十年河東，十年河西，莫欺少年窮

學無止境，精益求精

dockerfile 構建映象過程

1、編寫一個dockerfile 檔案

2、通過docker  build 構建一個映象

3、通過docker run 執行一個映象

4、通過docker push 釋出一個映象到docker Hub

dockerfile 基礎知識

1、每個保留關鍵字（指令）都必須大寫

2、命令指令碼執行順序從上到下

3、# 代表註釋

4、每個指令都會提交一個新的映象層

在這裡列出了一些常用的指令。

FROM：指定基礎映象，必須為第一個命令

格式：
　　FROM <image>
　　FROM <image>:<tag>
　　FROM <image>@<digest>
示例：
　　FROM mysql:5.6
注：
　　tag或digest是可選的，如果不使用這兩個值時，會使用latest版本的基礎映象
 

MAINTAINER: 維護者資訊

格式：
    MAINTAINER <name>
示例：
    MAINTAINER Jasper Xu
    MAINTAINER [email protected]
    MAINTAINER Jasper Xu <[email protected]>

RUN：構建映象時執行的命令

RUN用於在映象容器中執行命令，其有以下兩種命令執行方式：
shell執行
格式：
    RUN <command>
exec執行
格式：
    RUN ["executable", "param1", "param2"]
示例：
    RUN ["executable", "param1", "param2"]
    RUN apk update
    RUN ["/etc/execfile", "arg1", "arg1"]
注：
　　RUN指令建立的中間映象會被快取，並會在下次構建中使用。如果不想使用這些快取映象，可以在構建時指定--no-cache引數，如：docker build --no-cache

ADD：將本地檔案新增到容器中，tar型別檔案會自動解壓(網路壓縮資源不會被解壓)，可以訪問網路資源，類似wget

格式：
    ADD <src>... <dest>
    ADD ["<src>",... "<dest>"] 用於支援包含空格的路徑
示例：
    ADD hom* /mydir/          # 新增所有以"hom"開頭的檔案
    ADD hom?.txt /mydir/      # ? 替代一個單字元,例如："home.txt"
    ADD test relativeDir/     # 新增 "test" 到 `WORKDIR`/relativeDir/
    ADD test /absoluteDir/    # 新增 "test" 到 /absoluteDir/

COPY：功能類似ADD，但是是不會自動解壓檔案，也不能訪問網路資源

CMD：構建容器後呼叫，也就是在容器啟動時才進行呼叫。

格式：
    CMD ["executable","param1","param2"] (執行可執行檔案，優先)
    CMD ["param1","param2"] (設定了ENTRYPOINT，則直接呼叫ENTRYPOINT新增引數)
    CMD command param1 param2 (執行shell內部命令)
示例：
    CMD echo "This is a test." | wc -
    CMD ["/usr/bin/wc","--help"]
注：
 　　CMD不同於RUN，CMD用於指定在容器啟動時所要執行的命令，而RUN用於指定映象構建時所要執行的命令。

ENTRYPOINT：配置容器，使其可執行化。配合CMD可省去"application"，只使用引數。

格式：
    ENTRYPOINT ["executable", "param1", "param2"] (可執行檔案, 優先)
    ENTRYPOINT command param1 param2 (shell內部命令)
示例：
    FROM ubuntu
    ENTRYPOINT ["top", "-b"]
    CMD ["-c"]
注：
　　　ENTRYPOINT與CMD非常類似，不同的是通過docker run執行的命令不會覆蓋ENTRYPOINT，而docker run命令中指定的任何引數，都會被當做引數再次傳遞給ENTRYPOINT。Dockerfile中只允許有一個ENTRYPOINT命令，多指定時會覆蓋前面的設定，而只執行最後的ENTRYPOINT指令。

LABEL：用於為映象新增元資料

格式：
    LABEL <key>=<value> <key>=<value> <key>=<value> ...
示例：
　　LABEL version="1.0" description="這是一個Web伺服器" by="IT筆錄"
注：
　　使用LABEL指定元資料時，一條LABEL指定可以指定一或多條元資料，指定多條元資料時不同元資料之間通過空格分隔。推薦將所有的元資料通過一條LABEL指令指定，以免生成過多的中間映象。

ENV：設定環境變數

格式：
    ENV <key> <value>  #<key>之後的所有內容均會被視為其<value>的組成部分，因此，一次只能設定一個變數
    ENV <key>=<value> ...  #可以設定多個變數，每個變數為一個"<key>=<value>"的鍵值對，如果<key>中包含空格，可以使用\來進行轉義，也可以通過""來進行標示；另外，反斜線也可以用於續行
示例：
    ENV myName John Doe
    ENV myDog Rex The Dog
    ENV myCat=fluffy

EXPOSE：指定於外界互動的埠

格式：
    EXPOSE <port> [<port>...]
示例：
    EXPOSE 80 443
    EXPOSE 8080
    EXPOSE 11211/tcp 11211/udp
注：
　　EXPOSE並不會讓容器的埠訪問到主機。要使其可訪問，需要在docker run執行容器時通過-p來發布這些埠，或通過-P引數來發布EXPOSE匯出的所有埠

VOLUME：用於指定持久化目錄

格式：
    VOLUME ["/path/to/dir"]
示例：
    VOLUME ["/data"]
    VOLUME ["/var/www", "/var/log/apache2", "/etc/apache2"
注：
　　一個卷可以存在於一個或多個容器的指定目錄，該目錄可以繞過聯合檔案系統，並具有以下功能：

1 卷可以容器間共享和重用
2 容器並不一定要和其它容器共享卷
3 修改卷後會立即生效
4 對卷的修改不會對映象產生影響
5 卷會一直存在，直到沒有任何容器在使用它

WORKDIR：工作目錄，類似於cd命令

格式：
    WORKDIR /path/to/workdir
示例：
    WORKDIR /a  (這時工作目錄為/a)
    WORKDIR b  (這時工作目錄為/a/b)
    WORKDIR c  (這時工作目錄為/a/b/c)
注：
　　通過WORKDIR設定工作目錄後，Dockerfile中其後的命令RUN、CMD、ENTRYPOINT、ADD、COPY等命令都會在該目錄下執行。在使用docker run執行容器時，可以通過-w引數覆蓋構建時所設定的工作目錄。

USER:指定執行容器時的使用者名稱或 UID，後續的 RUN 也會使用指定使用者。使用USER指定使用者時，可以使用使用者名稱、UID或GID，或是兩者的組合。當服務不需要管理員許可權時，可以通過該命令指定執行使用者。並且可以在之前建立所需要的使用者

 格式:
　　USER user
　　USER user:group
　　USER uid
　　USER uid:gid
　　USER user:gid
　　USER uid:group

 示例：
　　USER www

 注：

　　使用USER指定使用者後，Dockerfile中其後的命令RUN、CMD、ENTRYPOINT都將使用該使用者。映象構建完成後，通過docker run執行容器時，可以通過-u引數來覆蓋所指定的使用者。

ARG：用於指定傳遞給構建執行時的變數

格式：
    ARG <name>[=<default value>]
示例：
    ARG site
    ARG build_user=www

ONBUILD：用於設定映象觸發器

格式：
　　ONBUILD [INSTRUCTION]
示例：
　　ONBUILD ADD . /app/src
　　ONBUILD RUN /usr/local/bin/python-build --dir /app/src
注：
　　當所構建的映象被用做其它映象的基礎映象，該映象中的觸發器將會被鑰觸發

以下是一個小例子：

# This my first nginx Dockerfile
# Version 1.0

# Base images 基礎映象
FROM centos

#MAINTAINER 維護者資訊
MAINTAINER tianfeiyu 

#ENV 設定環境變數
ENV PATH /usr/local/nginx/sbin:$PATH

#ADD  檔案放在當前目錄下，拷過去會自動解壓
ADD nginx-1.8.0.tar.gz /usr/local/  
ADD epel-release-latest-7.noarch.rpm /usr/local/  

#RUN 執行以下命令 
RUN rpm -ivh /usr/local/epel-release-latest-7.noarch.rpm
RUN yum install -y wget lftp gcc gcc-c++ make openssl-devel pcre-devel pcre && yum clean all
RUN useradd -s /sbin/nologin -M www

#WORKDIR 相當於cd
WORKDIR /usr/local/nginx-1.8.0 

RUN ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-pcre && make && make install

RUN echo "daemon off;" >> /etc/nginx.conf

#EXPOSE 對映埠
EXPOSE 80

#CMD 執行以下命令
CMD ["nginx"]

dockerfile 保留關鍵字詳解

FROM

功能為指定基礎映象，並且必須是第一條指令。

如果不以任何映象為基礎，那麼寫法為：FROM scratch。

同時意味著接下來所寫的指令將作為映象的第一層開始

語法：

FROM <image>
FROM <image>:<tag>
FROM <image>:<digest> 

三種寫法，其中<tag>和<digest> 是可選項，如果沒有選擇，那麼預設值為latest

RUN

 功能為執行指定的命令

RUN命令有兩種格式

1. RUN <command>
2. RUN ["executable", "param1", "param2"]

第一種後邊直接跟shell命令

• 在linux作業系統上預設 /bin/sh -c

• 在windows作業系統上預設 cmd /S /C

第二種是類似於函式呼叫。

可將executable理解成為可執行檔案，後面就是兩個引數。

兩種寫法比對：

• RUN /bin/bash -c 'source $HOME/.bashrc; echo $HOME

• RUN ["/bin/bash", "-c", "echo hello"]

注意：多行命令不要寫多個RUN，原因是Dockerfile中每一個指令都會建立一層.

 多少個RUN就構建了多少層映象，會造成映象的臃腫、多層，不僅僅增加了構件部署的時間，還容易出錯。

RUN書寫時的換行符是\

CMD

功能為容器啟動時要執行的命令

語法有三種寫法

1. CMD ["executable","param1","param2"]
2. CMD ["param1","param2"]
3. CMD command param1 param2

第三種比較好理解了，就時shell這種執行方式和寫法

第一種和第二種其實都是可執行檔案加上引數的形式

舉例說明兩種寫法：

• CMD [ "sh", "-c", "echo $HOME" 

• CMD [ "echo", "$HOME" ]

補充細節：這裡邊包括引數的一定要用雙引號，就是",不能是單引號。千萬不能寫成單引號。

原因是引數傳遞後，docker解析的是一個JSON array

RUN & CMD

不要把RUN和CMD搞混了。

RUN是構件容器時就執行的命令以及提交執行結果

CMD是容器啟動時執行的命令，在構件時並不執行，構件時緊緊指定了這個命令到底是個什麼樣子

LABEL

功能是為映象指定標籤

語法：

LABEL <key>=<value> <key>=<value> <key>=<value> ...

 一個Dockerfile種可以有多個LABEL，如下：

LABEL "com.example.vendor"="ACME Incorporated"
LABEL com.example.label-with-value="foo"
LABEL version="1.0"
LABEL description="This text illustrates \
that label-values can span multiple lines."

 但是並不建議這樣寫，最好就寫成一行，如太長需要換行的話則使用\符號

如下：

LABEL multi.label1="value1" \
multi.label2="value2" \
other="value3"

說明：LABEL會繼承基礎映象種的LABEL，如遇到key相同，則值覆蓋

MAINTAINER

指定作者

語法：

MAINTAINER <name>

EXPOSE

功能為暴漏容器執行時的監聽埠給外部

但是EXPOSE並不會使容器訪問主機的埠

如果想使得容器與主機的埠有對映關係，必須在容器啟動的時候加上 -P引數

ENV

功能為設定環境變數

語法有兩種

1. ENV <key> <value>
2. ENV <key>=<value> ...

兩者的區別就是第一種是一次設定一個，第二種是一次設定多個

ADD

 一個複製命令，把檔案複製到景象中。

如果把虛擬機器與容器想象成兩臺linux伺服器的話，那麼這個命令就類似於scp，只是scp需要加使用者名稱和密碼的許可權驗證，而ADD不用。

語法如下：

1. ADD <src>... <dest>
2. ADD ["<src>",... "<dest>"]

<dest>路徑的填寫可以是容器內的絕對路徑，也可以是相對於工作目錄的相對路徑

<src>可以是一個本地檔案或者是一個本地壓縮檔案，還可以是一個url

如果把<src>寫成一個url，那麼ADD就類似於wget命令

如以下寫法都是可以的：

• ADD test relativeDir/ 

• ADD test /relativeDir

• ADD http://example.com/foobar /

儘量不要把<scr>寫成一個資料夾，如果<src>是一個檔案夾了，複製整個目錄的內容,包括檔案系統元資料

COPY

看這個名字就知道，又是一個複製命令

語法如下：

1. COPY <src>... <dest>
2. COPY ["<src>",... "<dest>"]

與ADD的區別

COPY的<src>只能是本地檔案，其他用法一致

ENTRYPOINT

功能是啟動時的預設命令

語法如下：

1. ENTRYPOINT ["executable", "param1", "param2"]
2. ENTRYPOINT command param1 param2

如果從上到下看到這裡的話，那麼你應該對這兩種語法很熟悉啦。

第二種就是寫shell

第一種就是可執行檔案加引數

與CMD比較說明（這倆命令太像了，而且還可以配合使用）：

1. 相同點：

• 只能寫一條，如果寫了多條，那麼只有最後一條生效

• 容器啟動時才執行，執行時機相同

2. 不同點：

•  ENTRYPOINT不會被執行的command覆蓋，而CMD則會被覆蓋

•  如果我們在Dockerfile種同時寫了ENTRYPOINT和CMD，並且CMD指令不是一個完整的可執行命令，那麼CMD指定的內容將會作為ENTRYPOINT的引數

如下：

FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ["-c"]

• 如果我們在Dockerfile種同時寫了ENTRYPOINT和CMD，並且CMD是一個完整的指令，那麼它們兩個會互相覆蓋，誰在最後誰生效

如下：

FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ls -al

那麼將執行ls -al ,top -b不會執行。

Docker官方使用一張表格來展示了ENTRYPOINT 和CMD不同組合的執行情況

（下方表格來自docker官網）

VOLUME

可實現掛載功能，可以將內地資料夾或者其他容器種得資料夾掛在到這個容器種

語法為：

VOLUME ["/data"]

說明：

   ["/data"]可以是一個JsonArray ，也可以是多個值。所以如下幾種寫法都是正確的

VOLUME ["/var/log/"]

VOLUME /var/log

VOLUME /var/log /var/db

一般的使用場景為需要持久化儲存資料時

容器使用的是AUFS，這種檔案系統不能持久化資料，當容器關閉後，所有的更改都會丟失。

所以當資料需要持久化時用這個命令。

USER

設定啟動容器的使用者，可以是使用者名稱或UID，所以，只有下面的兩種寫法是正確的

• USER daemo

• USER UID

注意：如果設定了容器以daemon使用者去執行，那麼RUN, CMD 和 ENTRYPOINT 都會以這個使用者去執行

WORKDIR

語法：

WORKDIR /path/to/workdir

設定工作目錄，對RUN,CMD,ENTRYPOINT,COPY,ADD生效。如果不存在則會建立，也可以設定多次。

如：

WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd

pwd執行的結果是/a/b/c

WORKDIR也可以解析環境變數

如：

ENV DIRPATH /path
WORKDIR $DIRPATH/$DIRNAME
RUN pwd

pwd的執行結果是/path/$DIRNAME

ARG

語法：

ARG <name>[=<default value>]

設定變數命令，ARG命令定義了一個變數，在docker build建立映象的時候，使用 --build-arg <varname>=<value>來指定引數

如果使用者在build映象時指定了一個引數沒有定義在Dockerfile種，那麼將有一個Warning

提示如下：

[Warning] One or more build-args [foo] were not consumed.

我們可以定義一個或多個引數，如下：

FROM busybox
ARG user1
ARG buildno
...

也可以給引數一個預設值：

FROM busybox
ARG user1=someuser
ARG buildno=1
...

如果我們給了ARG定義的引數預設值，那麼當build映象時沒有指定引數值，將會使用這個預設值

ONBUILD

語法：

ONBUILD [INSTRUCTION]

這個命令只對當前映象的子映象生效。

比如當前映象為A，在Dockerfile種新增：

ONBUILD RUN ls -al

這個 ls -al 命令不會在A映象構建或啟動的時候執行

此時有一個映象B是基於A映象構建的，那麼這個ls -al 命令會在B映象構建的時候被執行。

STOPSIGNAL

語法：

STOPSIGNAL signal

STOPSIGNAL命令是的作用是當容器推出時給系統傳送什麼樣的指令

HEALTHCHECK

 容器健康狀況檢查命令

語法有兩種：

1. HEALTHCHECK [OPTIONS] CMD command
2. HEALTHCHECK NONE

第一個的功能是在容器內部執行一個命令來檢查容器的健康狀況

第二個的功能是在基礎映象中取消健康檢查命令

[OPTIONS]的選項支援以下三中選項：

    --interval=DURATION 兩次檢查預設的時間間隔為30秒

    --timeout=DURATION 健康檢查命令執行超時時長，預設30秒

    --retries=N 當連續失敗指定次數後，則容器被認為是不健康的，狀態為unhealthy，預設次數是3

注意：

HEALTHCHECK命令只能出現一次，如果出現了多次，只有最後一個生效。

CMD後邊的命令的返回值決定了本次健康檢查是否成功，具體的返回值如下：

0: success - 表示容器是健康的

1: unhealthy - 表示容器已經不能工作了

2: reserved - 保留值

例子：

HEALTHCHECK --interval=5m --timeout=3s \
CMD curl -f http://localhost/ || exit 1

健康檢查命令是：curl -f http://localhost/ || exit 1

兩次檢查的間隔時間是5秒

命令超時時間為3秒