简介
Dockerfile
是一个文本格式的配置文件,用户可以使用Dockerfile
来快速创建自定义的镜像。
使用 Dockerfile
创建镜像
基本结构
Dockerfile
由一行行命令语句组成,并且支持以#
开头的注释行。
一般而言,Dockerfile
主体内容分为四部分:基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。
主体部分首先使用FROM
指令指明所基于的镜像名称,接下来一般是使用LABEL
指令说明维护者信息。后面则是镜像操作指令,例如RUN
指令将对镜像执行跟随的命令。每运行一条RUN
指令,镜像添加新的一层,并提交。最后是CMD
指令,来指定运行容器时的操作命令。
指令说明
Dockerfile
中指令的一般格式为INSTRUCTION arguments
,包括“配置指令”(配置镜像信息)和“操作指令”(具体执行操作):
配置指令
-
ARG
定义创建镜像过程中使用的变量。
格式为ARG <name>[=<default value>]
。
在执行docker build
时,可以通过--build-arg list
来为变量赋值。当镜像编译成功后,ARG
指定的变量将不再存在(ENV
指定的变量将在镜像中保留)。
Docker内置了一些镜像创建变量,用户可以直接使用而无须声明,包括(不区分大小写)HTTP_PROXY
、HTTPS_PROXY
、FTP_PROXY
、NO_PROXY
。
例如:ARG VERSION=9.3
。 -
FROM
指定所创建镜像的基础镜像。
格式为FROM <image>[AS<name>]
或FROM <image>:<tag>[AS<name>]
或FROM <image>@<digest>[AS<name>]
。
任何Dockerfile
中第一条指令必须为FROM
指令。并且,如果在同一个Dockerfile
中创建多个镜像时,可以使用多个FROM
指令(每个镜像一次)。
为了保证镜像精简,可以选用体积较小的镜像如Alpine
或Debian
作为基础镜像。
例如:FROM debian:stretch-slim
。 -
LABEL
LABEL
指令可以为生成的镜像添加元数据标签信息。这些信息可以用来辅助过滤出特定镜像。
格式为LABEL <key>=<value> <key>=<value> <key>=<value>……
。
例如:LABEL version="1.0.0-rc3"
。 -
EXPOSE
声明镜像内服务监听的端口。
格式为EXPOSE <port>[<port>/<protocol>……]
。
例如:EXPOSE 22 80 8443
。
注意该指令只是起到声明作用,并不会自动完成端口映射。
如果要映射端口出来,在启动容器时可以使用-P
参数(Docker主机会自动分配一个宿主机的临时端口)或-p HOST_PORT:CONTAINER_PORT
参数(具体指定所映射的本地端口)。 -
ENV
指定环境变量,在镜像生成过程中会被后续RUN
指令使用,在镜像启动的容器中也会存在。
格式为ENV <key> <value>
或ENV <key>=<value>……
。
例如:ENV APP_VERSION=1.0.0
、ENV PATH $PATH:/usr/local/bin
。
指令指定的环境变量在运行时可以被覆盖掉,如docker run --env <key>=<value> built_image
。
注意当一条ENV
指令中同时为多个环境变量赋值并且值也是从环境变量读取时,会为变量都赋值后再更新。例如,以下最终结果为key1=value1
key2=value2
:
ENV key1=value2
ENV key1=value1 key2=${key1}
-
ENTRYPOINT
指定镜像的默认入口命令,该入口命令会在启动容器时作为根命令执行,所有传入值作为该命令的参数。
支持两种格式:
ENTRYPOINT ["executable","param1","param2"]
:exec
调用执行;
ENTRYPOINT command param1 param2
:shell
中执行。
此时,CMD
指令指定值将作为根命令的参数。
每个Dockerfile
中只能有一个ENTRYPOINT
,当指定多个时,只有最后一个起效。
在运行时,可以被--entrypoint
参数覆盖掉,如docker run --entrypoint
。 -
VOLUME
创建一个数据卷挂载点。
格式为VOLUME ["/data"]
。
运行容器时可以从本地主机或其他容器挂载数据卷,一般用来存放数据库和需要保持的数据等。 -
USER
指定运行容器时的用户名或UID
,后续的RUN
等指令也会使用指定的用户身份。
格式为USER daemon
。
当服务不需要管理员权限时,可以通过该命令指定运行用户,并且可以在Dockerfile
中创建所需要的用户。 -
WORKDIR
为后续的RUN
、CMD
、ENTRYPOINT
指令配置工作目录。
格式为WORKDIR /path/to/workdir
。
可以使用多个WORKDIR
指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径。因此,为了避免出错,推荐WORKDIR
指令中只使用绝对路径。 -
ONBUILD
指定当基于所生成镜像创建子镜像时,自动执行的操作指令。
格式为ONBUILD [INSTRUCTION]
。
使用docker build
命令创建子镜像ChildImage
时(FROM ParentImage
),会首先执行ParentImage
中配置的ONBUILD
指令。由于ONBUILD
指令是隐式执行的,推荐在使用它的镜像标签中进行标注。 -
STOPSIGNAL
指定所创建镜像启动的容器接收退出的信号值:
STOPSIGNAL signal
-
HEALTHCHECK
配置所启动容器如何进行健康检查(如何判断健康与否),自Docker 1.12开始支持。
格式有两种:
-
HEALTHCHECK [OPTIONS]CMD command
:根据所执行命令返回值是否为0来判断; -
HEALTHCHECK NONE
:禁止基础镜像中的健康检查。
OPTION
支持如下参数:
-
-interval=DURATION
(default:30s):过多久检查一次; -
-timeout=DURATION
(default:30s):每次检查等待结果的超时; -
-retries=N
(default:3):如果失败了,重试几次才最终确定失败。
-
SHELL
指定其他命令使用shell时的默认shell类型:
SHELL ["executable", "parameters"]
默认值为["/bin/sh","-c"]
。
对于Windows系统,Shell路径中使用了“\”作为分隔符,建议在
Dockerfile
开头添加#escape='\'
来指定转义符。
操作指令
-
RUN
运行指定命令。
格式为RUN <command>
或RUN ["executable","param1","param2"]
。注意后者指令会被解析为JSON
数组,因此必须用双引号。前者默认将在shell终端中运行命令,即/bin/sh -c
;后者则使用exec
执行,不会启动shell环境。
指定使用其他终端类型可以通过第二种方式实现,例如RUN ["/bin/bash","-c","echo hello"]
。
每条RUN
指令将在当前镜像基础上执行指定命令,并提交为新的镜像层。当命令较长时可以使用\
来换行。 -
CMD
CMD
指令用来指定启动容器时默认执行的命令。
支持三种格式:
-
CMD["executable","param1","param2"]
:相当于执行executable param1 param2
,推荐方式; -
CMD command param1 param2
:在默认的Shell中执行,提供给需要交互的应用; -
CMD["param1","param2"]
:提供给ENTRYPOINT
的默认参数。
每个Dockerfile
只能有一条CMD
命令。如果指定了多条命令,只有最后一条会被执行。
如果用户启动容器时候手动指定了运行的命令(作为run
命令的参数),则会覆盖掉CMD
指定的命令。
-
ADD
添加内容到镜像。
格式为ADD <src> <dest>
。
该命令将复制指定的<src>
路径下内容到容器中的<dest>
路径下。
其中<src>
可以是Dockerfile
所在目录的一个相对路径(文件或目录);也可以是一个URL
;还可以是一个tar
文件(自动解压为目录)<dest>
可以是镜像内绝对路径,或者相对于工作目录(WORKDIR)的相对路径。
路径支持正则格式,例如:ADD *.c /code/
-
COPY
复制内容到镜像。
格式为COPY <src> <dest>
。
复制本地主机的<src>
(为Dockerfile
所在目录的相对路径,文件或目录)下内容到镜像中的<dest>
。目标路径不存在时,会自动创建。
路径同样支持正则格式。
COPY
与ADD
指令功能类似,当使用本地目录为源目录时,推荐使用COPY
。
创建镜像
命令格式
编写完成Dockerfile
之后,可以通过docker [image] build
命令来创建镜像。
命令格式为:docker build [OPTIONS] PATH | URL | -
。
该命令将读取指定路径下(包括子目录)的Dockerfile
,并将该路径下所有数据作为上下文(Context)发送给Docker服务端。Docker服务端在校验Dockerfile
格式通过后,逐条执行其中定义的指令,碰到ADD
、COPY
和RUN
指令会生成一层新的镜像。最终如果创建镜像成功,会返回最终镜像的ID
。
如果上下文过大,会导致发送大量数据给服务端,延缓创建过程。因此除非是生成镜像所必需的文件,不然不要放到上下文路径下。如果使用非上下文路径下的Dockerfile
,可以通过-f
选项来指定其路径( -f, --file string Name of the Dockerfile (Default is 'PATH/Dockerfile'))。
要指定生成镜像的标签信息,可以通过-t
选项。该选项可以重复使用多次为镜像一次添加多个名称(-t, --tag list Name and optionally a tag in the 'name:tag' format)。
命令选项
docker [image] build
命令支持一系列的选项,可以调整创建镜像过程的行为。
选择父镜像
大部分情况下,生成新的镜像都需要通过FROM
指令来指定父镜像。父镜像是生成镜像的基础,会直接影响到所生成镜像的大小和功能。
用户可以选择两种镜像作为父镜像,一种是所谓的基础镜像(baseimage
),另外一种是普通的镜像(往往由第三方创建,基于基础镜像)。
基础镜像比较特殊,其Dockerfile
中往往不存在FROM
指令,或者基于scratch
镜像(FROM scratch
),这意味着其在整个镜像树中处于根的位置。
使用 .dockerignore
文件
可以通过.dockerignore
文件(每一行添加一条匹配模式)来让Docker忽略匹配路径或文件,在创建镜像时候不将无关数据发送到服务端。
例如下面的例子中包括了6行忽略的模式(第一行为注释):
# .dockerignore 文件中可以定义忽略模式
*/temp*
*/*/temp*
tmp?
~*
Dockerfile
!README.md
·dockerignore
文件中模式语法支持Golang
风格的路径正则格式:
- “*”表示任意多个字符;
- “?”代表单个字符;
- “!”表示不匹配(即不忽略指定的路径或文件)。
多步骤创建
对于需要编译的应用(如C、Go或Java语言等)来说,通常情况下至少需要准备两个环境的Docker镜像:
- 编译环境镜像:包括完整的编译引擎、依赖库等,往往比较庞大。作用是编译应用为二进制文件;
- 运行环境镜像:利用编译好的二进制文件,运行应用,由于不需要编译环境,体积比较小。
使用多步骤创建,可以在保证最终生成的运行环境镜像保持精简的情况下,使用单一的Dockerfile
,降低维护复杂度。
例如,创建Dockerfile
,使用golang:1.9
镜像编译应用二进制文件为app
,使用精简的镜像alpine:latest
作为运行环境。Dockerfile
完整内容为:
FROM golang:1.9 as builder # define stage name as builder
RUN mkdir -p /go/src/test
WORKDIR /go/src/test
COPY main.go .
RUN CGO_ENABLED=0 GOOS=linux go build -o app .
FROM alpine:latest
RUN apk --no-cache add ca-certificates
WORKDIR /root/
COPY --from=builder /go/src/test/app .# copy file from the builder stage
CMD ["./app"]
Tips
- 使用
.dockerignore
文件:使用它可以标记在执行docker build
时忽略的路径和文件,避免发送不必要的数据内容,从而加快整个镜像创建过程。 - 及时删除临时文件和缓存文件:特别是在执行
apt-get
指令后,/var/cache/apt
下面会缓存了一些安装包; - 减少镜像层数:如果希望所生成镜像的层数尽量少,则要尽量合并RUN、ADD和COPY指令。通常情况下,多个RUN指令可以合并为一条RUN指令;
- 选用合适的基础镜像:容器的核心是应用。选择过大的父镜像(如Ubuntu系统镜像)会造成最终生成应用镜像的臃肿,推荐选用瘦身过的应用镜像(如node:slim),或者较为小巧的系统镜像(如alpine、busybox或debian);
- 恰当使用多步骤创建(17.05+版本支持):通过多步骤创建,可以将编译和运行等过程分开,保证最终生成的镜像只包括运行应用所需要的最小化环境。当然,用户也可以通过分别构造编译镜像和运行镜像来达到类似的结果,但这种方式需要维护多个
Dockerfile
。
Dockerfile 小结
要编写一个高质量的Dockerfile并不是一件容易的事情,需要不断地学习和实践。
Cheat Sheet
# Dockerfile 关键命令回顾
## 配置指令
ARG <name>[=<default value>] # 定义创建镜像过程中使用的变量,当镜像编译成功后,ARG指定的变量将不再存在
FROM <image>:<tag>[AS<name>] # 任何Dockerfile中第一条指令必须为FROM指令,指定所创建镜像的基础镜像
LABEL <key>=<value> <key>=<value> <key>=<value>…… # 为生成的镜像添加元数据标签信息
EXPOSE <port>[<port>/<protocol>……] # 声明镜像内服务监听的端口
ENV <key> <value>
ENV <key>=<value>…… # 指定环境变量,在镜像生成过程中会被后续RUN指令使用,在镜像启动的容器中也会存在
ENTRYPOINT ["executable","param1","param2"] # exec调用执行,指定镜像的默认入口命令,该入口命令会在启动容器时作为根命令执行,所有传入值作为该命令的参数
ENTRYPOINT command param1 param2 # shell中执行
VOLUME ["/data"] # 创建一个数据卷挂载点
USER daemon # 指定运行容器时的用户名或UID,后续的RUN等指令也会使用指定的用户身份
WORKDIR /path/to/workdir # 为后续的RUN、CMD、ENTRYPOINT指令配置工作目录,可以使用多个WORKDIR指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径
ONBUILD [INSTRUCTION] # 指定当基于所生成镜像创建子镜像时,自动执行的操作指令
STOPSIGNAL signal # 指定所创建镜像启动的容器接收退出的信号值
HEALTHCHECK [OPTIONS]CMD command # 根据所执行命令返回值是否为0来判断健康与否
HEALTHCHECK NONE # 禁止基础镜像中的健康检查
SHELL ["executable", "parameters"] # 指定其他命令使用shell时的默认shell类型,默认值为["/bin/sh","-c"]
## 操作指令
RUN <command> # 在shell终端中运行命令
RUN ["executable","param1","param2"] # 运行指定命令,使用exec执行
CMD["executable","param1","param2"] # 相当于执行executable param1 param2,每个Dockerfile只能有一条CMD命令
CMD command param1 param2 # 在默认的Shell中执行
CMD ["param1","param2"] # 提供给ENTRYPOINT的默认参数
ADD <src> <dest> # 添加内容到镜像,比较强大
COPY <src> <dest> # 复制本地主机的<src>(为Dockerfile所在目录的相对路径,文件或目录)下内容到镜像中的<dest>,目标路径不存在时,会自动创建
## 创建镜像
docker build [OPTIONS] PATH | URL | -
## 使用 .dockerignore 文件
## 多步骤创建
网友评论