg-sig git iptables libapparmor-dev libcap-dev libsqlite3-dev lxc=1.0* mercurial parallel reprepro ruby1.9.1 ruby1.9.1-dev s3cmd=1.1.0*
- 不建议
CMD
: 推荐使用CMD [“executable”, “param1”, “param2”…]
这种格式,CMD [“param”, “param”]
则配合ENTRYPOINT
使用EXPOSE
:Dockerfile
指定要公开的端口,使用docker run
时指定映射到宿主机的端口即可ENV
: 为了使新的软件更容易运行,可以使用ENV
更新PATH
变量。如ENV PATH /usr/local/nginx/bin:$PATH
确保CMD ["nginx"]
即可运行ENV
也可以这样定义变量:ENV PG_MAJOR 9.3 ENV PG_VERSION 9.3.4 RUN curl -SL http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress && … ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH
ADD
orCOPY
:ADD
比COPY
多一些特性「tar
文件自动解包和支持远程URL
」,不推荐添加远程URL
-
不推荐这种方式:
ADD http://example.com/big.tar.xz /usr/src/things/ RUN tar -xJf /usr/src/things/big.tar.xz -C /usr/src/things RUN make -C /usr/src/things all
-
推荐使用
curl
或者wget
替换,使用如下方式:RUN mkdir -p /usr/src/things && curl -SL http://example.com/big.tar.gz | tar -xJC /usr/src/things && make -C /usr/src/things all
-
如果不需要添加
tar
文件,推荐使用COPY
。
-