Docker实战(六)之使用Dockerfile创建镜像

Dockervile是一个文本格式的配置文件，用户可以使用Dockerfile来快速创建自定义镜像。

1.基本结构

Dockerfile由一行行命令语句组成，并且支持以#开头的注释行。

一般而言，Dockerfile分为四部分:基础镜像信息、维护者信息、镜像操作指令和容器启动时执行命令。

一开始必须指明所基于的镜像名称，接下来一般是说明维护者信息。后面则是镜像操作指令，例如RUN指令，RUN指令将对镜像执行跟随的命令。每运行一条RUN指令，镜像就添加新的一层，并提交。最后是CMD指令，用来指定运行容器时的操作命令。

2.指令说明

(1)FROM

指定所创建镜像的基础镜像，如果本地不存在，则默认会去Docker Hub下载指定镜像。

格式为FROM<image>,或FROM<image>:<tag>,或FROM<image>@<digest>。

任何Dockerfile中的第一条指令必须为FROM指令。并且，如果在同一个Dockerfile中创建多个镜像，可以使用多个FROM指令（每个镜像一次）。

2.MAINTAINER

指定维护者信息，格式为MAINTAINER<name>。例如:

MAINTAINER image_create@docker.com

该信息会写入生成镜像的Author属性域中。

3.RUN

运行指定命令。

格式为RUN<command>或RUN["executable","param1","param2"]。注意，后一个指令会被解析为Json数组，因此必须用双引号。

前者默认将在shell终端中运行命令，即/bin/sh -c;后者则使用exec执行，不会启动shell环境。

指定使用其他终端类型可以通过第二种方式实现，例如RUN["/bin/bash","-c","echo hello"]。

每条RUN指令将在当前镜像的基础执行指定命令，并提交为新的镜像。当命令较长时可以使用来换行。

4.CMD

CMD指令用来指定启动容器时默认执行的命令，它支持三种格式:

CMD["executable","param1","param2"]使用exec执行，是推荐使用的方式;

CMD command param1 param2在/bin/sh中执行，提供给需要交互的应用;

CMD ["param1","param2"]提供给ENTRYPOINT的默认参数。

每个Dockerfile只能有一条CMD命令。如果指定了多条命令，只有最后一条会被执行。

如果用户启动容器时手动指定了运行的命令(作为run的参数)，则会覆盖掉CMD指定的命令。

5.LABEL

LABEL指令用来指定生成镜像的元数据标签信息。

格式为LABEL<key>=<value> <key>=<value> <key>=<value>...。

6.EXPOSE

声明镜像内服务所监听的端口。

格式为EXPOSE<port>[<port>...]。

例如:

EXPOSE 22 80 8443

注意,该指令只是起到声明作用，并不会自动完成端口映射。

在启动容器时需要使用-P，Docker主机会自动分配一个宿主机的临时端口转发到指定的端口;使用-p，则可以具体指定哪个宿主机的本地端口会映射过来。

7.ENV

指定环境变量，在镜像生成过程中会被后续RUN指定使用，在镜像启动的容器中也会存在。

格式为ENV<key><value>或ENV<key>=<value>...。

指令指定的环境变量在运行时可以被覆盖掉，如docker run --env<key>=<value> built_image

8.ADD

该命令将复制指定的<src>路径下的内容到容器中的<dest>路径下。

格式为ADD<src><dest>。

其中<src>可以是Dockerfile所在目录的一个相对路径(文件或目录),也可以是一个URL，还可以是一个tar文件(如果为tar文件，会自动解压到<dest>路径下。<dest>可以是镜像内的的绝对路径，或者相对于工作目录(WORKDIR)的相对路径。

路径支持正则格式，例如:

ADD *.c /code/

9.COPY

格式为COPY <src> <dest>

复制本地主机的<src>(为Dockerfile所在目录的相对路径、文件或目录)下的内容到镜像中的<dest>下。目标路径不存在时，会自动创建。

路径同样支持正则格式。

当使用本地目录为源目录时，推荐使用COPY。

10.ENTRYPOINT

指定镜像的默认入口命令，该入口命令会在启动容器时作为根命令执行，所有传入值作为该命令的参数。

支持两种格式:

ENTRYPOINT ["executable","param1","param2"](exec调用执行);

ENTRYPOINT command param1 param2(shell中执行)。

此时，CMD指令指定值将作为根命令的参数。

每个Dockerfile中只能有一个ENTRYPOINT，当指定多个时，只有最后一个有效。

在运行时，可以被--entrypoint参数覆盖掉，如docker run --entrypoint。

11.VOLUME

创建一个数据卷挂载点。

格式为VOLUME["/data"]

可以从本地主机或其他容器挂载数据卷，一般用来存放数据库和需要保存的数据等。

12.USER

指定运行容器时的用户名或UID，后续的RUN等指令也会使用指定的用户身份。

格式为USER daemon。

当服务不需要管理员权限时，可以通过该命令 指定运行用户，并且可以在之前创建所需要的用户,例如:

RUN groupadd -r postgres && useradd -r -g postgres postgres

要临时获取管理员权限可以使用gosu会sudo。

13.WORKDIR

为后续的RUN、CMD和ENTRYPOINT指令配置工作目录。

格式为WORKDIR /path/to/workdir。

可以使用多个WORKDIR指令，后续命令如果参数是相对路径，则会基于之前的命令指定的路径，例如:

WORKDIR /a

WORKDIR b

WORKDIR c

RUN pwd

则最终路径为/a/b/c。

14.ARG

指定一些镜像内使用的参数(例如版本号信息等),这些参数在执行docker build命令时才以--build-arg<varname>=<value>格式传入。

格式为ARG<name>[=<default value>]。

则可以用docker build --build-arg<name>=<value>.来指定参数值。

15.ONBUILD

配置当所创建的镜像作为其他镜像的基础镜像时，所执行的创建操作指令。

格式为ONBUILD

使用ONBUILD指令的镜像，推荐在标签中注明，例如ruby:1.9-onbuild。

16.STOPSIGNAL

指定所创建镜像启动的容器接收退出的信号值。例如:

STOPSIGNAL signal

17.HEALTHCHECK

配置所启动容器进行健康检查(如何判断健康与否),自Docker1.12开始支持。

格式有两种:

HEALTHCHECK [OPTIONS] CMD command:根据执行命令返回值是否为0来判断;

HEADTHCHECK NONE:禁止基础镜像中的健康检查。

OPTION支持:

--interval=DURATION(默认为:30s):过多久检查一次;

--timeout=DURATION(默认为:30s):每次检查等待结果的超时;

--retires=N(默认为:3):如果失败了，重试几次才最终确定失败。

18.SHELL

指定其他命令使用shell时的默认shell类型。

SHELL["executable","parameters"]

默认值为["/bin/sh","-c"]

注意:对于windows系统，建议在Dockerfile开头添加#escape=`来指定转义信息。

3.创建镜像

编写完Dockfile之后，可以通过docker build命令来创建镜像。

基本的格式为docker build[选项]内容路径，该命令将读取指定路径下(包括子目录)的Dockerfile,并将该路径下的所有内容发送给Docker服务端，由服务端来创建镜像。

因此除非生成镜像需要，否则一般建议放置Dockerfile的目录为空目录。有两点经验:

(1)如果使用非内容路径下的Dockerfile,可以通过-f选项来指定其路径。

(2)要指定生成镜像的标签信息，可以使用-t选项。

例如,指定Dockerfile所在路径为/tmp/docker_builder/,并且希望生成镜像标签为build_repo/first_image /tmp/docker_builder/

4.使用.dockerignore文件

可以通过.dockerignore文件(每一行添加一条匹配模式)来让Docker忽略匹配模式路径下大的目录和文件。例如:

#comment

 */temp*

*/*/temp*

tmp?

_*

5.最佳实践

所谓最佳实践，实际上就是从需求出发，来定制适合自己，高效方便的镜像。

首先，要尽量吃透每个指令的含义和执行效果，自己多编写一些简单的例子进行测试，弄清楚在撰写正式的Dockerfile。此外，Docker Hub官方仓库中提供了大量的优秀镜像和对应的Dockerfile,可以通过阅读它们来学习如何撰写高效的Dockerfile。

如何完善生成镜像?

(1)精简镜像用途:尽量让每个镜像的用途都比较集中、单一，避免构造大而复杂、多功能的镜像;

(2)选用合适的基础镜像:过大的基础镜像会造成生成臃肿的镜像，一般推荐较为小巧的debian镜像;

(3)提供足够清晰的命令注释和维护者信息:Dockerfile也是一种代码，需要考虑方便后续拓展和他人使用;

(4)正确使用版本号:使用明确的版本号信息，如1.0,2.0,而非latest,将避免内容不一致可能引发的惨案;

(5)减少镜像层数:如果希望所生成镜像的层数尽量少，则要尽量合并指令,例如多个RUN命令开业合并为一条;

(6)及时删除临时文件和缓存文件:特别是在执行apt-get指令后，/var/cache/apt 下面会缓存一些安装包;

(7)提高生成速度:如合理使用缓存,减少内容目录下的文件，内容不变的指令尽量放在前面，这样可以尽量复用;

(8)减少外部源的干扰:如果确实要从外部引入数据，需要指定持久的地址,并带有版本信息，让他人可以重复而不出错。