1.什麼是Dockerfile

Dockerfile 是一個用來構建映象的文字檔案，文字內容包含了一條條構建映象所需的指令和說明。

2.Dockerfile指令詳解

COPY

複製指令，從上下文目錄中複製檔案或者目錄到容器裡指定路徑。

格式：

COPY [--chown=<user>:<group>] <源路徑1>...  <目標路徑>
COPY [--chown=<user>:<group>] ["<源路徑1>",...  "<目標路徑>"]

[--chown=:]：可選引數，使用者改變複製到容器內檔案的擁有者和屬組。

<源路徑>：原始檔或者源目錄，這裡可以是萬用字元表示式，其萬用字元規則要滿足 Go 的 filepath.Match 規則。例如：

COPY hom* /mydir/
COPY hom?.txt /mydir/

<目標路徑>：容器內的指定路徑，該路徑不用事先建好，路徑不存在的話，會自動建立。

ADD

ADD 指令和 COPY 的使用格式一致（同樣需求下，官方推薦使用 COPY）。功能也類似，不同之處如下：

• ADD 的優點：在執行 <原始檔> 為 tar 壓縮檔案的話，壓縮格式為 gzip, bzip2 以及 xz 的情況下，會自動複製並解壓到 <目標路徑>。
• ADD 的缺點：在不解壓的前提下，無法複製 tar 壓縮檔案。會令映象構建快取失效，從而可能會令映象構建變得比較緩慢。具體是否使用，可以根據是否需要自動解壓來決定。

CMD

類似於 RUN 指令，用於執行程式，但二者執行的時間點不同:

• CMD 在docker run 時執行。
• RUN 是在 docker build。

作用：為啟動的容器指定預設要執行的程式，程式執行結束，容器也就結束。CMD 指令指定的程式可被 docker run 命令列引數中指定要執行的程式所覆蓋。

注意：如果 Dockerfile 中如果存在多個 CMD 指令，僅最後一個生效。

格式：

CMD <shell 命令> 
CMD ["<可執行檔案或命令>","<param1>","<param2>",...] 
CMD ["<param1>","<param2>",...]  # 該寫法是為 ENTRYPOINT 指令指定的程式提供預設引數
 

推薦使用第二種格式，執行過程比較明確。第一種格式實際上在執行的過程中也會自動轉換成第二種格式執行，並且預設可執行檔案是 sh。

ENTRYPOINT

類似於 CMD 指令，但其不會被 docker run 的命令列引數指定的指令所覆蓋，而且這些命令列引數會被當作引數送給 ENTRYPOINT 指令指定的程式。

但是, 如果執行 docker run 時使用了 --entrypoint 選項，此選項的引數可當作要執行的程式覆蓋 ENTRYPOINT 指令指定的程式。

優點：在執行 docker run 的時候可以指定 ENTRYPOINT 執行所需的引數。

注意：如果 Dockerfile 中如果存在多個 ENTRYPOINT 指令，僅最後一個生效。

格式：

ENTRYPOINT ["<executeable>","<param1>","<param2>",...]

可以搭配 CMD 命令使用：一般是變參才會使用 CMD ，這裡的 CMD 等於是在給 ENTRYPOINT 傳參，以下示例會提到。

示例：

假設已通過 Dockerfile 構建了 nginx:test 映象：

FROM nginx

ENTRYPOINT ["nginx", "-c"] # 定參
CMD ["/etc/nginx/nginx.conf"] # 變參 

1、不傳參執行

$ docker run  nginx:test

容器內會預設執行以下命令，啟動主程序。

nginx -c /etc/nginx/nginx.conf

2、傳參執行

$ docker run  nginx:test -c /etc/nginx/new.conf

容器內會預設執行以下命令，啟動主程序(/etc/nginx/new.conf:假設容器內已有此檔案)

nginx -c /etc/nginx/new.conf

ENV

設定環境變數，定義了環境變數，那麼在後續的指令中，就可以使用這個環境變數。

格式：

ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...

以下示例設定 NODE_VERSION = 7.2.0 ， 在後續的指令中可以通過 $NODE_VERSION 引用：

ENV NODE_VERSION 7.2.0

RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
  && curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc"

ARG

構建引數，與 ENV 作用一至。不過作用域不一樣。ARG 設定的環境變數僅對 Dockerfile 內有效，也就是說只有 docker build 的過程中有效，構建好的映象內不存在此環境變數。

構建命令 docker build 中可以用 --build-arg <引數名>=<值> 來覆蓋。

格式：

ARG <引數名>[=<預設值>]

VOLUME

定義匿名資料卷。在啟動容器時忘記掛載資料卷，會自動掛載到匿名卷。

作用：

• 避免重要的資料，因容器重啟而丟失，這是非常致命的。
• 避免容器不斷變大。

格式：

VOLUME ["<路徑1>", "<路徑2>"...]
VOLUME <路徑>

在啟動容器 docker run 的時候，我們可以通過 -v 引數修改掛載點。

EXPOSE

僅僅只是宣告埠。

作用：

• 幫助映象使用者理解這個映象服務的守護埠，以方便配置對映。
• 在執行時使用隨機埠對映時，也就是 docker run -P 時，會自動隨機對映 EXPOSE 的埠。

格式：

EXPOSE <埠1> [<埠2>...]

WORKDIR

指定工作目錄。用 WORKDIR 指定的工作目錄，會在構建映象的每一層中都存在。（WORKDIR 指定的工作目錄，必須是提前建立好的）。

docker build 構建映象過程中的，每一個 RUN 命令都是新建的一層。只有通過 WORKDIR 建立的目錄才會一直存在。

格式：

WORKDIR <工作目錄路徑>

USER

用於指定執行後續命令的使用者和使用者組，這邊只是切換後續命令執行的使用者（使用者和使用者組必須提前已經存在）。

格式：

USER <使用者名稱>[:<使用者組>]

HEALTHCHECK

用於指定某個程式或者指令來監控 docker 容器服務的執行狀態。

格式：

HEALTHCHECK [選項] CMD <命令>：設定檢查容器健康狀況的命令
HEALTHCHECK NONE：如果基礎映象有健康檢查指令，使用這行可以遮蔽掉其健康檢查指令

HEALTHCHECK [選項] CMD <命令> : 這邊 CMD 後面跟隨的命令使用，可以參考 CMD 的用法。

ONBUILD

用於延遲構建命令的執行。簡單的說，就是 Dockerfile 裡用 ONBUILD 指定的命令，在本次構建映象的過程中不會執行（假設映象為 test-build）。當有新的 Dockerfile 使用了之前構建的映象 FROM test-build ，這是執行新映象的 Dockerfile 構建時候，會執行 test-build 的 Dockerfile 裡的 ONBUILD 指定的命令。

格式：

ONBUILD <其它指令>

3.使用Dockerfile構建映象實戰

①建立Dockerfile:

touch Dockerfile

// 建立nginx的目錄 下一步會用到
mkdir -p /run/nginx

②編輯vim Dockerfile:

FROM nginx:1.14.0

RUN mkdir -p /usr/local/nginx/html  && mkdir -p /data/wwwlogs && chown nginx. /data/wwwlogs -R && apt-get update && apt-get install -y curl wget telnet vim procps unzip
EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]

③構建映象

docker build -t nginx-1.14 .

在 Dockerfile 目錄下執行以上命令即可構建映象。-t 引數指定了映象名稱為 nginx-alpine，最後的 . 表示構建上下文（. 表示當前目錄）.

④檢視並啟動映象

// 檢視
docker images
    
// 啟動
docker run --name my-nginx -p 80:80 -d nginx-1.14

訪問相應的IP可以看到nginx的介面:

4.安裝私有倉庫Harbor

​ 隨著docker的發展,一款私有化的docker映象倉庫隨之誕生,它私有化的部署很好的保證了安全性，它就是Harbor。Harbor是由VMware公司開源的企業級的Docker Registry管理專案，它包括許可權管理（RBAC）、LDAP、日誌稽核、介面管理、自我註冊、映象複製和中文支援等功能。

下載安裝包：

# 離線安裝包
wget https://github.com/vmware/harbor/releases/download/v1.1.2/harbor-offline-installer-v1.1.2.tgz
tar zxvf harbor-offline-installer-v1.1.2.tgz
    
# 線上安裝包
wget https://github.com/vmware/harbor/releases/download/v1.1.2/harbor-online-installer-v1.1.2.tgz
tar zxvf harbor-online-installer-v1.1.2.tgz

配置Harbor：

# cd harbor
# vi harbor.conf
 
## Configuration file of Harbor
 
# hostname設定訪問地址，可以使用ip、域名，不可以設定為127.0.0.1或localhost
hostname = 你的主機IP
 
# 訪問協議，預設是http，也可以設定https，如果設定https，則nginx ssl需要設定on
ui_url_protocol = http
 
# mysql資料庫root使用者預設密碼root123，實際使用時修改下
db_password = root123
 
max_job_workers = 3
customize_crt = on
ssl_cert = /data/cert/server.crt
ssl_cert_key = /data/cert/server.key
secretkey_path = /data
admiral_url = NA
 
# 郵件設定，傳送重置密碼郵件時使用
email_identity =
email_server = smtp.mydomain.com
email_server_port = 25
email_username = [email protected]
email_password = abc
email_from = admin <[email protected]>
email_ssl = false
 
# 啟動Harbor後，管理員UI登入的密碼，預設是Harbor12345
harbor_admin_password = Harbor12345
 
# 認證方式，這裡支援多種認證方式，如LADP、本次儲存、資料庫認證。預設是db_auth，mysql資料庫認證
auth_mode = db_auth
 
# LDAP認證時配置項
ldap_url = ldaps://ldap.mydomain.com
#ldap_searchdn = uid=searchuser,ou=people,dc=mydomain,dc=com
#ldap_search_pwd = password
ldap_basedn = ou=people,dc=mydomain,dc=com
#ldap_filter = (objectClass=person)
ldap_uid = uid
ldap_scope = 3
ldap_timeout = 5
 
# 是否開啟自注冊
self_registration = on
 
# Token有效時間，預設30分鐘
token_expiration = 30
 
# 使用者建立專案許可權控制，預設是everyone（所有人），也可以設定為adminonly（只能管理員）
project_creation_restriction = everyone
 
verify_remote_cert = on

修改完配置檔案後，在當前目錄執行./install.sh，Harbor服務就會根據當前目錄下的docker-compose.yml開始下載依賴的映象，檢測並按照順序依次啟動各個服務。

預設的登入地址和密碼：

http://你的虛擬機器IP/harbor/sign-in

賬號：admin
密碼: Harbor12345

5.推送映象到Harbor

這裡我建了一個專案名為home，然後將我們之前打包的映象nginx-1.14推送到Harbor倉庫

①解決https的問題:

// 這裡我們建立的是http的連結,需要編輯放行IP
vim /etc/docker/daemon.json
    
// 加入如下內容 主要是 "insecure-registries":["192.168.1.103"]
{
    "insecure-registries":["192.168.1.103"]
}

systemctl daemon-reload
systemctl restart docker

③使用Docker登入Harbor倉庫:

docker login http://192.168.1.103/

賬號：admin
密碼: Harbor12345 

④推送映象:

// 標記映象
docker tag nginx-1.14 192.168.1.103/home/mynginx:v1

// 推送映象到當前專案
docker push 192.168.1.103/home/mynginx:v1
    
// 推送成功即可在倉庫看到該映象,拉取命令如下:
docker pull 192.168.1.103/home/mynginx:v1