Dockerfile 是一个文本格式的配置文件,用户可以使用 Dockerfile 来快速创建自定义的镜像。

基本结构

一般而言,Dockerfile 主体内容分为四部分:基础镜像信息维护者信息镜像操作指令容器启动时执行指令。Dockerfile 由一行行命令语句组成,并且仅支持以 # 开头的注释行。

下面是一个简单的例子。

  1. # 指定基础镜像
  2. FROM ubuntu:18.04
  4. # 指定维护者信息
  5. LABEL maintainer docker_user<docker_user@email.com>
  7. # 指定镜像执行跟随的命令
  8. RUN echo "hello world" >> /tmp/test.txt
  10. # 执行运行容器时的操作命令
  11. CMD /usr/sbin/nginx

指令说明

指令分为配置指令(配置镜像信息)和操作指令(具体执行操作)。
image.png

下面对指令进行介绍。
**

配置指令

  1. ARG

创建镜像过程中使用的变量。格式为 ARG <name>[=[default value]]

在执行 docker build 时,可以通过 -build-arg[=] 来为变量赋值。当镜像编译成功后,ARG 指定的变量将不再存在(ENV指定的变量将在镜像中保留)。

Docker 内置了一些镜像创建变量,用户可以直接使用而无须声明,包括(不区分大小写)HTTP_PROXYHTTPS_PROXYFTP_PROXYNO_PROXY

  1. FROM

指定所创建镜像的基础镜像。格式为 FROM <image>:<tag> [AS <name>] ,或 FROM<image>@<digest> [AS <name>]

任何 Dockerfile 中第一条指令必须为 FROM 指令。并且,如果在同一个 Dockerfile 中创建多个镜像时,可以使用多个 FROM 指令(每个镜像一次)。

  1. ARG VERSION=18.04
  2. FROM ubuntu:${VERSION}
  1. LABEL

LABEL 指令可以为生成的镜像添加元数据标签信息,这些信息可用于搜索时过滤出特定的镜像。格式为 LABEL <key>=<value> <key>=<value> <key>=<value> ...

  1. LABEL version="1.0.0-rc3"
  2. LABEL author="yeasy@github" date="2020-01-01"
  3. LABEL description="This text is empty..."
  1. EXPOSE

声明镜像内服务监听的端口。格式为EXPOSE <port> [<port>/<protocol>...]

  1. EXPOSE 22 8080 443

注意该指令只是起到声明作用,并不会自动完成端口映射。实际的映射还是要在启动容器时通过 -P-p 参数指定。

  1. ENV

指定环境变量,在镜像生成过程中会被后续 RUN 指令使用,在镜像启动的容器中也会存在。格式为 ENV <key> <value>ENV <key>=<value> ...

  1. ENV APP_VERSION=1.0.0
  2. ENV APP_HOME=/usr/local/app
  3. ENV PATH $PATH:/usr/local/bin

指令指定的环境变量在运行时可以被覆盖掉,如 docker run --env <key>=<value> built_image

:::info 注意:
当一条ENV指令中同时为多个环境变量赋值并且值也是从环境变量读取时,会为变量都赋值后再更新。如下面的指令,最终结果为 key1=value1 key2=value2: :::

  1. ENV key1=value2
  2. ENV key1=value1 key2=${key1}
  1. ENTRYPOINT

指定镜像的默认入口命令,该命令会在容器启动时作为根命令执行,CMD 指令中指定的值作为该命令的参数。格式为:

  • ENTRYPOINT ["executable", "param1", "param2"]:exec 调用执行;
  • ENTRYPOINT command param1 param2:shell 中执行。

每个 Dockerfile 中只能有一个 ENTRYPOINT,指定多个时,只有最后一个起效。

在运行时,可被 —entrypoint 参数覆盖,如 docker run —entrypoint。

  1. VOLUME

创建一个数据卷挂载点。格式为 VOLUME ["/data"]

运行容器时可以从本地主机或其他容器挂载数据卷,一般用来存放数据库和需要保持的数据等。

  1. USER

指定运行容器时的用户名或UID,后续的 RUN 等指令也会使用指定的用户身份。格式 USER daemon
**

  1. WORKDIR

为后续的 RUN、CMD、ENTRYPOINT 指令配置工作目录。格式为 WORKDIR /path/to/workdir

可以使用多个 WORKDIR 指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径。例如:

  1. WORKDIR /a
  2. WORKDIR b
  3. RUN pwd                    => /a/b

因此,为了避免出错,推荐 WORKDIR 指令中只使用绝对路径。

  1. ONBUILD

指定当基于所生成镜像创建子镜像时,自动执行的操作指令。格式为 ONBUILD [INSTRUCTION]

例如,基于父镜像 ParentImage,使用 docker build 命令创建子镜像 ChildImage 时,会首先执行父镜像中的 ONBUILD 指令。

  1. # 父镜像ParentImage
  2. ONBUILD ADD . /app/src
  3. ONBUILD RUN /usr/local/bin/python-build --dir /app/src
  1. # 基于父镜像创建子镜像ChildImage
  2. FROM ParentImage

等价于直接在 ChildImage 的 Dockerfile 中添加 ONBUILD 指令。

由于 ONBUILD 指令是隐式执行的,推荐在使用它的镜像标签中进行标注,例如 ruby:2.1-onbuild。

ONBUILD 指令在创建专门用于自动编译、检查等操作的基础镜像时,十分有用。

  1. STOPSIGNAL

指定所创建镜像启动的容器接收退出的信号值。

  1. STOPSIGNAL signal
  1. HEALTHCHECK

配置所启动容器如何进行健康检查(如何判断健康与否),自 Docker 1.12 开始支持。格式如下:

  • HEALTHCHECK [OPTIONS] CMD command:根据所执行命令返回值是否为 0 来判断;
  • HEALTHCHECK NONE:禁止基础镜像中的健康检查;

OPTION 支持如下参数:

  • -interval=DURATION (default: 30s):过多久检查一次;
  • -timeout=DURATION (default: 30s):每次检查等待结果的超时;
  • -retries=N (default: 3):如果失败了,重试几次才最终确定失败。
  1. SHELL

指定其他命令使用 shell 时的默认 shell 类型。默认值为 [“/bin/sh”, “-c”]。

  1. SHELL ["executable", "parameters"]

:::info 注意:
对于 Windows 系统,Shell 路径中使用了“\”作为分隔符,建议在 Dockerfile 开头添加 #escape=’来指定转义符。 :::

操作指令

  1. RUN

运行指定指令。格式为 RUN <command>RUN ["executable", "param1", "param2"]
注意后者指令会被解析为 JSON 数组,因此必须用双引号。前者默认将在 shell 终端中运行命令,即 /bin/sh -c;后者则使用 exec 执行,不会启动 shell 环境。

指定使用其他终端类型可以通过第二种方式实现,例如 RUN [“/bin/bash”, “-c”,”echo hello”]。

每条 RUN 指令将在当前镜像基础上执行指定命令,并提交为新的镜像层。当命令较长时可以使用 \ 来换行。例如:

  1. RUN apt-get update \
  2.     && apt-get install -y libsnappy-dev
  1. CMD

CMD 指令用来指定启动容器时默认执行的命令。支持三种格式:

  • CMD ["executable", "param1", "param2"]:相当于执行 executable param1 param2,推荐方式;
  • CMD command param1 param2:在默认的 Shell 中执行,提供给需要交互的应用;
  • CMD ["param1", "param2"]:提供给 ENTRYPOINT 的默认参数。

每个 Dockerfile 只能有一条 CMD 命令。如果指定了多条命令,只有最后一条会被执行。

如果用户启动容器时候手动指定了运行的命令(作为run命令的参数),则会覆盖掉 CMD 指定的命令。

  1. ADD

添加内容到镜像。格式为 ADD <src> <dest>,意思是将复制指定的 路径下内容到容器中的路径下。

可以是 Dockerfile 所在目录的一个相对路径(文件或目录);也可以是一个 URL;还可以是一个 tar 文件(自动解压为目录)。

可以是镜像内绝对路径,或者相对于工作目录(WORKDIR)的相对路径。

路径支持正则格式,例如:

  1. ADD package.json /usr/src/app/
  3. # 将所以js文件添加到指定目录
  4. ADD *.js /usr/src/app

**

  1. COPY

复制内容到镜像。格式为 COPY <src> <dest>

复制本地主机的 (为 Dockerfile 所在目录的相对路径,文件或目录)下内容到镜像中的 。目标路径不存在时,会自动创建。

COPY 与 ADD 指令功能类似,当使用本地目录为源目录时,推荐使用 COPY。

创建镜像

编写完成 Dockerfile 之后,可以通过 docker [image] build 命令来创建镜像。基本的格式为 docker build [OPTIONS] PATH | URL | -

该命令将读取指定路径下(包括子目录)的 Dockerfile,并将该路径下所有数据作为上下文(Context)发送给Docker 服务端。Docker 服务端在校验 Dockerfile 格式通过后,逐条执行其中定义的指令,碰到 ADD、COPY 和RUN 指令会生成一层新的镜像。最终如果创建镜像成功,会返回最终镜像的 ID。

要指定生成镜像的标签信息,可以通过 -t 选项。该选项可以重复使用多次为镜像一次添加多个名称。

例如,上下文路径为 /tmp/docker_builder/,并且希望生成镜像标签为 builder/first_image:1.0.0,可以使用下面的命令:

  1. docker build -t builder/first_image:1.0.0 /tmp/docker_builder/

命令选项

docker [image] build 命令支持一系列的选项,可以调整创建镜像过程的行为。下图为创建镜像的命令选项及说明。

Dockerfile文件配置及构建 - 图2

选择父镜像

用户可以选择两种镜像作为父镜像,一种是所谓的基础镜像(baseimage),另外一种是普通的镜像(往往由第三方创建,基于基础镜像)。

基础镜像比较特殊,其 Dockerfile 中往往不存在 FROM 指令,或者基于 scratch 镜像(FROMscratch),这意味着其在整个镜像树中处于根的位置。

普通镜像也可以作为父镜像来使用,包括常见的 busybox、debian、ubuntu 等。

下面的 Dockerfile 定义了一个简单的基础镜像,将用户提前编译好的二进制可执行文件 binary 复制到镜像中,运行容器时执行 binary 命令:

  1. FROM scratch
  2. ADD binary /
  3. CMD ["/binary"]

Docker 不同类型镜像之间的继承关系如下图所示。
image.png

使用.dockerignore文件

可以通过 .dockerignore 文件(每一行添加一条匹配模式)来让 Docker 忽略匹配路径或文件,在创建镜像时候不将无关数据发送到服务端。

如下例子。

  1. # .dockerignore 文件中可以定义忽略模式
  2. # “*” 表示任意多个字符,“?” 表示单个字符,“!” 表示不匹配(即不忽略指定的路径或文件)
  4. */temp*
  5. tmp?
  6. ~*
  7. Dockerfile
  8. !README.md

多步骤创建

对于需要编译的应用(如C、Go或Java语言等)来说,通常情况下至少需要准备两个环境的 Docker 镜像:

  • 编译环境镜像:包括完整的编译引擎、依赖库等,往往比较庞大。作用是编译应用为二进制文件;
  • 运行环境镜像:利用编译好的二进制文件,运行应用,由于不需要编译环境,体积比较小。

使用多步骤创建,可以在保证最终生成的运行环境镜像保持精简的情况下,使用单一的 Dockerfile,降低维护复杂度。

下面以一个简单的 Node 应用为例。创建干净目录,进入到目录中,创建 index.js 文件,内容为:

  1. > mkdir -p /tmp/dockerfile-test
  2. > cd /tmp/dockerfile-test
  3. > touch index.js

index.js 内容如下:

  1. function sayHello() {
  2.     console.log("hello world for Docker");
  3. }
  4. sayHello();

创建 Dockerfile,因为 Node 应用无需编译,这里仅使用一个精简镜像作为运行环境:

  1. # 指定 Docker 基础镜像,docker-hub下载慢,这里使用网易镜像
  2. FROM hub.c.163.com/library/node:8.4.0-alpine
  4. # 创建工作目录
  5. RUN mkdir -p /usr/src/test
  7. # 指定工作目录
  8. WORKDIR /usr/src/test
  10. # 复制文件到该目录下
  11. COPY index.js /usr/src/test/
  13. # 运行文件
  14. CMD node index.js

执行如下命令创建镜像,并运行应用:

  1. # 创建镜像
  2. > docker build -t cimi/docker-test:latest .
  4. # 查看生成的镜像 
  5. > docker images | grep docker-test
  7. # 运行生成的镜像
  8. > docker run --rm cimi/docker-test:latest

创建过程及最终运行输出效果如下:
image.pngimage.png

最佳实践

Docker Hub 官方仓库中提供了大量的优秀镜像和对应的 Dockefile,可以通过阅读它们来学习如何撰写高效的Dockerfile。

在生成镜像过程中,尝试从如下角度进行思考,完善所生成镜像:

  • 精简镜像用途:尽量让每个镜像的用途都比较集中单一,避免构造大而复杂、多功能的镜像;
  • 选用合适的基础镜像:容器的核心是应用。选择过大的父镜像(如Ubuntu系统镜像)会造成最终生成应用镜像的臃肿,推荐选用瘦身过的应用镜像(如 node:slim),或者较为小巧的系统镜像(如 alpine、busybox 或debian);
  • 提供注释和维护者信息:Dockerfile 也是一种代码,需要考虑方便后续的扩展和他人的使用;
  • 正确使用版本号:使用明确的版本号信息,如 1.0,2.0,而非依赖于默认的 latest。通过版本号可以避免环境不一致导致的问题;
  • 减少镜像层数:如果希望所生成镜像的层数尽量少,则要尽量合并 RUN、ADD 和 COPY 指令。通常情况下,多个 RUN 指令可以合并为一条 RUN 指令;
  • 恰当使用多步骤创建(17.05+版本支持):通过多步骤创建,可以将编译和运行等过程分开,保证最终生成的镜像只包括运行应用所需要的最小化环境。当然,用户也可以通过分别构造编译镜像和运行镜像来达到类似的结果,但这种方式需要维护多个 Dockerfile。
  • 使用 .dockerignore 文件:使用它可以标记在执行 docker build 时忽略的路径和文件,避免发送不必要的数据内容,从而加快整个镜像创建过程。
  • 及时删除临时文件和缓存文件:特别是在执行 apt-get 指令后,/var/cache/apt下面会缓存了一些安装包;
  • 提高生成速度:如合理使用 cache,减少内容目录下的文件,或使用 .dockerignore 文件指定等;
  • 调整合理的指令顺序:在开启 cache 的情况下,内容不变的指令尽量放在前面,这样可以尽量复用;
  • 减少外部源的干扰:如果确实要从外部引入数据,需要指定持久的地址,并带版本信息等,让他人可以复用而不出错。

to be continue…