Docker入門到實踐 (三) Dockerfile解析與鏡像製作

---

一、前言

  在上一篇文章中已經介紹了docker常用命令的講解, 下面正式進入到Dockerfile解析與鏡像製作。

二、Dockerfile解析

1、什麼是Dockerfile

  Dockfile是一種被Docker程序解釋的腳本，是用來構建Docker鏡像的構建文件。Dockerfile是由一條一條的指令組成，每條指令對應Linux下面的一條命令，Docker程序將這些Dockerfile指令翻譯真正的Linux命令。Dockerfile有自己書寫格式和支持的命令，Docker程序解決這些命令間的依賴關係，類似於Makefile，Docker程序將讀取Dockerfile，根據指令生成定製的image。

2、Dockerfile構建三步驟

1. 編寫Dockerfile文件
2. 通過docker build 生成鏡像文件
3. 通過docker run 運行鏡像文件，生成容器實例
   
   

3、Dockerfile的廬山面目

DockerHub上centos的Dockerfile如下所示：

FROM scratch   ## 所有鏡像文件的祖先類
ADD centos-7-docker.tar.xz /
 
LABEL org.label-schema.schema-version="1.0" \
    org.label-schema.name="CentOS Base Image" \
    org.label-schema.vendor="CentOS" \
    org.label-schema.license="GPLv2" \
    org.label-schema.build-date="20181006"
 
CMD ["/bin/bash"]

4、Dockerfile構建過程解析

4.1、Dockerfile內容的基礎知識

• 每條保留字指令都必須爲大寫且後面要跟隨至少一個參數
• 指令按照從上到下，順序執行
• #代表註釋
• 每條指令都會創建一個新的鏡像層，並對鏡像進行提交
  
  

4.2、Docker執行Dockerfile的大致流程

1. docker從基礎鏡像運行一個容器
2. 執行一條指令並對容器進行修改
3. 執行類似docker commit的操作提交一個新的鏡像層
4. 基於剛提交的鏡像運行一個新的容器
5. 執行dockerfile中的下一條指令直到所有的指令都執行完
   
   

5、Dockerfile，Docker鏡像，Docker容器三者之間的關係

  從應用軟件的角度來看，Dockerfile，Docker鏡像，Docker容器分別代表軟件的三個不同階段：

• Dockerfile是軟件的原材料
• Docker鏡像是軟件的交付品
• Docker容器則是軟件的運行態

Dockerfile面向開發，Docker鏡像成爲交付標準，Docker容器則涉及部署與運維，三者缺一不可，合力充當Docker體系的基石。

6、Dockerfile保留字講解

FROM：基礎鏡像，當前鏡像是基於那個鏡像的，必須爲Dockerfile的第一個指令

格式：
　　FROM image
　　FROM image[:tag]
示例：
　　FROM mysql:5.6
注：
　　tag是可選的，如果不寫，則會默認使用latest版本的基礎鏡像

MAINTAINER：鏡像維護者的姓名和郵箱地址

格式：
　　MAINTAINER name<email>
示例：
   MAINTAINER Jasper Wu
   MAINTAINER Jasper Wu<score@163.com>

RUN：容器構建時需要運行的指令

RUN用於在鏡像容器中執行指令，其有以下兩種指令執行方式：

shell執行
格式：
    RUN command
示例：
    RUN yum -y install vim
    
exec執行
格式：
    RUN ["executable", "param1", "param2"]
示例： 
    RUN ["/etc/execfile", "arg1", "arg1"]
注：
　　RUN指令創建的中間鏡像會被緩存，並會在下次構建中使用。如果不想使用這些緩存鏡像，可以在構建時指定--no-cache參數，如：docker build --no-cache

EXPOSE：指定當前容器與外界交互的端口

格式：
    EXPOSE port [port...]
示例：
    EXPOSE 80 443
    EXPOSE 8080
    EXPOSE 11211/tcp 11211/udp
注：
　　EXPOSE並不會讓容器的端口訪問到主機。要使其可訪問，需要在docker run運行容器時通過-p來指定映射這些端口

WORKDIR：創建容器後終端默認登錄進來的工作目錄，一個落腳點

格式：
    WORKDIR /path/to/workdir
示例：
    WORKDIR /a  (這時工作目錄爲/a)
    WORKDIR b   (這時工作目錄爲/a/b)
    WORKDIR c   (這時工作目錄爲/a/b/c)
注：
　　通過WORKDIR設置工作目錄後，Dockerfile中其後的命令RUN、CMD、ENTRYPOINT、ADD、COPY等命令都會在該目錄下執行。在使用docker run運行容器時，可以通過-w參數覆蓋構建時所設置的工作目錄。

ENV：用來在構建鏡像過程中設置環境變量

格式：
    ENV key value  #key之後的所有內容均會被視爲其value的組成部分，因此，一次只能設置一個變量
    ENV key1=value1 key2=value2...  #可以設置多個變量，每個變量爲一個"key=value"的鍵值對，如果key中包含空格，可以使用\來進行轉義，也可以通過""來進行標示；另外，反斜線\也可以用於續行
示例：
    ENV MYPATH /usr/local
    ENV MYPATH1=/usr1/local MYPATH2=/usr2/local \
        MYPATH3=/usr3/local

ADD：將本地文件添加到容器中，會自動處理url網絡資源和 解壓tar類型文件(網絡壓縮資源不會被解壓)

格式：
    ADD src...dest
    ADD ["src",... "dest"] 用於支持包含空格的路徑
示例：
    ADD hom* /mydir/              # 添加所有以"hom"開頭的文件 到 /mydir/
    ADD hom?.txt /mydir/          # ? 替代一個單字符,例如："home.txt"
    ADD test /relativeDir/        # 添加 "test" 到 `WORKDIR`/relativeDir/
    ADD test.tar /absoluteDir/    # 自動解壓縮test.tar，並添加到 /absoluteDir/

COPY：與類似ADD，拷貝文件和目錄到鏡像中。將從構建上下文目錄中 <源路徑> 的文件/目錄複製到新的一層的鏡像內的 <目標路徑> 位置，但是不會自動解壓文件，也不能訪問網絡資源

VOLUME：容器數據卷，用於數據保存和持久化工作

格式：
    VOLUME ["/path/to/dir"]
示例：
    VOLUME ["/data"]
    VOLUME ["/var/www", "/var/log/apache2", "/etc/apache2"
注：
一個卷可以存在於一個或多個容器的指定目錄，該目錄可以繞過聯合文件系統，並具有以下功能：
1、卷可以在容器間共享和重用
2、修改卷後會立即生效
3、對卷的修改不會對鏡像產生影響
4、卷會一直存在，直到沒有任何容器在使用它

CMD：指定一個容器啓動時要運行的指令。Dockerfile 中可以有多個 CMD 指令，但只有最後一個生效，CMD 會被 docker run 之後的參數給替換

格式：
    CMD ["executable","param1","param2"] (執行可執行文件，優先)
    CMD ["param1","param2"] (設置了ENTRYPOINT，則直接調用ENTRYPOINT添加參數)
    CMD command param1 param2 (執行shell內部命令)
示例：
    CMD echo "This is a test."
    CMD ["catalina.sh","run"]
注：
 　　CMD不同於RUN，CMD用於指定在容器啓動時所要執行的指令，而RUN用於指定鏡像構建時所要執行的指令。

ENTRYPOINT：指定一個容器啓動時要運行的指令。ENTRYPOINT 的目的和 CMD 一樣，都是在指定容器啓動程序及參數，不同點是 docker run 之後的參數會被當做參數傳遞給ENTRYPOINT，形成新的命令組合

格式：
    ENTRYPOINT ["executable", "param1", "param2"] (可執行文件, 優先)
    ENTRYPOINT command param1 param2 (shell內部命令)
示例：
    ENTRYPOINT ["top", "-b"]
注：
　　　ENTRYPOINT與CMD非常類似，不同的是通過docker run執行的指令不會覆蓋ENTRYPOINT，而docker run指令中指定的任何參數，都會被當做參數再次傳遞給ENTRYPOINT。Dockerfile中只允許有一個ENTRYPOINT指令，多個ENTRYPOINT指令時會覆蓋前面的設置，而只執行最後的ENTRYPOINT指令。

ONBUILD：當構建一個被繼承的Dockerfile時，該指令將被運行，即父鏡像在被子繼承後，父鏡像的onbuild將會被觸發

格式：
　　ONBUILD [INSTRUCTION]
示例：
　　ONBUILD RUN /usr/local/bin/python-build --dir /app/src
注：
　　當所構建的鏡像被用做其它鏡像當作基礎鏡像時，該鏡像中的觸發器將會被觸發

USER：指定容器運行時的用戶名或 UID，後續的 RUN 也會使用指定用戶。使用USER指定用戶時，可以使用用戶名、UID或GID，或是兩者的組合。當服務不需要管理員權限時，可以通過該命令指定運行用戶。並且可以在之前創建所需要的用戶

格式:
　　USER user
　　USER user:group
　　USER uid
　　USER uid:gid
　　USER user:gid
　　USER uid:group
 示例：
    　　USER myuser
 注：
　　使用USER指定用戶後，Dockerfile中其後的命令RUN、CMD、ENTRYPOINT都將使用該用戶。鏡像構建完成後，通過docker run運行容器時，可以通過-u參數來覆蓋所指定的用戶。

案例：編寫一個Nginx的Dockerfile

# This my first nginx Dockerfile
# Version 1.0

# Base images 基礎鏡像
FROM centos

#MAINTAINER 維護者信息
MAINTAINER lemon_bin<8426356@qq.com>

#ENV 設置環境變量
ENV PATH /usr/local/nginx/sbin:$PATH
ENV WORKPATH /usr/local/nginx-1.8.0

#ADD  文件放在當前目錄下，拷過去會自動解壓
ADD nginx-1.8.0.tar.gz /usr/local/  
ADD epel-release-latest-7.noarch.rpm /usr/local/  

#RUN 執行以下命令 
RUN rpm -ivh /usr/local/epel-release-latest-7.noarch.rpm
RUN yum install -y wget lftp gcc gcc-c++ make openssl-devel pcre-devel pcre && yum clean all
RUN useradd -s /sbin/nologin -M www

#WORKDIR 相當於cd
WORKDIR $WORKPATH 

RUN ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-pcre && make && make install

RUN echo "daemon off;" >> /etc/nginx.conf

#EXPOSE 映射端口
EXPOSE 80

#CMD 運行以下命令
CMD ["nginx"]

三、鏡像製作

方式一：通過Dockerfile使用docker build指令生成鏡像

docker build -f 宿主機中Dockerfile文件的絕對路徑 -t 新鏡像名稱[:版本號] .

方式二：通過使用docker commit指令生成鏡像

docker commit -m="提交的描述信息" -a="作者" 容器ID/容器名稱 要創建的目標鏡像名[:版本號]

案例：自定義生成一個無文檔的tomcat鏡像

1、從阿里雲上下拉一個tomcat鏡像並運行

2、瀏覽器訪問tomcat 和 Documenttation (tomcat文檔頁面)

3、進入到tomcat容器內，並刪除webapps目錄下的 docs目錄，再次訪問Documenttation (tomcat文檔頁面)

可以看到此時訪問Documenttation (tomcat文檔頁面)，出現404

4、以此容器，執行docker commit指令，生成自定義無文檔的tomcat鏡像

docker commit -m="tomcat without docs" -a="lemon_bin" mytomcat new-tomcat

5、運行我們自定義的new-tomcat鏡像，並訪問Documenttation (tomcat文檔頁面)

可以看到Documenttation (tomcat文檔頁面) 已經不存在了，自定義無文檔的tomcat鏡像就做好了

慎用 docker commit

    使用 docker commit 命令雖然可以比較直觀的幫助理解鏡像分層存儲的概念，但是實際環境中並不會這樣使用。因爲使用 docker commit 意味着所有對鏡像的操作都是黑箱操作，生成的鏡像也被稱爲黑箱鏡像，換句話說，就是除了製作鏡像的人知道執行過什麼命令、怎麼生成的鏡像，別人根本無從得知。而且，即使是這個製作鏡像的人，過一段時間後也無法記清具體在操作的。雖然 docker diff 或許可以告訴得到一些線索，但是遠遠不到可以確保生成一致鏡像的地步。這種黑箱鏡像的維護工作是非常痛苦的。而且，鏡像所使用的分層存儲，除當前層外，之前的每一層都是不會發生改變，換句話說，任何修改的結果僅僅是在當前層進行標記、添加、修改，而不會改動上一層。如果使用 docker commit 製作鏡像，以及後期修改的話，每一次修改都會讓鏡像更加臃腫一次，所刪除的上一層的東西並不會丟失，會一直如影隨形的跟着這個鏡像，即使根本無法訪問到。這會讓鏡像更加臃腫。

Docker入門到實踐系列文章列表：

Docker入門到實踐 (一) docker簡介與安裝
Docker入門到實踐 (二) docker常用命令講解
Docker入門到實踐 (三) Dockerfile解析與鏡像製作
Docker入門到實踐 (四) docker容器數據卷與數據卷容器
Docker入門到實踐 (五) docker數據的備份、恢復與遷移
Docker入門到實踐 (六) docker常用軟件安裝
Docker入門到實踐 (七) 本地鏡像推送到阿里雲 和 下載鏡像到本地
Docker入門到實踐 (八) Docker私有倉庫的搭建與配置
Docker入門到實踐 (九) IDEA集成Docker構建容器鏡像，部署項目

                   如果有遇到不懂或者有問題時，可以掃描下方二維碼，歡迎進羣交流與分享，希望能夠跟大家交流學習！