dockerfile【命令指令碼】 構建映象基礎知識
十年河東,十年河西,莫欺少年窮
學無止境,精益求精
dockerfile 構建映象過程
1、編寫一個dockerfile 檔案
2、通過docker build 構建一個映象
3、通過docker run 執行一個映象
4、通過docker push 釋出一個映象到docker Hub
dockerfile 基礎知識
1、每個保留關鍵字(指令)都必須大寫
2、命令指令碼執行順序從上到下
3、# 代表註釋
4、每個指令都會提交一個新的映象層
在這裡列出了一些常用的指令。
FROM:指定基礎映象,必須為第一個命令
格式:
FROM <image>
FROM <image>:<tag>
FROM <image>@<digest>
示例:
FROM mysql:5.6
注:
tag或digest是可選的,如果不使用這兩個值時,會使用latest版本的基礎映象
MAINTAINER: 維護者資訊
格式: MAINTAINER <name> 示例: MAINTAINER Jasper Xu MAINTAINER [email protected] MAINTAINER Jasper Xu <[email protected]>
RUN:構建映象時執行的命令
RUN用於在映象容器中執行命令,其有以下兩種命令執行方式: shell執行 格式: RUN <command> exec執行 格式: RUN ["executable", "param1", "param2"] 示例: RUN ["executable", "param1", "param2"] RUN apk update RUN ["/etc/execfile", "arg1", "arg1"] 注:
RUN指令建立的中間映象會被快取,並會在下次構建中使用。如果不想使用這些快取映象,可以在構建時指定--no-cache引數,如:docker build --no-cache
ADD:將本地檔案新增到容器中,tar型別檔案會自動解壓(網路壓縮資源不會被解壓),可以訪問網路資源,類似wget
格式: ADD <src>... <dest> ADD ["<src>",... "<dest>"] 用於支援包含空格的路徑 示例: ADD hom* /mydir/ # 新增所有以"hom"開頭的檔案 ADD hom?.txt /mydir/ # ? 替代一個單字元,例如:"home.txt" ADD test relativeDir/ # 新增 "test" 到 `WORKDIR`/relativeDir/ ADD test /absoluteDir/ # 新增 "test" 到 /absoluteDir/
COPY:功能類似ADD,但是是不會自動解壓檔案,也不能訪問網路資源
CMD:構建容器後呼叫,也就是在容器啟動時才進行呼叫。
格式: CMD ["executable","param1","param2"] (執行可執行檔案,優先) CMD ["param1","param2"] (設定了ENTRYPOINT,則直接呼叫ENTRYPOINT新增引數) CMD command param1 param2 (執行shell內部命令) 示例: CMD echo "This is a test." | wc - CMD ["/usr/bin/wc","--help"]
注:
CMD不同於RUN,CMD用於指定在容器啟動時所要執行的命令,而RUN用於指定映象構建時所要執行的命令。
ENTRYPOINT:配置容器,使其可執行化。配合CMD可省去"application",只使用引數。
格式:
ENTRYPOINT ["executable", "param1", "param2"] (可執行檔案, 優先)
ENTRYPOINT command param1 param2 (shell內部命令)
示例:
FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ["-c"]
注:
ENTRYPOINT與CMD非常類似,不同的是通過docker run
執行的命令不會覆蓋ENTRYPOINT,而docker run
命令中指定的任何引數,都會被當做引數再次傳遞給ENTRYPOINT。Dockerfile中只允許有一個ENTRYPOINT命令,多指定時會覆蓋前面的設定,而只執行最後的ENTRYPOINT指令。
LABEL:用於為映象新增元資料
格式: LABEL <key>=<value> <key>=<value> <key>=<value> ... 示例: LABEL version="1.0" description="這是一個Web伺服器" by="IT筆錄" 注: 使用LABEL指定元資料時,一條LABEL指定可以指定一或多條元資料,指定多條元資料時不同元資料之間通過空格分隔。推薦將所有的元資料通過一條LABEL指令指定,以免生成過多的中間映象。
ENV:設定環境變數
格式: ENV <key> <value> #<key>之後的所有內容均會被視為其<value>的組成部分,因此,一次只能設定一個變數 ENV <key>=<value> ... #可以設定多個變數,每個變數為一個"<key>=<value>"的鍵值對,如果<key>中包含空格,可以使用\來進行轉義,也可以通過""來進行標示;另外,反斜線也可以用於續行 示例: ENV myName John Doe ENV myDog Rex The Dog ENV myCat=fluffy
EXPOSE:指定於外界互動的埠
格式:
EXPOSE <port> [<port>...]
示例:
EXPOSE 80 443
EXPOSE 8080
EXPOSE 11211/tcp 11211/udp
注:
EXPOSE並不會讓容器的埠訪問到主機。要使其可訪問,需要在docker run
執行容器時通過-p來發布這些埠,或通過-P
引數來發布EXPOSE匯出的所有埠
VOLUME:用於指定持久化目錄
格式: VOLUME ["/path/to/dir"] 示例: VOLUME ["/data"] VOLUME ["/var/www", "/var/log/apache2", "/etc/apache2"
注:
一個卷可以存在於一個或多個容器的指定目錄,該目錄可以繞過聯合檔案系統,並具有以下功能:
1 卷可以容器間共享和重用 2 容器並不一定要和其它容器共享卷 3 修改卷後會立即生效 4 對卷的修改不會對映象產生影響 5 卷會一直存在,直到沒有任何容器在使用它
WORKDIR:工作目錄,類似於cd命令
格式:
WORKDIR /path/to/workdir
示例:
WORKDIR /a (這時工作目錄為/a)
WORKDIR b (這時工作目錄為/a/b)
WORKDIR c (這時工作目錄為/a/b/c)
注:
通過WORKDIR設定工作目錄後,Dockerfile中其後的命令RUN、CMD、ENTRYPOINT、ADD、COPY等命令都會在該目錄下執行。在使用docker run
執行容器時,可以通過-w引數覆蓋構建時所設定的工作目錄。
USER:指定執行容器時的使用者名稱或 UID,後續的 RUN 也會使用指定使用者。使用USER指定使用者時,可以使用使用者名稱、UID或GID,或是兩者的組合。當服務不需要管理員許可權時,可以通過該命令指定執行使用者。並且可以在之前建立所需要的使用者
格式:
USER user
USER user:group
USER uid
USER uid:gid
USER user:gid
USER uid:group
示例:
USER www
注:
使用USER指定使用者後,Dockerfile中其後的命令RUN、CMD、ENTRYPOINT都將使用該使用者。映象構建完成後,通過docker run
執行容器時,可以通過-u引數來覆蓋所指定的使用者。
ARG:用於指定傳遞給構建執行時的變數
格式: ARG <name>[=<default value>] 示例: ARG site ARG build_user=www
ONBUILD:用於設定映象觸發器
格式:
ONBUILD [INSTRUCTION] 示例: ONBUILD ADD . /app/src ONBUILD RUN /usr/local/bin/python-build --dir /app/src 注:
當所構建的映象被用做其它映象的基礎映象,該映象中的觸發器將會被鑰觸發
以下是一個小例子:
# This my first nginx Dockerfile # Version 1.0 # Base images 基礎映象 FROM centos #MAINTAINER 維護者資訊 MAINTAINER tianfeiyu #ENV 設定環境變數 ENV PATH /usr/local/nginx/sbin:$PATH #ADD 檔案放在當前目錄下,拷過去會自動解壓 ADD nginx-1.8.0.tar.gz /usr/local/ ADD epel-release-latest-7.noarch.rpm /usr/local/ #RUN 執行以下命令 RUN rpm -ivh /usr/local/epel-release-latest-7.noarch.rpm RUN yum install -y wget lftp gcc gcc-c++ make openssl-devel pcre-devel pcre && yum clean all RUN useradd -s /sbin/nologin -M www #WORKDIR 相當於cd WORKDIR /usr/local/nginx-1.8.0 RUN ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-pcre && make && make install RUN echo "daemon off;" >> /etc/nginx.conf #EXPOSE 對映埠 EXPOSE 80 #CMD 執行以下命令 CMD ["nginx"]
dockerfile 保留關鍵字詳解
FROM
功能為指定基礎映象,並且必須是第一條指令。
如果不以任何映象為基礎,那麼寫法為:FROM scratch。
同時意味著接下來所寫的指令將作為映象的第一層開始
語法:
FROM <image>
FROM <image>:<tag>
FROM <image>:<digest>
三種寫法,其中<tag>和<digest> 是可選項,如果沒有選擇,那麼預設值為latest
RUN
功能為執行指定的命令
RUN命令有兩種格式
1. RUN <command>
2. RUN ["executable", "param1", "param2"]
第一種後邊直接跟shell命令
-
在linux作業系統上預設 /bin/sh -c
-
在windows作業系統上預設 cmd /S /C
第二種是類似於函式呼叫。
可將executable理解成為可執行檔案,後面就是兩個引數。
兩種寫法比對:
-
RUN /bin/bash -c 'source $HOME/.bashrc; echo $HOME
-
RUN ["/bin/bash", "-c", "echo hello"]
注意:多行命令不要寫多個RUN,原因是Dockerfile中每一個指令都會建立一層.
多少個RUN就構建了多少層映象,會造成映象的臃腫、多層,不僅僅增加了構件部署的時間,還容易出錯。
RUN書寫時的換行符是\
CMD
功能為容器啟動時要執行的命令
語法有三種寫法
1. CMD ["executable","param1","param2"]
2. CMD ["param1","param2"]
3. CMD command param1 param2
第三種比較好理解了,就時shell這種執行方式和寫法
第一種和第二種其實都是可執行檔案加上引數的形式
舉例說明兩種寫法:
-
CMD [ "sh", "-c", "echo $HOME"
-
CMD [ "echo", "$HOME" ]
補充細節:這裡邊包括引數的一定要用雙引號,就是",不能是單引號。千萬不能寫成單引號。
原因是引數傳遞後,docker解析的是一個JSON array
RUN & CMD
不要把RUN和CMD搞混了。
RUN是構件容器時就執行的命令以及提交執行結果
CMD是容器啟動時執行的命令,在構件時並不執行,構件時緊緊指定了這個命令到底是個什麼樣子
LABEL
功能是為映象指定標籤
語法:
LABEL <key>=<value> <key>=<value> <key>=<value> ...
一個Dockerfile種可以有多個LABEL,如下:
LABEL "com.example.vendor"="ACME Incorporated"
LABEL com.example.label-with-value="foo"
LABEL version="1.0"
LABEL description="This text illustrates \
that label-values can span multiple lines."
但是並不建議這樣寫,最好就寫成一行,如太長需要換行的話則使用\符號
如下:
LABEL multi.label1="value1" \
multi.label2="value2" \
other="value3"
說明:LABEL會繼承基礎映象種的LABEL,如遇到key相同,則值覆蓋
MAINTAINER
指定作者
語法:
MAINTAINER <name>
EXPOSE
功能為暴漏容器執行時的監聽埠給外部
但是EXPOSE並不會使容器訪問主機的埠
如果想使得容器與主機的埠有對映關係,必須在容器啟動的時候加上 -P引數
ENV
功能為設定環境變數
語法有兩種
1. ENV <key> <value>
2. ENV <key>=<value> ...
兩者的區別就是第一種是一次設定一個,第二種是一次設定多個
ADD
一個複製命令,把檔案複製到景象中。
如果把虛擬機器與容器想象成兩臺linux伺服器的話,那麼這個命令就類似於scp,只是scp需要加使用者名稱和密碼的許可權驗證,而ADD不用。
語法如下:
1. ADD <src>... <dest>
2. ADD ["<src>",... "<dest>"]
<dest>路徑的填寫可以是容器內的絕對路徑,也可以是相對於工作目錄的相對路徑
<src>可以是一個本地檔案或者是一個本地壓縮檔案,還可以是一個url
如果把<src>寫成一個url,那麼ADD就類似於wget命令
如以下寫法都是可以的:
-
ADD test relativeDir/
-
ADD test /relativeDir
-
ADD http://example.com/foobar /
儘量不要把<scr>寫成一個資料夾,如果<src>是一個檔案夾了,複製整個目錄的內容,包括檔案系統元資料
COPY
看這個名字就知道,又是一個複製命令
語法如下:
1. COPY <src>... <dest>
2. COPY ["<src>",... "<dest>"]
與ADD的區別
COPY的<src>只能是本地檔案,其他用法一致
ENTRYPOINT
功能是啟動時的預設命令
語法如下:
1. ENTRYPOINT ["executable", "param1", "param2"]
2. ENTRYPOINT command param1 param2
如果從上到下看到這裡的話,那麼你應該對這兩種語法很熟悉啦。
第二種就是寫shell
第一種就是可執行檔案加引數
與CMD比較說明(這倆命令太像了,而且還可以配合使用):
1. 相同點:
-
只能寫一條,如果寫了多條,那麼只有最後一條生效
-
容器啟動時才執行,執行時機相同
2. 不同點:
-
ENTRYPOINT不會被執行的command覆蓋,而CMD則會被覆蓋
-
如果我們在Dockerfile種同時寫了ENTRYPOINT和CMD,並且CMD指令不是一個完整的可執行命令,那麼CMD指定的內容將會作為ENTRYPOINT的引數
如下:
FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ["-c"]
-
如果我們在Dockerfile種同時寫了ENTRYPOINT和CMD,並且CMD是一個完整的指令,那麼它們兩個會互相覆蓋,誰在最後誰生效
如下:
FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ls -al
那麼將執行ls -al ,top -b不會執行。
Docker官方使用一張表格來展示了ENTRYPOINT 和CMD不同組合的執行情況
(下方表格來自docker官網)
VOLUME
可實現掛載功能,可以將內地資料夾或者其他容器種得資料夾掛在到這個容器種
語法為:
VOLUME ["/data"]
說明:
["/data"]可以是一個JsonArray ,也可以是多個值。所以如下幾種寫法都是正確的
VOLUME ["/var/log/"]
VOLUME /var/log
VOLUME /var/log /var/db
一般的使用場景為需要持久化儲存資料時
容器使用的是AUFS,這種檔案系統不能持久化資料,當容器關閉後,所有的更改都會丟失。
所以當資料需要持久化時用這個命令。
USER
設定啟動容器的使用者,可以是使用者名稱或UID,所以,只有下面的兩種寫法是正確的
-
USER daemo
-
USER UID
注意:如果設定了容器以daemon使用者去執行,那麼RUN, CMD 和 ENTRYPOINT 都會以這個使用者去執行
WORKDIR
語法:
WORKDIR /path/to/workdir
設定工作目錄,對RUN,CMD,ENTRYPOINT,COPY,ADD生效。如果不存在則會建立,也可以設定多次。
如:
WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd
pwd執行的結果是/a/b/c
WORKDIR也可以解析環境變數
如:
ENV DIRPATH /path
WORKDIR $DIRPATH/$DIRNAME
RUN pwd
pwd的執行結果是/path/$DIRNAME
ARG
語法:
ARG <name>[=<default value>]
設定變數命令,ARG命令定義了一個變數,在docker build建立映象的時候,使用 --build-arg <varname>=<value>來指定引數
如果使用者在build映象時指定了一個引數沒有定義在Dockerfile種,那麼將有一個Warning
提示如下:
[Warning] One or more build-args [foo] were not consumed.
我們可以定義一個或多個引數,如下:
FROM busybox
ARG user1
ARG buildno
...
也可以給引數一個預設值:
FROM busybox
ARG user1=someuser
ARG buildno=1
...
如果我們給了ARG定義的引數預設值,那麼當build映象時沒有指定引數值,將會使用這個預設值
ONBUILD
語法:
ONBUILD [INSTRUCTION]
這個命令只對當前映象的子映象生效。
比如當前映象為A,在Dockerfile種新增:
ONBUILD RUN ls -al
這個 ls -al 命令不會在A映象構建或啟動的時候執行
此時有一個映象B是基於A映象構建的,那麼這個ls -al 命令會在B映象構建的時候被執行。
STOPSIGNAL
語法:
STOPSIGNAL signal
STOPSIGNAL命令是的作用是當容器推出時給系統傳送什麼樣的指令
HEALTHCHECK
容器健康狀況檢查命令
語法有兩種:
1. HEALTHCHECK [OPTIONS] CMD command
2. HEALTHCHECK NONE
第一個的功能是在容器內部執行一個命令來檢查容器的健康狀況
第二個的功能是在基礎映象中取消健康檢查命令
[OPTIONS]的選項支援以下三中選項:
--interval=DURATION 兩次檢查預設的時間間隔為30秒
--timeout=DURATION 健康檢查命令執行超時時長,預設30秒
--retries=N 當連續失敗指定次數後,則容器被認為是不健康的,狀態為unhealthy,預設次數是3
注意:
HEALTHCHECK命令只能出現一次,如果出現了多次,只有最後一個生效。
CMD後邊的命令的返回值決定了本次健康檢查是否成功,具體的返回值如下:
0: success - 表示容器是健康的
1: unhealthy - 表示容器已經不能工作了
2: reserved - 保留值
例子:
HEALTHCHECK --interval=5m --timeout=3s \
CMD curl -f http://localhost/ || exit 1
健康檢查命令是:curl -f http://localhost/ || exit 1
兩次檢查的間隔時間是5秒
命令超時時間為3秒