1、容器鏡像
(1)特點
a、容器鏡像的構建者可以任意修改容器的文件系統後進行發佈,這種修改對於鏡像使用者來說是不透明的,鏡像構建者一般也不會將對容器文件系統的每一步修改,記錄進文檔中,供鏡像使用者參考。
b、容器鏡像不能(更準確地說是不建議)通過修改,生成新的容器鏡像。
從鏡像運行容器,實際上是在鏡像頂部上加了一層可寫層,所有對容器文件系統的修改,都在這一層中進行,不影響已經存在的層。比如在容器中刪除一個1G的文件,從用戶的角度看,容器中該文件已經沒有了,但從文件系統的角度看,文件其實還在,只不過在頂層中標記該文件已被刪除,當然這個標記爲已刪除的文件還會佔用鏡像空間。從容器構建鏡像,實際上是把容器的頂層固化到鏡像中。
也就是說, 對容器鏡像進行修改後,生成新的容器鏡像,會多一層,而且鏡像的體積只會增大,不會減小。長此以往,鏡像將變得越來越臃腫。Docker提供的 export 和 import 命令可以一定程度上處理該問題,但也並不是沒有缺點。
c、容器鏡像依賴的父鏡像變化時,容器鏡像必須進行重新構建。如果沒有編寫自動化構建腳本,而是手工構建的,那麼又要重新修改容器的文件系統,再進行構建
(2)普通容器鏡像構建步驟
- 創建一個容器,比如使用 tomcat:latest 鏡像創建一個tomcat-test容器
- 修改tomcat-test容器的文件系統,比如修改tomcat的server.xml文件中的默認端口
- 使用commit命令提交鏡像
2、Dockerfile鏡像
(1)特點
a、Dockerfile鏡像是完全透明的,所有用於構建鏡像的指令都可以通過Dockerfile看到。甚至你還可以遞歸找到本鏡像的任何父鏡像的構建指令。也就是說,你可以完全瞭解一個鏡像是如何從零開始,通過一條條指令構建出來的。
b、Dockerfile鏡像需要修改時,可以通過修改Dockerfile中的指令,再重新構建生成,沒有任何問題。
c、Dockerfile可以在GitHub等源碼管理網站上進行託管,DockerHub自動關聯源碼進行構建。當你的Dockerfile變動,或者依賴的父鏡像變動,都會觸發鏡像的自動構建,非常方便。
(2)使用Dockerfile構建容器鏡像步驟
- 編寫Dockerfile文件
- 使用build命令構建鏡像
例:定製一個nginx鏡像
(1)創建一個Dockerfile文件
注:圖中的Dockerfile文件中的內容:
FROM nginx
RUN echo '這是一個本地構建的nginx鏡像' > /usr/share/nginx/html/index.html
該Dockerfile的內容會使得構建好的鏡像內會有一個 /usr/share/nginx/html/index.html 文件
(2)FROM和RUN指令的作用
- FROM:定製的鏡像都是基於FROM的鏡像,這裏的 nginx 就是定製需要的基礎鏡像。
- RUN:用於執行後面跟着的命令行命令,有如下兩種格式:
shell格式:
(a)RUN <命令行命令>
# <命令行命令> 等同於,在終端操作的 shell 命令。
(b) exec 格式:
RUN ["可執行文件", "參數1", "參數2"]
# 例如:
# RUN ["./test.php", "dev", "offline"] 等價於 RUN ./test.php dev offline
注意:Dockerfile 的指令每執行一次都會在 docker 上新建一層。所以過多無意義的層,會造成鏡像膨脹過大。例如:
FROM centos
RUN yum install wget
RUN wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz"
RUN tar -xvf redis.tar.gz
以上執行會創建 3 層鏡像。可簡化爲以下格式:
FROM centos
RUN yum install wget \
&& wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz" \
&& tar -xvf redis.tar.gz
如上,以 && 符號連接命令,這樣執行後,只會創建 1 層鏡像。
(3)開始構建鏡像
在 Dockerfile 文件的存放目錄下,執行構建動作。以下示例,通過目錄下的 Dockerfile 構建一個 nginx:test(鏡像名稱:鏡像標籤),命令如下:
docker build -t [images]:[tag] [dockerfile path]
注:圖中的“.”代表當前目錄,即dockfile所在的目錄。由於 docker 的運行模式是 C/S。我們本機是 C,docker 引擎是 S。實際的構建過程是在 docker 引擎下完成的,所以這個時候無法用到我們本機的文件。這就需要把我們本機的指定目錄下的文件一起打包提供給 docker 引擎使用。如果未說明最後一個參數,那麼默認上下文路徑就是 Dockerfile 所在的位置。
注意:上下文路徑下不要放無用的文件,因爲會一起打包發送給 docker 引擎,如果文件過多會造成過程緩慢。
3、指令詳解
COPY
複製指令,從上下文目錄中複製文件或者目錄到容器裏指定路徑。
格式:
COPY [--chown=<user>:<group>] <源路徑1>... <目標路徑>
COPY [--chown=<user>:<group>] ["<源路徑1>",... "<目標路徑>"]
[--chown=<user>:<group>]:可選參數,用戶改變複製到容器內文件的擁有者和屬組。
<源路徑>:源文件或者源目錄,這裏可以是通配符表達式,其通配符規則要滿足 Go 的 filepath.Match 規則。例如:
COPY hom* /mydir/
COPY hom?.txt /mydir/
<目標路徑>:容器內的指定路徑,該路徑不用事先建好,路徑不存在的話,會自動創建。
ADD
ADD 指令和 COPY 的使用格式一致(同樣需求下,官方推薦使用 COPY)。功能也類似,不同之處如下:
ADD 的優點:在執行 <源文件> 爲 tar 壓縮文件的話,壓縮格式爲 gzip, bzip2 以及 xz 的情況下,會自動複製並解壓到 <目標路徑>。
ADD 的缺點:在不解壓的前提下,無法複製 tar 壓縮文件。會令鏡像構建緩存失效,從而可能會令鏡像構建變得比較緩慢。具體是否使用,可以根據是否需要自動解壓來決定。
CMD
類似於 RUN 指令,用於運行程序,但二者運行的時間點不同:
CMD 在docker run 時運行。
RUN 是在 docker build。
作用:爲啓動的容器指定默認要運行的程序,程序運行結束,容器也就結束。CMD 指令指定的程序可被 docker run 命令行參數中指定要運行的程序所覆蓋。
注意:如果 Dockerfile 中如果存在多個 CMD 指令,僅最後一個生效。
格式:
CMD <shell 命令>
CMD ["<可執行文件或命令>","<param1>","<param2>",...]
CMD ["<param1>","<param2>",...] # 該寫法是爲 ENTRYPOINT 指令指定的程序提供默認參數
推薦使用第二種格式,執行過程比較明確。第一種格式實際上在運行的過程中也會自動轉換成第二種格式運行,並且默認可執行文件是 sh。
ENTRYPOINT
類似於 CMD 指令,但其不會被 docker run 的命令行參數指定的指令所覆蓋,而且這些命令行參數會被當作參數送給 ENTRYPOINT 指令指定的程序。但是, 如果運行 docker run 時使用了 --entrypoint 選項,此選項的參數可當作要運行的程序覆蓋 ENTRYPOINT 指令指定的程序。
優點:在執行 docker run 的時候可以指定 ENTRYPOINT 運行所需的參數。
注意:如果 Dockerfile 中如果存在多個 ENTRYPOINT 指令,僅最後一個生效。
格式:
ENTRYPOINT ["<executeable>","<param1>","<param2>",...]
可以搭配 CMD 命令使用:一般是變參纔會使用 CMD ,這裏的 CMD 等於是在給 ENTRYPOINT 傳參,以下示例會提到。
示例:
假設已通過 Dockerfile 構建了 nginx:test 鏡像:
FROM nginx
ENTRYPOINT ["nginx", "-c"] # 定參
CMD ["/etc/nginx/nginx.conf"] # 變參
1、不傳參運行
$ docker run nginx:test
容器內會默認運行以下命令,啓動主進程。
nginx -c /etc/nginx/nginx.conf
2、傳參運行
$ docker run nginx:test -c /etc/nginx/new.conf
容器內會默認運行以下命令,啓動主進程(/etc/nginx/new.conf:假設容器內已有此文件)
nginx -c /etc/nginx/new.conf
ENV
設置環境變量,定義了環境變量,那麼在後續的指令中,就可以使用這個環境變量。
格式:
ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...
以下示例設置 NODE_VERSION = 7.2.0 , 在後續的指令中可以通過 $NODE_VERSION 引用:
ENV NODE_VERSION 7.2.0
RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
&& curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc"
ARG
構建參數,與 ENV 作用一至。不過作用域不一樣。ARG 設置的環境變量僅對 Dockerfile 內有效,也就是說只有 docker build 的過程中有效,構建好的鏡像內不存在此環境變量。
構建命令 docker build 中可以用 --build-arg <參數名>=<值> 來覆蓋。
格式:
ARG <參數名>[=<默認值>]
VOLUME
定義匿名數據卷。在啓動容器時忘記掛載數據卷,會自動掛載到匿名卷。
作用:避免重要的數據,因容器重啓而丟失,這是非常致命的。
避免容器不斷變大。
格式:
VOLUME ["<路徑1>", "<路徑2>"...]
VOLUME <路徑>
在啓動容器 docker run 的時候,我們可以通過 -v 參數修改掛載點。
EXPOSE
僅僅只是聲明端口。
作用:幫助鏡像使用者理解這個鏡像服務的守護端口,以方便配置映射。在運行時使用隨機端口映射時,也就是 docker run -P 時,會自動隨機映射 EXPOSE 的端口。
格式:
EXPOSE <端口1> [<端口2>...]
WORKDIR
指定工作目錄。用 WORKDIR 指定的工作目錄,會在構建鏡像的每一層中都存在。(WORKDIR 指定的工作目錄,必須是提前創建好的)。
docker build 構建鏡像過程中的,每一個 RUN 命令都是新建的一層。只有通過 WORKDIR 創建的目錄纔會一直存在。
格式:
WORKDIR <工作目錄路徑>
USER
用於指定執行後續命令的用戶和用戶組,這邊只是切換後續命令執行的用戶(用戶和用戶組必須提前已經存在)。
格式:
USER <用戶名>[:<用戶組>]
HEALTHCHECK
用於指定某個程序或者指令來監控 docker 容器服務的運行狀態。
格式:
HEALTHCHECK [選項] CMD <命令>:設置檢查容器健康狀況的命令
HEALTHCHECK NONE:如果基礎鏡像有健康檢查指令,使用這行可以屏蔽掉其健康檢查指令
HEALTHCHECK [選項] CMD <命令> : 這邊 CMD 後面跟隨的命令使用,可以參考 CMD 的用法。
ONBUILD
用於延遲構建命令的執行。簡單的說,就是 Dockerfile 裏用 ONBUILD 指定的命令,在本次構建鏡像的過程中不會執行(假設鏡像爲 test-build)。當有新的 Dockerfile 使用了之前構建的鏡像 FROM test-build ,這是執行新鏡像的 Dockerfile 構建時候,會執行 test-build 的 Dockerfile 裏的 ONBUILD 指定的命令。
格式:
ONBUILD <其它指令>
參考:https://www.runoob.com/docker/docker-dockerfile.html