美文网首页挨踢(IT)
Docker 技术之Dockerfile

Docker 技术之Dockerfile

作者: 柳厌之 | 来源:发表于2019-10-10 12:24 被阅读0次

    简介

    Dockerfile是一个文本格式的配置文件,用户可以使用Dockerfile来快速创建自定义的镜像。

    使用 Dockerfile 创建镜像

    基本结构

    Dockerfile由一行行命令语句组成,并且支持以#开头的注释行。
    一般而言,Dockerfile主体内容分为四部分:基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。

    主体部分首先使用FROM指令指明所基于的镜像名称,接下来一般是使用LABEL指令说明维护者信息。后面则是镜像操作指令,例如RUN指令将对镜像执行跟随的命令。每运行一条RUN指令,镜像添加新的一层,并提交。最后是CMD指令,来指定运行容器时的操作命令。

    指令说明

    Dockerfile中指令的一般格式为INSTRUCTION arguments,包括“配置指令”(配置镜像信息)和“操作指令”(具体执行操作):

    配置指令 操作指令

    配置指令

    1. ARG
      定义创建镜像过程中使用的变量。
      格式为ARG <name>[=<default value>]
      在执行docker build时,可以通过--build-arg list来为变量赋值。当镜像编译成功后,ARG指定的变量将不再存在(ENV指定的变量将在镜像中保留)。
      Docker内置了一些镜像创建变量,用户可以直接使用而无须声明,包括(不区分大小写)HTTP_PROXYHTTPS_PROXYFTP_PROXYNO_PROXY
      例如:ARG VERSION=9.3
    2. FROM
      指定所创建镜像的基础镜像。
      格式为FROM <image>[AS<name>]FROM <image>:<tag>[AS<name>]FROM <image>@<digest>[AS<name>]
      任何Dockerfile中第一条指令必须为FROM指令。并且,如果在同一个Dockerfile中创建多个镜像时,可以使用多个FROM指令(每个镜像一次)
      为了保证镜像精简,可以选用体积较小的镜像如AlpineDebian作为基础镜像。
      例如:FROM debian:stretch-slim
    3. LABEL
      LABEL指令可以为生成的镜像添加元数据标签信息。这些信息可以用来辅助过滤出特定镜像。
      格式为LABEL <key>=<value> <key>=<value> <key>=<value>……
      例如:LABEL version="1.0.0-rc3"
    4. EXPOSE
      声明镜像内服务监听的端口。
      格式为EXPOSE <port>[<port>/<protocol>……]
      例如:EXPOSE 22 80 8443
      注意该指令只是起到声明作用,并不会自动完成端口映射
      如果要映射端口出来,在启动容器时可以使用-P参数(Docker主机会自动分配一个宿主机的临时端口)或-p HOST_PORT:CONTAINER_PORT参数(具体指定所映射的本地端口)。
    5. ENV
      指定环境变量,在镜像生成过程中会被后续RUN指令使用,在镜像启动的容器中也会存在。
      格式为ENV <key> <value>ENV <key>=<value>……
      例如:ENV APP_VERSION=1.0.0ENV PATH $PATH:/usr/local/bin
      指令指定的环境变量在运行时可以被覆盖掉,如docker run --env <key>=<value> built_image
      注意当一条ENV指令中同时为多个环境变量赋值并且值也是从环境变量读取时,会为变量都赋值后再更新。例如,以下最终结果为key1=value1 key2=value2
    ENV key1=value2
    ENV key1=value1 key2=${key1}
    
    1. ENTRYPOINT
      指定镜像的默认入口命令,该入口命令会在启动容器时作为根命令执行,所有传入值作为该命令的参数。
      支持两种格式:
      ENTRYPOINT ["executable","param1","param2"]exec调用执行;
      ENTRYPOINT command param1 param2shell中执行。
      此时,CMD指令指定值将作为根命令的参数。
      每个Dockerfile中只能有一个ENTRYPOINT,当指定多个时,只有最后一个起效。
      在运行时,可以被--entrypoint参数覆盖掉,如docker run --entrypoint
    2. VOLUME
      创建一个数据卷挂载点。
      格式为VOLUME ["/data"]
      运行容器时可以从本地主机或其他容器挂载数据卷,一般用来存放数据库和需要保持的数据等。
    3. USER
      指定运行容器时的用户名或UID,后续的RUN等指令也会使用指定的用户身份。
      格式为USER daemon
      当服务不需要管理员权限时,可以通过该命令指定运行用户,并且可以在Dockerfile中创建所需要的用户。
    4. WORKDIR
      为后续的RUNCMDENTRYPOINT指令配置工作目录。
      格式为WORKDIR /path/to/workdir
      可以使用多个WORKDIR指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径。因此,为了避免出错,推荐WORKDIR指令中只使用绝对路径。
    5. ONBUILD
      指定当基于所生成镜像创建子镜像时,自动执行的操作指令。
      格式为ONBUILD [INSTRUCTION]
      使用docker build命令创建子镜像ChildImage时(FROM ParentImage),会首先执行ParentImage中配置的ONBUILD指令。由于ONBUILD指令是隐式执行的,推荐在使用它的镜像标签中进行标注。
    6. STOPSIGNAL
      指定所创建镜像启动的容器接收退出的信号值:
      STOPSIGNAL signal
    7. HEALTHCHECK
      配置所启动容器如何进行健康检查(如何判断健康与否),自Docker 1.12开始支持。
      格式有两种:
    • HEALTHCHECK [OPTIONS]CMD command:根据所执行命令返回值是否为0来判断;
    • HEALTHCHECK NONE:禁止基础镜像中的健康检查。
      OPTION支持如下参数:
    • -interval=DURATION(default:30s):过多久检查一次;
    • -timeout=DURATION(default:30s):每次检查等待结果的超时;
    • -retries=N(default:3):如果失败了,重试几次才最终确定失败。
    1. SHELL
      指定其他命令使用shell时的默认shell类型:
      SHELL ["executable", "parameters"]
      默认值为["/bin/sh","-c"]

    对于Windows系统,Shell路径中使用了“\”作为分隔符,建议在Dockerfile开头添加#escape='\'来指定转义符。

    操作指令

    1. RUN
      运行指定命令。
      格式为RUN <command>RUN ["executable","param1","param2"]。注意后者指令会被解析为JSON数组,因此必须用双引号。前者默认将在shell终端中运行命令,即/bin/sh -c;后者则使用exec执行,不会启动shell环境。
      指定使用其他终端类型可以通过第二种方式实现,例如RUN ["/bin/bash","-c","echo hello"]
      每条RUN指令将在当前镜像基础上执行指定命令,并提交为新的镜像层。当命令较长时可以使用\来换行。
    2. CMD
      CMD指令用来指定启动容器时默认执行的命令。
      支持三种格式:
    • CMD["executable","param1","param2"]:相当于执行executable param1 param2,推荐方式;
    • CMD command param1 param2:在默认的Shell中执行,提供给需要交互的应用;
    • CMD["param1","param2"]:提供给ENTRYPOINT的默认参数。
      每个Dockerfile只能有一条CMD命令。如果指定了多条命令,只有最后一条会被执行。
      如果用户启动容器时候手动指定了运行的命令(作为run命令的参数),则会覆盖掉CMD指定的命令。
    1. ADD
      添加内容到镜像。
      格式为ADD <src> <dest>
      该命令将复制指定的<src>路径下内容到容器中的<dest>路径下。
      其中<src>可以是Dockerfile所在目录的一个相对路径(文件或目录);也可以是一个URL;还可以是一个tar文件(自动解压为目录)<dest>可以是镜像内绝对路径,或者相对于工作目录(WORKDIR)的相对路径。
      路径支持正则格式,例如:ADD *.c /code/
    2. COPY
      复制内容到镜像。
      格式为COPY <src> <dest>
      复制本地主机的<src>(为Dockerfile所在目录的相对路径,文件或目录)下内容到镜像中的<dest>。目标路径不存在时,会自动创建。
      路径同样支持正则格式。
      COPYADD指令功能类似,当使用本地目录为源目录时,推荐使用COPY

    创建镜像

    命令格式

    编写完成Dockerfile之后,可以通过docker [image] build命令来创建镜像。
    命令格式为:docker build [OPTIONS] PATH | URL | -

    该命令将读取指定路径下(包括子目录)的Dockerfile,并将该路径下所有数据作为上下文(Context)发送给Docker服务端。Docker服务端在校验Dockerfile格式通过后,逐条执行其中定义的指令,碰到ADDCOPYRUN指令会生成一层新的镜像。最终如果创建镜像成功,会返回最终镜像的ID
    如果上下文过大,会导致发送大量数据给服务端,延缓创建过程。因此除非是生成镜像所必需的文件,不然不要放到上下文路径下。如果使用非上下文路径下的Dockerfile,可以通过-f选项来指定其路径( -f, --file string Name of the Dockerfile (Default is 'PATH/Dockerfile'))。
    要指定生成镜像的标签信息,可以通过-t选项。该选项可以重复使用多次为镜像一次添加多个名称(-t, --tag list Name and optionally a tag in the 'name:tag' format)。

    命令选项

    docker [image] build命令支持一系列的选项,可以调整创建镜像过程的行为。

    build 选项(上) build 选项(下)

    选择父镜像

    大部分情况下,生成新的镜像都需要通过FROM指令来指定父镜像。父镜像是生成镜像的基础,会直接影响到所生成镜像的大小和功能。
    用户可以选择两种镜像作为父镜像,一种是所谓的基础镜像(baseimage),另外一种是普通的镜像(往往由第三方创建,基于基础镜像)。
    基础镜像比较特殊,其Dockerfile中往往不存在FROM指令,或者基于scratch镜像(FROM scratch),这意味着其在整个镜像树中处于根的位置。

    使用 .dockerignore 文件

    可以通过.dockerignore文件(每一行添加一条匹配模式)来让Docker忽略匹配路径或文件,在创建镜像时候不将无关数据发送到服务端。

    例如下面的例子中包括了6行忽略的模式(第一行为注释):

    # .dockerignore 文件中可以定义忽略模式
    */temp* 
    */*/temp* 
    tmp?
    ~*
    Dockerfile
    !README.md
    

    ·dockerignore文件中模式语法支持Golang风格的路径正则格式:

    • “*”表示任意多个字符;
    • “?”代表单个字符;
    • “!”表示不匹配(即不忽略指定的路径或文件)。

    多步骤创建

    对于需要编译的应用(如C、Go或Java语言等)来说,通常情况下至少需要准备两个环境的Docker镜像:

    • 编译环境镜像:包括完整的编译引擎、依赖库等,往往比较庞大。作用是编译应用为二进制文件;
    • 运行环境镜像:利用编译好的二进制文件,运行应用,由于不需要编译环境,体积比较小。

    使用多步骤创建,可以在保证最终生成的运行环境镜像保持精简的情况下,使用单一的Dockerfile,降低维护复杂度。

    例如,创建Dockerfile,使用golang:1.9镜像编译应用二进制文件为app,使用精简的镜像alpine:latest作为运行环境。Dockerfile完整内容为:

    FROM golang:1.9 as builder # define stage name as builder
    RUN mkdir -p /go/src/test
    WORKDIR /go/src/test
    COPY main.go .
    RUN CGO_ENABLED=0 GOOS=linux go build -o app .
    FROM alpine:latest
    RUN apk --no-cache add ca-certificates
    WORKDIR /root/
    COPY --from=builder /go/src/test/app .# copy file from the builder stage
    CMD ["./app"]
    

    Tips

    • 使用.dockerignore文件:使用它可以标记在执行docker build时忽略的路径和文件,避免发送不必要的数据内容,从而加快整个镜像创建过程。
    • 及时删除临时文件和缓存文件:特别是在执行apt-get指令后,/var/cache/apt下面会缓存了一些安装包;
    • 减少镜像层数:如果希望所生成镜像的层数尽量少,则要尽量合并RUN、ADD和COPY指令。通常情况下,多个RUN指令可以合并为一条RUN指令;
    • 选用合适的基础镜像:容器的核心是应用。选择过大的父镜像(如Ubuntu系统镜像)会造成最终生成应用镜像的臃肿,推荐选用瘦身过的应用镜像(如node:slim),或者较为小巧的系统镜像(如alpine、busybox或debian);
    • 恰当使用多步骤创建(17.05+版本支持):通过多步骤创建,可以将编译和运行等过程分开,保证最终生成的镜像只包括运行应用所需要的最小化环境。当然,用户也可以通过分别构造编译镜像和运行镜像来达到类似的结果,但这种方式需要维护多个Dockerfile

    Dockerfile 小结

    要编写一个高质量的Dockerfile并不是一件容易的事情,需要不断地学习和实践。

    Cheat Sheet

    # Dockerfile 关键命令回顾
    ## 配置指令
    ARG <name>[=<default value>]  # 定义创建镜像过程中使用的变量,当镜像编译成功后,ARG指定的变量将不再存在
    FROM <image>:<tag>[AS<name>]  # 任何Dockerfile中第一条指令必须为FROM指令,指定所创建镜像的基础镜像
    LABEL <key>=<value> <key>=<value> <key>=<value>……  # 为生成的镜像添加元数据标签信息
    EXPOSE <port>[<port>/<protocol>……]  # 声明镜像内服务监听的端口
    ENV <key> <value>
    ENV <key>=<value>……  # 指定环境变量,在镜像生成过程中会被后续RUN指令使用,在镜像启动的容器中也会存在
    ENTRYPOINT ["executable","param1","param2"]  # exec调用执行,指定镜像的默认入口命令,该入口命令会在启动容器时作为根命令执行,所有传入值作为该命令的参数
    ENTRYPOINT command param1 param2  # shell中执行
    VOLUME ["/data"]  # 创建一个数据卷挂载点
    USER daemon  # 指定运行容器时的用户名或UID,后续的RUN等指令也会使用指定的用户身份
    WORKDIR /path/to/workdir  # 为后续的RUN、CMD、ENTRYPOINT指令配置工作目录,可以使用多个WORKDIR指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径
    ONBUILD [INSTRUCTION]  # 指定当基于所生成镜像创建子镜像时,自动执行的操作指令
    STOPSIGNAL signal  # 指定所创建镜像启动的容器接收退出的信号值
    HEALTHCHECK [OPTIONS]CMD command  # 根据所执行命令返回值是否为0来判断健康与否
    HEALTHCHECK NONE  # 禁止基础镜像中的健康检查
    SHELL ["executable", "parameters"]  # 指定其他命令使用shell时的默认shell类型,默认值为["/bin/sh","-c"]
    ## 操作指令
    RUN <command>  # 在shell终端中运行命令
    RUN ["executable","param1","param2"]  # 运行指定命令,使用exec执行
    CMD["executable","param1","param2"]  # 相当于执行executable param1 param2,每个Dockerfile只能有一条CMD命令
    CMD command param1 param2  # 在默认的Shell中执行
    CMD ["param1","param2"]  # 提供给ENTRYPOINT的默认参数
    ADD <src> <dest>  # 添加内容到镜像,比较强大
    COPY <src> <dest>  # 复制本地主机的<src>(为Dockerfile所在目录的相对路径,文件或目录)下内容到镜像中的<dest>,目标路径不存在时,会自动创建
    ## 创建镜像
    docker build [OPTIONS] PATH | URL | - 
    ## 使用 .dockerignore 文件
    ## 多步骤创建
    

    相关文章

      网友评论

        本文标题:Docker 技术之Dockerfile

        本文链接:https://www.haomeiwen.com/subject/uoknnqtx.html