文章目錄
一、前言
在上一篇文章中已經介紹了docker常用命令的講解, 下面正式進入到Dockerfile解析與鏡像製作。
二、Dockerfile解析
1、什麼是Dockerfile
Dockfile是一種被Docker程序解釋的腳本,是用來構建Docker鏡像的構建文件。Dockerfile是由一條一條的指令組成,每條指令對應Linux下面的一條命令,Docker程序將這些Dockerfile指令翻譯真正的Linux命令。Dockerfile有自己書寫格式和支持的命令,Docker程序解決這些命令間的依賴關係,類似於Makefile,Docker程序將讀取Dockerfile,根據指令生成定製的image。
2、Dockerfile構建三步驟
- 編寫Dockerfile文件
- 通過docker build 生成鏡像文件
- 通過docker run 運行鏡像文件,生成容器實例
3、Dockerfile的廬山面目
DockerHub上centos的Dockerfile如下所示:
FROM scratch ## 所有鏡像文件的祖先類
ADD centos-7-docker.tar.xz /
LABEL org.label-schema.schema-version="1.0" \
org.label-schema.name="CentOS Base Image" \
org.label-schema.vendor="CentOS" \
org.label-schema.license="GPLv2" \
org.label-schema.build-date="20181006"
CMD ["/bin/bash"]
4、Dockerfile構建過程解析
4.1、Dockerfile內容的基礎知識
- 每條
保留字指令
都必須爲大寫
且後面要跟隨至少一個參數 - 指令按照從上到下,順序執行
- #代表註釋
- 每條指令都會創建一個新的鏡像層,並對鏡像進行提交
4.2、Docker執行Dockerfile的大致流程
- docker從基礎鏡像運行一個容器
- 執行一條指令並對容器進行修改
- 執行類似docker commit的操作提交一個新的鏡像層
- 基於剛提交的鏡像運行一個新的容器
- 執行dockerfile中的下一條指令直到所有的指令都執行完
5、Dockerfile,Docker鏡像,Docker容器三者之間的關係
從應用軟件的角度來看,Dockerfile,Docker鏡像,Docker容器分別代表軟件的三個不同階段:
Dockerfile
是軟件的原材料Docker鏡像
是軟件的交付品Docker容器
則是軟件的運行態
Dockerfile面向開發,Docker鏡像成爲交付標準,Docker容器則涉及部署與運維,三者缺一不可,合力充當Docker體系的基石。
6、Dockerfile保留字講解
FROM
:基礎鏡像,當前鏡像是基於那個鏡像的,必須爲Dockerfile的第一個指令
格式:
FROM image
FROM image[:tag]
示例:
FROM mysql:5.6
注:
tag是可選的,如果不寫,則會默認使用latest版本的基礎鏡像
MAINTAINER
:鏡像維護者的姓名和郵箱地址
格式:
MAINTAINER name<email>
示例:
MAINTAINER Jasper Wu
MAINTAINER Jasper Wu<score@163.com>
RUN
:容器構建時需要運行的指令
RUN用於在鏡像容器中執行指令,其有以下兩種指令執行方式:
shell執行
格式:
RUN command
示例:
RUN yum -y install vim
exec執行
格式:
RUN ["executable", "param1", "param2"]
示例:
RUN ["/etc/execfile", "arg1", "arg1"]
注:
RUN指令創建的中間鏡像會被緩存,並會在下次構建中使用。如果不想使用這些緩存鏡像,可以在構建時指定--no-cache參數,如:docker build --no-cache
EXPOSE
:指定當前容器與外界交互的端口
格式:
EXPOSE port [port...]
示例:
EXPOSE 80 443
EXPOSE 8080
EXPOSE 11211/tcp 11211/udp
注:
EXPOSE並不會讓容器的端口訪問到主機。要使其可訪問,需要在docker run運行容器時通過-p來指定映射這些端口
WORKDIR
:創建容器後終端默認登錄進來的工作目錄,一個落腳點
格式:
WORKDIR /path/to/workdir
示例:
WORKDIR /a (這時工作目錄爲/a)
WORKDIR b (這時工作目錄爲/a/b)
WORKDIR c (這時工作目錄爲/a/b/c)
注:
通過WORKDIR設置工作目錄後,Dockerfile中其後的命令RUN、CMD、ENTRYPOINT、ADD、COPY等命令都會在該目錄下執行。在使用docker run運行容器時,可以通過-w參數覆蓋構建時所設置的工作目錄。
ENV
:用來在構建鏡像過程中設置環境變量
格式:
ENV key value #key之後的所有內容均會被視爲其value的組成部分,因此,一次只能設置一個變量
ENV key1=value1 key2=value2... #可以設置多個變量,每個變量爲一個"key=value"的鍵值對,如果key中包含空格,可以使用\來進行轉義,也可以通過""來進行標示;另外,反斜線\也可以用於續行
示例:
ENV MYPATH /usr/local
ENV MYPATH1=/usr1/local MYPATH2=/usr2/local \
MYPATH3=/usr3/local
ADD
:將本地文件添加到容器中,會自動處理url網絡資源
和 解壓tar類型文件
(網絡壓縮資源不會被解壓)
格式:
ADD src...dest
ADD ["src",... "dest"] 用於支持包含空格的路徑
示例:
ADD hom* /mydir/ # 添加所有以"hom"開頭的文件 到 /mydir/
ADD hom?.txt /mydir/ # ? 替代一個單字符,例如:"home.txt"
ADD test /relativeDir/ # 添加 "test" 到 `WORKDIR`/relativeDir/
ADD test.tar /absoluteDir/ # 自動解壓縮test.tar,並添加到 /absoluteDir/
COPY
:與類似ADD,拷貝文件和目錄到鏡像中。將從構建上下文目錄中 <源路徑> 的文件/目錄複製到新的一層的鏡像內的 <目標路徑> 位置,但是不會自動解壓文件,也不能訪問網絡資源
VOLUME
:容器數據卷,用於數據保存和持久化工作
格式:
VOLUME ["/path/to/dir"]
示例:
VOLUME ["/data"]
VOLUME ["/var/www", "/var/log/apache2", "/etc/apache2"
注:
一個卷可以存在於一個或多個容器的指定目錄,該目錄可以繞過聯合文件系統,並具有以下功能:
1、卷可以在容器間共享和重用
2、修改卷後會立即生效
3、對卷的修改不會對鏡像產生影響
4、卷會一直存在,直到沒有任何容器在使用它
CMD
:指定一個容器啓動時要運行的指令。Dockerfile 中可以有多個 CMD 指令,但只有最後一個生效
,CMD 會被 docker run 之後的參數給替換
格式:
CMD ["executable","param1","param2"] (執行可執行文件,優先)
CMD ["param1","param2"] (設置了ENTRYPOINT,則直接調用ENTRYPOINT添加參數)
CMD command param1 param2 (執行shell內部命令)
示例:
CMD echo "This is a test."
CMD ["catalina.sh","run"]
注:
CMD不同於RUN,CMD用於指定在容器啓動時所要執行的指令,而RUN用於指定鏡像構建時所要執行的指令。
ENTRYPOINT
:指定一個容器啓動時要運行的指令。ENTRYPOINT 的目的和 CMD 一樣,都是在指定容器啓動程序及參數,不同點是 docker run 之後的參數會被當做參數傳遞給ENTRYPOINT,形成新的命令組合
格式:
ENTRYPOINT ["executable", "param1", "param2"] (可執行文件, 優先)
ENTRYPOINT command param1 param2 (shell內部命令)
示例:
ENTRYPOINT ["top", "-b"]
注:
ENTRYPOINT與CMD非常類似,不同的是通過docker run執行的指令不會覆蓋ENTRYPOINT,而docker run指令中指定的任何參數,都會被當做參數再次傳遞給ENTRYPOINT。Dockerfile中只允許有一個ENTRYPOINT指令,多個ENTRYPOINT指令時會覆蓋前面的設置,而只執行最後的ENTRYPOINT指令。
ONBUILD
:當構建一個被繼承的Dockerfile時,該指令將被運行,即父鏡像在被子繼承後,父鏡像的onbuild將會被觸發
格式:
ONBUILD [INSTRUCTION]
示例:
ONBUILD RUN /usr/local/bin/python-build --dir /app/src
注:
當所構建的鏡像被用做其它鏡像當作基礎鏡像時,該鏡像中的觸發器將會被觸發
USER
:指定容器運行時的用戶名或 UID,後續的 RUN 也會使用指定用戶。使用USER指定用戶時,可以使用用戶名、UID或GID,或是兩者的組合。當服務不需要管理員權限時,可以通過該命令指定運行用戶。並且可以在之前創建所需要的用戶
格式:
USER user
USER user:group
USER uid
USER uid:gid
USER user:gid
USER uid:group
示例:
USER myuser
注:
使用USER指定用戶後,Dockerfile中其後的命令RUN、CMD、ENTRYPOINT都將使用該用戶。鏡像構建完成後,通過docker run運行容器時,可以通過-u參數來覆蓋所指定的用戶。
案例:編寫一個Nginx的Dockerfile
# This my first nginx Dockerfile
# Version 1.0
# Base images 基礎鏡像
FROM centos
#MAINTAINER 維護者信息
MAINTAINER lemon_bin<8426356@qq.com>
#ENV 設置環境變量
ENV PATH /usr/local/nginx/sbin:$PATH
ENV WORKPATH /usr/local/nginx-1.8.0
#ADD 文件放在當前目錄下,拷過去會自動解壓
ADD nginx-1.8.0.tar.gz /usr/local/
ADD epel-release-latest-7.noarch.rpm /usr/local/
#RUN 執行以下命令
RUN rpm -ivh /usr/local/epel-release-latest-7.noarch.rpm
RUN yum install -y wget lftp gcc gcc-c++ make openssl-devel pcre-devel pcre && yum clean all
RUN useradd -s /sbin/nologin -M www
#WORKDIR 相當於cd
WORKDIR $WORKPATH
RUN ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-pcre && make && make install
RUN echo "daemon off;" >> /etc/nginx.conf
#EXPOSE 映射端口
EXPOSE 80
#CMD 運行以下命令
CMD ["nginx"]
三、鏡像製作
方式一:通過Dockerfile使用docker build指令生成鏡像
docker build -f 宿主機中Dockerfile文件的絕對路徑 -t 新鏡像名稱[:版本號] .
方式二:通過使用docker commit指令生成鏡像
docker commit -m="提交的描述信息" -a="作者" 容器ID/容器名稱 要創建的目標鏡像名[:版本號]
案例:自定義生成一個無文檔的tomcat鏡像
1、從阿里雲上下拉一個tomcat鏡像並運行
2、瀏覽器訪問tomcat 和 Documenttation (tomcat文檔頁面)
3、進入到tomcat容器內,並刪除webapps目錄下的 docs目錄,再次訪問Documenttation (tomcat文檔頁面)
可以看到此時訪問Documenttation (tomcat文檔頁面),出現404
4、以此容器,執行docker commit指令,生成自定義無文檔的tomcat鏡像
docker commit -m="tomcat without docs" -a="lemon_bin" mytomcat new-tomcat
5、運行我們自定義的new-tomcat鏡像,並訪問Documenttation (tomcat文檔頁面)
可以看到Documenttation (tomcat文檔頁面) 已經不存在了,自定義無文檔的tomcat鏡像就做好了
慎用 docker commit
使用 docker commit 命令雖然可以比較直觀的幫助理解鏡像分層存儲的概念,但是實際環境中並不會這樣使用。因爲使用 docker commit 意味着所有對鏡像的操作都是黑箱操作
,生成的鏡像也被稱爲黑箱鏡像
,換句話說,就是除了製作鏡像的人知道執行過什麼命令、怎麼生成的鏡像,別人根本無從得知。而且,即使是這個製作鏡像的人,過一段時間後也無法記清具體在操作的。雖然 docker diff 或許可以告訴得到一些線索,但是遠遠不到可以確保生成一致鏡像的地步。這種黑箱鏡像的維護工作是非常痛苦的。而且,鏡像所使用的分層存儲,除當前層外,之前的每一層都是不會發生改變,換句話說,任何修改的結果僅僅是在當前層進行標記、添加、修改,而不會改動上一層
。如果使用 docker commit 製作鏡像,以及後期修改的話,每一次修改都會讓鏡像更加臃腫一次,所刪除的上一層的東西並不會丟失,會一直如影隨形的跟着這個鏡像,即使根本無法訪問到。這會讓鏡像更加臃腫。
Docker入門到實踐系列文章列表:
Docker入門到實踐 (一) docker簡介與安裝
Docker入門到實踐 (二) docker常用命令講解
Docker入門到實踐 (三) Dockerfile解析與鏡像製作
Docker入門到實踐 (四) docker容器數據卷與數據卷容器
Docker入門到實踐 (五) docker數據的備份、恢復與遷移
Docker入門到實踐 (六) docker常用軟件安裝
Docker入門到實踐 (七) 本地鏡像推送到阿里雲 和 下載鏡像到本地
Docker入門到實踐 (八) Docker私有倉庫的搭建與配置
Docker入門到實踐 (九) IDEA集成Docker構建容器鏡像,部署項目
如果有遇到不懂或者有問題時,可以掃描下方二維碼,歡迎進羣交流與分享,希望能夠跟大家交流學習!