Dockerfile
Docker 可以通过读取 Dockerfile 中的指令自动构建镜像。Dockerfile 是一个文本文档,其中包含了用户创建镜像的所有命令和说明。
一、变量要点
- 变量用 $variable_name 或者 ${variable_name} 表示。
- ${variable:-word} 表示如果 variable 设置,则结果将是该值。如果 variable 未设置,word 则将是结果。
- ${variable:+word} 表示如果 variable 设置则为 word 结果,否则为空字符串。
变量前加 \ 可以转义成普通字符串:\$foo 或者 \${foo},表示转换为 $foo 和 ${foo} 文字。
二、FROM 指令
初始化基础镜像(以哪个镜像为基础,继续构建新的镜像)
FROM [--platform=<platform>] <image> [AS <name>]
FROM [--platform=<platform>] <image>[:<tag>] [AS <name>]
FROM [--platform=<platform>] <image>[@<digest>] [AS <name>]
-
单个 Dockfile 可以多次出现 FROM,以使用之前的构建阶段作为另一个构建阶段的依赖项
-
AS name 表示为构建阶段命名,在后续 FROM 和 COPY --from= 说明中可以使用这个名词,引用此阶段构建的映像
-
digest 其实就是就是根据镜像内容产生的一个 ID,只要镜像的内容不变 digest 也不会变
-
tag 或 digest 值是可选的。如果您省略其中任何一个,构建器默认使用一个 latest 标签。如果找不到该 tag 值,构建器将返回错误。
-
–platform 标志可用于在 FROM 引用多平台镜像的情况下指定平台。例如,linux/amd64、linux/arm64、 或 windows/amd64。
三、RUN指令
- 在当前镜像之上的新层中执行命令,并创建新层
在 docker build 时运行
RUN /bin/bash -c 'source $HOME/.bashrc; \
echo $HOME'
RUN 有两种语法形式:
- RUN <command>(shell 形式),命令在 shell 中运行
- 在 Linux (默认),通过bash执行(/bin/sh -c )
- 在Windows 上,通过ODS执行(cmd /S /C )
- RUN [“executable”, “param1”, “param2”](执行形式)
- 可以使用 \(反斜杠)将单个 RUN 指令延续到下一行
- RUN 在下一次构建期间,指令缓存
不会自动失效。可以使用 --no-cache 标志使指令缓存无效Dockerfile 的指令每执行一次都会在 Docker 上新建一层。所以过多无意义的层,会造成镜像膨胀过大,可以使用 && 符号连接命令,这样执行后,只会创建 1 层镜像
四、CMD 指令
- 运行程序
- 在 docker run 时运行
不同于RUN指令,RUN 是在 docker build 时运行。
FROM ubuntu
CMD ["/usr/bin/wc","--help"]
CMD 有三种语法形式:
- CMD [“executable”,“param1”,“param2”] 使用 exec 执行,推荐方式;
- CMD command param1 param2 在 /bin/sh 中执行,提供给需要交互的应用;
- CMD [“param1”,“param2”] 提供给 ENTRYPOINT 的默认参数
- 指定启动容器时执行的命令,每个 Dockerfile 只能有一条 CMD 命令。
- 如果指定了多条命令,只有最后一条会被执行;
- 如果用户启动容器时候指定了运行的命令,则会覆盖掉 CMD 指定的命令。
五、LABEL 添加元数据
LABEL multi.label1="value1" \
multi.label2="value2" \
other="value3"
六、EXPOSE 侦听端口
EXPOSE <port> [<port>/<protocol>...]
Docker 容器在运行时侦听指定的网络端口。可以指定端口是监听TCP还是UDP,如果不指定协议,默认为TCP。
该 EXPOSE 指令实际上并未发布端口。要在运行容器时实际发布端口,docker run -P 来发布和映射一个或多个端口。
默认情况下,EXPOSE 假定 TCP。您还可以指定 UDP:
EXPOSE 80/udp
七、 ENV 环境变量
ENV <key>=<value> ...
- 设置的环境变量将持续存在,不仅存在于后续指令中,甚至是创建的镜像中,也会存在于基于该镜像的容器中
- 您可以使用 docker inspect 来查看
- 使用 docker run --env = 来更改环境变量的值
如果环境变量只在构建期间需要,请考虑为单个命令设置一个值:
RUN DEBIAN_FRONTEND=noninteractive apt-get update && apt-get install -y ...
或者使用 ARG,它不会保留在最终镜像中:
ARG DEBIAN_FRONTEND=noninteractive
RUN apt-get update && apt-get install -y ...
八、 COPY 指令
- 基本语法
COPY [--chown=<user>:<group>] <源路径>... <目标路径>
COPY [--chown=<user>:<group>] ["<源路径1>",... "<目标路径>"]
- 解释
(1)COPY指令将从构建上下文目录中 <源路径> 的文件/目录复制到新的一层的镜像内的 <目标路径> 位置 。比如:
COPY package.json /usr/src/app/
如果源路径为文件夹,复制的时候不是直接复制该文件夹,而是将文件夹中的内容复制到目标路径。
(2)<源路径> 可以是多个,甚至可以是通配符,其通配符规则要满足 Go 的 filepath.Match 规则,如:
COPY hom* /mydir/
COPY hom?.txt /mydir/
(3)<目标路径> 可以是容器内的绝对路径,也可以是相对于工作目录的相对路径(工作目录可以用 WORKDIR 指令来指定)。目标路径不需要事先创建,如果目录不存在会在复制文件前先行创建缺失目录。
此外,还需要注意一点,使用 COPY 指令,源文件的各种元数据都会保留。比如读、写、执行权限、文件变更时间等。这个特性对于镜像定制很有用。特别是构建相关文件都在使用 Git 进行管理的时候。
在使用该指令的时候还可以加上--chown=<user>:<group>选项来改变文件的所属用户及所属组。
COPY --chown=55:mygroup files* /mydir/
COPY --chown=bin files* /mydir/
COPY --chown=1 files* /mydir/
COPY --chown=10:11 files* /mydir/
COPY 使用具体事项
- 源路径可以有多个
- 源路径是相对于执行build的相对路径
- 源路径如果是本地路径,必须是build上下文中的路径
- 源路径如果是一个目录,则该目录下的所有内容都将被加入到容器,但是该目录本身不会
- 目标路径必须是绝对路径,或相对于WORKDIR的相对路径
- 目标路径如果不存在,则会创建相应的完整路径
- 目标路径如果不是一个文件,则必须使用/结束
- 路径中可以使用通配符
九、ADD 指令
ADD 指令和 COPY 的格式和性质基本一致。
根据Docker 最佳实践的说明,除非需要解压缩功能,否则要尽可能的使用 COPY 指令,因为 COPY 的语义很明确,就是复制文件而已。
如果 <源路径> 为一个 tar 压缩文件的话,压缩格式为 gzip, bzip2 以及 xz 的情况下,ADD 指令将会自动解压缩这个压缩文件到 <目标路径> 去。
FROM scratch
ADD ubuntu-xenial-core-cloudimg-amd64-root.tar.gz /
使用示例:Dockerfile构建Hadoop镜像
FROM chegva.com/online/sre-centos7-base-v2:stable
MAINTAINER anzhihe <anzhihe@xx.com>
#ENV HADOOP_USER_NAME=chegva_arch \
# HADOOP_USER_PASSWORD=xxx
RUN rm -f /var/lib/rpm/__db* && rpm --rebuilddb \
&& yum install -y --enablerepo=chegva_hadoop chegva-hive-nmg \
&& yum install -y --enablerepo=chegva_hadoop chegva-hadoop-nmg \
&& yum clean all && useradd -m chegva_arch
#添加ssh认证文件
COPY ssh /home/chegva/.ssh/
COPY ssh /home/chegva_arch/.ssh/
RUN echo "export HADOOP_USER_NAME=chegva_arch" >> /etc/profile \
&& echo "export HADOOP_USER_PASSWORD=xxx" >> /etc/profile \
&& chown -R chegva.chegva /home/chegva && chmod 700 /home/chegva/.ssh \
&& chmod 600 /home/chegva/.ssh/{id_rsa,authorized_keys} \
&& chown -R chegva_arch.chegva_arch /home/chegva_arch && chmod 700 /home/chegva_arch/.ssh \
&& chmod 600 /home/chegva_arch/.ssh/{id_rsa,authorized_keys}
# 文件目录
# ├── Dockerfile
# └── ssh
# ├── authorized_keys
# ├── id_rsa
# └── id_rsa.pub
十、 ENTRYPOINT 指令
ENTRYPOINT 和 CMD 一样,都是在指定容器启动程序及参数,不过它不会被 docker run 的命令行参数指定的指令所覆盖。
如果要覆盖的话,需要通过 docker run --entrypoint 来指定。
它有2种格式:
ENTRYPOINT ["executable", "param1", "param2"]
ENTRYPOINT command param1 param2
指定了 ENTRYPOINT 后, CMD 的内容作为参数传给 ENTRYPOINT 指令,实际执行时,将变为:
<ENTRYPOINT> <CMD>
十一、VOLUME 指令
创建一个具有指定名称的挂载数据卷。
VOLUME ["/var/log/"]
VOLUME /var/log
它的主要作用是:
-
避免重要的数据,因容器重启而丢失
-
避免容器不断变大
十二、ARG 指令
定义变量,与 ENV 作用相同,不过 ARG 变量不会像 ENV 变量那样持久化到构建好的镜像中,仅影响构建过程中,后续的指令。
ARG <name>[=<default value>]
Docker 有一组预定义的 ARG 变量,您可以在 Dockerfile 中没有相应指令的情况下使用这些变量。
-
HTTP_PROXY
-
http_proxy
-
HTTPS_PROXY
-
https_proxy
-
FTP_PROXY
-
ftp_proxy
-
NO_PROXY
-
no_proxy
要使用这些,请使用 --build-arg 标志在命令行上传递它们,例如:
docker build --build-arg HTTPS_PROXY=https://my-proxy.example.com .
十三、ONBUILD
将一个触发指令添加到镜像中,以便稍后在该镜像用作另一个构建的基础时执行。也就是另外一个 dockerfile FROM 了这个镜像的时候执行。
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src
十四、SHELL
- 覆盖用于命令的 shell 形式的默认 shell。
- Linux 上的默认 shell 是 ["/bin/sh", “-c”],
- Windows 上是 [“cmd”, “/S”, “/C”]。
SHELL ["executable", "parameters"]
该 SHELL 指令在 Windows 上特别有用,因为 Windows 有两种常用且截然不同的本机 SHELL:cmd 和 powershell,以及可用的备用 shell,包括 sh。该 SHELL 指令可以出现多次。每条 SHELL 指令都会覆盖所有先前的 SHELL 指令,并影响所有后续指令。
十五、WORKDIR
-
工作目录,如果 WORKDIR 不存在,即使它没有在后续 Dockerfile 指令中使用,它也会被创建。
-
docker build 构建镜像过程中,每一个 RUN 命令都会新建一层。只有通过 WORKDIR 创建的目录才会一直存在。
-
可以设置多个 WORKDIR,如果提供了相对路径,它将相对于前一条 WORKDIR 指令的路径。例如:
WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd
# 最终 pwd 命令的输出是 /a/b/c。
该 WORKDIR 指令可以解析先前使用 ENV,例如:
ENV DIRPATH=/path
WORKDIR $DIRPATH/$DIRNAME
RUN pwd
# 最终 pwd 命令的输出是 /path/$DIRNAME。