Dockerfile是一个镜像构建命令集合的文本文件,下面是我们最常见的Dockerfile构建,假如我们目录下有一个文件Dockerfile
[root@localhost nginx_project]# ls Dockerfile
[root@localhost nginx_project]# docker build -t nginx:v1 .
通过build指定了目标镜像的标签为nginx:v1,以及Dockerfile的上下文context .
什么是docker上下文?
一个面向服务端的目录夹结构,除了Dockerfile,你的一切构建资源都应该在这个目录(指定的上下文)中。
上下文是递归处理的。因此, 如果是PATH则包含任何子目录,如果是一个URL则包含存储库及其子模块。
关键点,构建是由 Docker 守护程序运行,而不是由 CLI 运行,所以docker会把上下文资源打包传输给守护进程进行构建,为了减少不必要的臃肿,最好从一个空目录作为上下文开始,并将 Dockerfile 保存在该目录中。仅添加构建 Dockerfile 所需的文件。
我们可以使用-f选项指定dockerfile
[root@localhost folder]# docker build -f ../Dockerfile -t nginx:v1 .
使用多个-t选项保持多个tag
[root@localhost folder]# docker build -t nginx:v1 -t dockerhub.com/nginx:v2 .
Sending build context to Docker daemon 1.583kB
Step 1/2 : FROM nginx
---> 08b152afcfae
Step 2/2 : run echo 123
---> Using cache
---> 3b636c79fbfa
Successfully built 3b636c79fbfa
Successfully tagged nginx:v1
Successfully tagged dockerhub.com/nginx:v2
这样就构建两个不同tag的同一ID镜像
[root@localhost folder]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
dockerhub.com/nginx v2 3b636c79fbfa 23 minutes ago 133MB
nginx v1 3b636c79fbfa 23 minutes ago 133MB
buildkit将 Dockerfile 变成了 Docker 镜像。它不只是构建 Docker 镜像;它可以构建 OCI 图像和其他几种输出格式。
从版本18.09开始,Docker支持由moby / buildkit项目提供的用于执行构建的新后端。与旧的实现相比,BuildKit后端提供了许多好处。例如,BuildKit可以:
要使用BuildKit后端,只需要在调用 DOCKER_BUILDKIT=1 docker build 之前在CLI上设置环境变量DOCKER_BUILDKIT = 1。或者配置/etc/docker/daemon.json启用。
[root@localhost folder]# DOCKER_BUILDKIT=1 docker build -f ../Dockerfile -t nginx:v1 -t dockerhub.com/nginx:v2 .
[+] Building 5.2s (6/6) FINISHED
=> [internal] load build definition from Dockerfile 0.7s
=> => transferring dockerfile: 118B 0.0s
=> [internal] load .dockerignore 0.6s
=> => transferring context: 2B 0.0s
=> [internal] load metadata for docker.io/library/nginx:latest 0.0s
=> [1/2] FROM docker.io/library/nginx 2.2s
=> [2/2] RUN echo 123 1.3s
=> exporting to image 0.5s
=> => exporting layers 0.2s
=> => writing image sha256:813b09c58322dce98ee28e717baeb9f3593ce3e46a032488949250f761004495 0.0s
=> => naming to docker.io/library/nginx:v1 0.0s
=> => naming to dockerhub.com/nginx:v2
一个标准的dockerfile,注释是必须的。
#这是dockerfile注释,dockerfile中指令以"CMD args"格式出现
CMD args
CMD args
...
一个Dockerfile 第一个指令必须是FROM指令,用于指定基础镜像,那么基础镜像的父镜像从哪里来?答案是scratch带有该FROM scratch指令的 Dockerfile会创建一个基本映像。
解析器指令是可选的,会影响 aDockerfile中后续行的处理方式。解析器指令不会向构建添加层,也不会显示为构建步骤,单个指令只能使用一次。dockerfile目前支持以下两个解析器指令:
此功能仅在使用BuildKit后端时可用,在使用经典构建器后端时会被忽略。我们可以在dockerfile文件开头指定此dockerfile语法解析器,如下:
# syntax=docker/dockerfile:1
# syntax=docker.io/docker/dockerfile:1
# syntax=example.com/user/repo:tag@sha256:abcdef...
通过syntax自定义 Dockerfile 语法解析器可以实现如下:
官方dockerfile解析器:
比如我们使用1.2最新补丁版本,我们的Dockerfile如下:
#syntax=docker/dockerfile:1.2
FROM busybox
run echo 123
我们启用buildkit构建
# DOCKER_BUILDKIT=1 docker build -t busybox:v1 .
[+] Building 5.8s (8/8) FINISHED
=> [internal] load build definition from Dockerfile 0.3s
=> => transferring dockerfile: 150B 0.0s
=> [internal] load .dockerignore 0.4s
=> => transferring context: 2B 0.0s
=> resolve image config for docker.io/docker/dockerfile:1.2 2.6s
=> CACHED docker-image://docker.io/docker/dockerfile:1.2@sha256:e2a8561e419ab1ba6b2fe6cbdf49fd92b95 0.0s
=> [internal] load metadata for docker.io/library/busybox:latest 0.0s
=> [1/2] FROM docker.io/library/busybox 0.3s
=> [2/2] RUN echo 123 1.1s
=> exporting to image 0.3s
=> => exporting layers 0.3s
=> => writing image sha256:bd66a3db9598d942b68450a7ac08117830b4d66b68180b6e9d63599d01bc8a04 0.0s
=> => naming to docker.io/library/busybox:v1
通过escape定义dockerfile的换行拼接转义符
# escape=\
如果要构建一个window镜像就有大用处了,我们看下面dockerfile
FROM microsoft/nanoserver
COPY testfile.txt c:\\
RUN dir c:\
FROM busybox
ENV FOO=/bar
WORKDIR ${FOO} # WORKDIR /bar
ADD . $FOO # ADD . /bar
COPY \$FOO /quux # COPY $FOO /quux
${variable_name}语法还支持bash 指定的一些标准修饰符:
.dockerignore用于忽略CLI发送到docker守护进程的文件或目录。以下是一个.dockerignore文件
#.dockeringre可以有注释
*.md
!README.md
temp?
*/temp*
*/*/temp*
规则 | 行为 |
---|---|
*/temp* | 排除名称以temp根目录的任何直接子目录开头的文件和目录。例如,纯文件/somedir/temporary.txt被排除在外,目录/somedir/temp. |
*/*/temp* | 排除temp从根目录下两级的任何子目录开始的文件和目录。例如,/somedir/subdir/temporary.txt被排除在外。 |
temp? | 排除根目录中名称为一个字符扩展名的文件和目录temp。例如,/tempa和/tempb被排除在外。 |
! | 不排除到文件 |
指定基础镜像。一般格式如下,[]括号内容可省略:
FROM [--platform=<platform>] <image>[:<tag>] [AS <name>]
特别需要注意的是FROM在一个dockerfile中可以多次出现,以实现多阶段构建。并且可以和ARG 参数交互。如下:
ARG CODE_VERSION=latest
FROM base:${CODE_VERSION}
CMD /code/run-app
FROM extras:${CODE_VERSION}
CMD /code/run-extras
我们加载了两个通过arg参数指定的不同版本基础镜像。
RUN的两种形式
RUN命令主要是在镜像构建时执行,形成新层。比如我们经常会看到在构建镜像时安装相关软件。
RUN yum install -y gcc
当我们不想使用默认shell是可以采用exec形式实现
RUN ["/bin/bash","-c","yum install -y gcc"]
当我们不想使用默认shell是可以采用exec形式实现
RUN ["/bin/bash","-c","yum install -y gcc"]
当然,exec形式可以不使用shell
RUN ["yum","install","-y","gcc"]
EXEC形式被解析为一个JSON阵列,所以必须使用双引号
CMD指令有三种形式:
一个dockerfile中,应该只写一个CMD,如果有多个只有最后一个生效。在实际编写dockerfie时CMD命令常常用于为ENTRYPOINT提供默认值,后面我们会讲到。
与RUN相比,CMD在构建时不会执行任何操作,主要用于指定镜像的启动命令。CMD的启动命令可以被docker run 参数代替。
我们在dockerfile中添加如下CMD命令
CMD echo hello
构建镜像后,docker run 不添加参数,启动容器
[root@localhost dockerfiles]# docker run centos:v1
hello
当我们在docker run 添加参数后
[root@localhost dockerfiles]# docker run centos_env:v1 echo container
container
显然我们CMD命令echo hello已被docker run中的参数echo container取代。
label用于添加镜像的元数据,采用key-value的形式。
LABEL <key>=<value>
比如我们添加如下LABEL
LABEL "miantainer"="iqsing.github.io"
LABEL "version"="v1.2"
LABEL "author"="waterman&&iqsing"
为了防止创建三层,我们最好通过一个标签来写。
LABEL "miantainer"="iqsing.github.io" \
"version"="v1.2" \
"author"="waterman&&iqsing"
我们通过docker inspect 来查看镜像label信息
#docker inspect centos_labels:v1
"Labels": {
"author": "waterman&&iqsing",
"miantainer": "iqsing.github.io",
"org.label-schema.build-date": "20201204",
"org.label-schema.license": "GPLv2",
"org.label-schema.name": "CentOS Base Image",
"org.label-schema.schema-version": "1.0",
"org.label-schema.vendor": "CentOS",
"version": "v1.2"
}
EXPOSE 80/tcp
EXPOSE 161/udp
注意,EXPOSE只是告诉dockerfile的阅读者,我们构建的镜像需要暴露哪些端口,只是一个信息。在容器中还是需要通过-p选项来暴露端口。
ENV <key>=<value> ... 首先方式
或
ENV <key> <value>
通过ENV指定环境变量,将作用于在构建阶段的所有后续指令的环境中。
ENV username="iqsing"
这样当我们启动这个容器后可以查看到容器信息已经附带了ENV环境变量
"Env": [
"PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
"username=iqsing"
],
当然我们也可以在启动容器时添加环境变量
docker run --env <key>=<value>
另外如果只需要在镜像构建期间使用环境变量,更好的选择是使用ARG参数来处理
ADD和COPY格式相似,有两种形式,包含空格的路径需要后一种形式:
ADD [--chown=<user>:<group>] <src>... <dest>
ADD [--chown=<user>:<group>] ["<src>",... "<dest>"]
COPY [--chown=<user>:<group>] <src>... <dest>
COPY [--chown=<user>:<group>] ["<src>",... "<dest>"]
在linux平台中可以对添加到远程目录或文件设置所属用户和组。<SRC> 指复制新文件、目录或远程文件 URL,每<src>可以包含通配符,如下:
ADD hom* /mydir/
ADD hom?.txt /mydir/
一般使用中,ADD、COPY都遵守以下规则:
特别的,当是可识别的压缩包如gzip、bzip2等tar包时,首先会将包添加到镜像中,然后自动解压。这可以说是与COPY命令在使用中的最大的区别。
exec首选和shell形式:
ENTRYPOINT ["executable", "param1", "param2"]
ENTRYPOINT command param1 param2
ENTRYPOINT 和CMD很相似,都是指定启动命令,不同之处在于ENTRYPOINT 指定的命令无法被docker run 参数取代。
我们在dockerfile中添加ENTRYPOINT
ENTRYPOINT echo hello container
构建镜像并启动容器,可以看到docker run 中的参数并未取代ENTRYPOINT
[root@localhost dockerfiles]# docker run centos_entrtpoint:v1 echo hello docker
hello container
这指令优秀的另一个地方在于可以和CMD指令做交互。让容器以应用或者服务运行。
经典操作:ENTRYPOINT + CMD = 默认容器命令参数
ENTRYPOINT是dockerfile中非常重要的指令,有必要另写一篇小作文深入学习一下这东西。
VOLUME ["/data"]
volume指令可以用于创建存储卷,我来看一下实例:
FROM centos
RUN mkdir /volume
RUN echo "hello world" > /volume/greeting
VOLUME /volume
构建镜像后,创建一个容器
[root@localhost dockerfiles]# docker create --name centos_volume centos_volue:v1
[root@localhost dockerfiles]# docker inspect centos_volume
"Mounts": [
{
"Type": "volume",
"Name": "494cdb193984680045c36a16bbc2b759cf568b55c7e9b0852ccf6dff8bf79c46",
"Source": "/var/lib/docker/volumes/494cdb193984680045c36a16bbc2b759cf568b55c7e9b0852ccf6dff8bf79c46/_data",
"Destination": "/volume",
"Driver": "local",
"Mode": "",
"RW": true,
"Propagation": ""
}
],
这样我们就通过VOLUME指令创建一个存储卷,你可以通过--volumes-from共享这个容器,可参考我之前的小作文《docker容器存储》
指定指令集所属用户和组。组默认为root。可以作用于RUN,CMD和 ENTRYPOINT它们后面的指令。
USER <user>[:<group>]
或
USER <UID>[:<GID>]
指定指令集所在的工作目录,若目录不存在将会自动创建。可作用于RUN,CMD, ENTRYPOINT,COPY和ADD
WORKDIR /path/to/workdir
ARG <name>[=<default value>]
ARG指令定义了一个变量,我们可以在docker build通过使用--build-arg <varname>=<value> 标志的命令将其传递给构建器。
HEALTHCHECK指令有两种形式:
每五分钟左右检查一次web服务器能否在3s内响应。如果失败则返回状态码1
命令的退出状态指示容器的健康状态。可能的值为:
编写一个优质的Dockerfile并不容易,你需要考虑所构建镜像的迭代、服务稳定运行、启动与停止、安全等等问题,希望这篇小作文可以帮助你对Dockerfile有多一点了解。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文系转载,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。