1,认识Dockerfile

    Dockerfile是Docker用来构建镜像的文本文件,包含自定义的指令和格式。可以通过docker build命令进行从Dockerfile中构建镜像。这个过程与传统分布式集群的编排配置过程相似,且提供了一系列统一的资源配置语法。用户可以用这个统一的语法命令来根据需求进行配置,通过这份统一的配置文件,在不同的平台上进行分发,需要使用时就可以根据配置文件自动化构建,这解决了开发人员构建镜像的复杂过程。同时,Docker与镜像配合使用,使Docker在构建时可以充分利用镜像的功能进行缓存,大大提升了Docker的使用效率。

    2,docker build命令和镜像构建过程

    这里的构建上下文是指docker build命令的所有文件。一般情况下,将本地主机的一个包含Dockerfile的目录中的所有内容作为上下文。上下文通过docker build命令传入到Docker daemon后,便开始按照Dockerfile中的内容构造镜像。

    Dockerfile描述了组装镜像的步骤,其中每条指令都是单独执行的。除了FROM指令,其他每一条指令都会在上一条指令所生成镜像的基础上执行的,执行完后会生成一个新的镜像层,新的镜像层覆盖在原来的镜像之上从而形成了新的镜像。Dockerfile所生成的最终镜像就是在基础镜像上面叠加一层层的镜像层组建的。

    为了提高镜像构建的速度,Docker daemon会缓存构建过程中的中间镜像。当一个从已在缓存中的基础镜像开始构建新镜像时,会将Docker中的下一条指令和基础镜像的所有子镜像做比较,如果有一个子镜像是有想通的指令生成的,则命中缓存,直接使用该镜像,而不用再生成一个新的镜像。在寻找缓存的过程中,COPY和ADD指令与其他指令稍有不同,其他指令只对比生成镜像的指令字符串是否相同;ADD和COPY指令除了对比指令字符串,还要对比容器中的文件内容和ADD、COPY所添加的文件内容是否相同。此外,镜像构建过程中,一旦缓存失效,则后续的指令都将生成新的镜像,而不再使用缓存。

    3,Dockerfile指令

    Dockerfile中的指令有:FROM,MAINTAINER,RUN,CMD,EXPOSE,ENV,ADD,COPY,ENPYPOINT,VOLUME,USER,WORKID,ONBUILD

    注意:
    在Dockerfile中,指令不区分大小写,但是为了与参数区分,推荐大写。Docker会顺序执行Dockerfile中的指令,第一条指令必须是FORM指令,它用于指定构建镜像的基础镜像,在Dockerfile中以#开头的行是注释,而在其他位置出现的#会被当初参数。

    1,ENV
    格式:ENV 或ENV =
    ENV指令可以为镜像创建出来的容器声明环境变量。并且在Dockerfile中,ENV指令声明的环境变量会被后面的特定指令(即ENV,ADD,COPY,WORKDIR,EXPOSE,VOLUME,USER)解释使用。其他指令使用环境变量时,使用格式为$variable_name或者${variable_name}。在变量前面添加斜杠\可以转义,如\${foo}或者\$foo,将会分布转换为${foo}和$foo,而不是环境变量所保存的值。另外,ONBUILD指令不支持环境替换。

    2,FROM
    格式:FROM Dockerfile - 图1 或 FROM Dockerfile - 图2:
    FROM指令的功能是后面的指令提供基础镜像,因此一个有效的Dockerfile必须必以FROM指令作为第一条非注释指令。从公共镜像库中拉取镜像很容易,基础镜像可以选择任何有效的镜像。在一个Dockerfile中,FROM指令可以出现多次,这样会构建多个镜像。在每个镜像创建完成后,Docker命令行界面会输出该镜像的ID。若FROM指令中参数tag为空,则tag默认是latest;如参数image或tag指定的镜像不存在,则返回错误。

    3,COPY
    格式:COPY
    COPY指令复制所指向的文件或目录,将它添加到新镜像中,复制的文件或目录在镜像中高端路径是锁指定的源可以有多个,但必须在上下文中,即必须是上下文的根目录的相对路径。不能使用形如COPY ../something/something这样的指令。此外,可以使用通配符指向所有匹配通配符的文件或目录,例如,COPY hom* /mydir/表示所有以”hom”开头的文件到目录/mydir/中。

    4,ADD
    格式:ADD
    ADD与COPY指令在功能上是相似的,都支持复制本地文件到镜像的功能,但ADD指令还支持其他功能。可以是指向一个网络文件的URL,此时若指向一个目录,则URL必须是完全路径,这样可以获得该网络文件的文件名filename,该文件会被复制添加到/。例如:ADD http://example.com/foobar / 会创建文件/boobar。

    还可以指向一个本地压缩归档文件,该文件在复制到容器中时会被解压提取,如ADD example.tar.xz /。但如URL中的文件为归档文件则不会被解压提取。

    注意:
    ADD和COPY指令虽然功能相似,但一般推荐使用COPY,因为COPY只支持本地文件,相比ADD而已,它更透明。

    5,RUN
    格式:RUN (shell格式)
    RUN [“executable”,”param1”,”param2”] (exec格式,推荐格式)
    RUN指令会在前一条命令创建出的镜像的基础上创建一个容器,并在容器中运行命令,在命令结束运行后提交容器为新镜像,新镜像被Dockerfile中的下一条指令使用。

    RUN指令的两种格式表示命令在容器中的两种运行方式。当使用shell格式时,另卖通过/bin/sh -c运行;当使用exec格式时,命令是直接运行的,容器不调用shell程序,即容器中没有shell程序。exec格式中的参数会当成JSON数组被Docker分析,故必须使用双引号而不能使用单引号。因为exec格式不会在shell中执行,所以环境变量的参数不会被替换掉,例如,当执行CMD [“echo”,”$HOME”]指令时,$HOME不会做变量替换。如果喜欢运行shell程序,指令可以写成CMD [“sh”,”-c”,”echo”,”$HOME”]

    6,CMD
    格式:CMD (shell格式)
    CMD [“executable”,”param1”,”param2”](exec格式,推荐格式)
    CMD [“param1”,”param2”](为ENTRYPOINT指令提供参数)

    CMD指令提供容器运行时的默认值,这些默认值可以是一条指令,也可以是一些参数。一个Dockerfile中可以有多条CMD指令,但只有最后一条CMD指令有效。CMD [“param1”,”param2”]格式是在CMD指令和ENTRYPOINT指令配合时使用的,CMD指令中的参数会添加到ENTRYPOINT指令中。使用shell和exec格式时,命令在容器中的运行方式与RUN指令相同。不同在于,RUN指令在构建镜像时执行命令,而生成新的镜像;CMD指令在构建镜像时并不执行任何命令,而是在容器启动时默认将CMD指令作为第一条执行的命令。如果用户在命令行界面运行docker run命令时指定了命令参数,则会覆盖CMD指令中的命令。

    7,ENTRYPOINT
    格式:ENTRYPOINT (shell格式)
    ENTRYPOINT <”executable”,”param1”,”param2”>(exec格式,推荐格式)
    ENTRYPOINT指令和CMD指令类似,都可以让容器在每次启动时执行相同的命令,但它们之间又有不同。一个Dockerfile中可以有多条ENTRYPOINT指令,但是只有最后一条指令有效。当使用shell指令时,ENTRYPOINT指令会忽略任何CMD指令和docker run命令的参数,并且会运行在bin/sh -c中。这意味着ENTRYPOINT指令进程为bin/sh -c的子进程,进程在容器中的PID将不是1,且不能接受Unix信号。即当使用docker stop 命令时,命令进程接受不到SIGTERM信号。我们推荐使用exec格式,使用此格式时,docker run传入的命令参数会覆盖CMD指令的内容并且附加到ENTRYPOINTzhil的参数中,从ENTRYPOINT的使用可以看出,CMD可以是参数,也可以是指令,二ENTRYPOINT只能是指令;另外,docker run命令提供的运行命令参数可以覆盖CMD,但不能覆盖ENTRYPOINT。

    8,ONBUILD
    ONBUILD指令的功能是添加一个将来执行的触发器指令到镜像中。当该镜像作为FROM指令的参数时,这些触发器指令就会在FROM指令执行时加入到构建过程中。尽管任何指令都可以注册成一个触发器指令,但ONBUILD指令中不能包含ONBUILD指令,并且不会触发FROM和MAINTAINER指令。当需要制作一个基础镜像来构建其他镜像时,ONBUILD是很有用的。例如,当需要构建的镜像时一个可重复使用的Python环境镜像时,它可能需要应用源代码加入到一个指定目录中,还可能需要执行一个构建脚本。此时不能仅仅调用ADD和RUN指令,因为现在还不能访问应用源代码,并且不同应用的源代码是不同的。我们不能简单的提供一个Dockerfile模板给应用开发者,它与特定的应用代码耦合,会引发低效、易错、难以更新等问题。这些厂家的解决方案是使用ONBUILD指令注册触发器指令,利用ONBUILD指令构建一个语言栈镜像,该镜像可以构建任何用该语言编写的用户软件的镜像。

    ONBUILD指令具体执行步骤如下:
    1,在构建过程中,ONBUILD指令会添加到触发器指令镜像元数据中。这些触发器不会在当前构建过程中执行。
    2,在构建过程最后,触发器指令会被存储在镜像详情中,其主键是OnBuild,可以使用docker inspect查看。
    3,之后该镜像可能作为其他Dockerfile中FROM指令的参数。在构建过程中,FROM指令会寻找ONBUILD触发器指令,并且会以它们注册的顺序执行。若有触发器指令执行失败,则FROM指令被中止,并返回失败;若所有触发器执行成功,则FROM指令完成并继续执行下面的指令。在进行构建完成后,触发器会被清除,不会被子孙镜像继承。

    注意:
    使用包含ONBUILD指令的Dockerfile构建的镜像应该有特殊的标签,如ruby:2.0-onbuild。在ONBUILD指令中添加ADD或COPY指令时需要额外注意。假如新构建过程的上下文缺失了被添加的资源,那么新构建过程会失败。给ONBUILD镜像添加标签,可以提示编写Dockerfile的开发人员小心应对。

    4,Dockerfile实践心得

    1,使用标签
    给镜像打上标签,易读的镜像标签可以帮助了解镜像的功能,如docker build -t “ruby:2.0-onbuild”

    2,谨慎选择基础镜像
    选择基础镜像时,尽量选择官方镜像库中的镜像。不同镜像的大小不同,目前Linux镜像大小有如下关系:
    busybox>debian>centos>ubuntu
    同时在构建自己的Docker镜像时,只安装和更新必须使用的包。
    FROM指令应该包含参数tag,如使用FROM debian:jessie而不是FROM debian。

    3,正确使用ADD与COPY指令
    尽管ADD与COPY用法和作用很接近,但COPY仍是首选。COPY相对于ADD而言,功能简单够用。COPY仅提供本地文件向容器的基本复制功能。ADD有额外的一些功能,比如支持复制本地压缩包和URL远程资源。因此,ADD比较符合逻辑的使用方式是ADD roots.tar.gz /
    当在Dockerfile中的不同部分需要用到不同的文件时,不要一次性地将这些文件都添加到镜像中去,而是在需要时逐个添加,这样也有利于充分利用缓存。另外,考虑到镜像大小的问题。使用ADD指令去获取远程URL中的压缩包不是推荐的做法。应该使用RUN wget或RUN curl代替。这样可以删除解压后不再需要的文件,并且不需要在进行中再添加一层。
    错误的做法:
    ADD http://example.com/big.tar.xz /usr/share/things/
    RUN tar -xjf /usr/src/things/bin.tar.xz -C /usr/src/things
    RUN make -C /usr/src/things all

    正确的做法:
    RUN mkdir -p /usr/src/things && curl -SL http://example.com/big.tar.gz \
    | tar -xjc /usr/src/things && make -C /usr/src/things all

    4,RUN指令
    为了使Dockerfile易读、易理解和可维护,在使用比较长的RUN指令时可以使用反斜杠\分隔多行。大部分使用RUN的场景是运行apt-get命令,在该场景下请注意如下几点:
    1,不要在一行中单独使用指令RUN apt-get update。当软件源更新后,这样做会引起缓存问题,导致RUN apt-get install指令运行失败。首页,RUN apt-get update和RUN apt-get install应该写在同一行,如RUN apt-get update && apt-get install -y package-bar package-foo package-baz。
    2,避免使用指令RUN apt-get upgrade和RUN apt-get dist-upgrade。因为在一个无特权的容器中,一些必要的包会更新失败。如果需要更新一个包(如foo),直接使用指令RUN apt-get install -y foo。

    在Docker的核心概念中,提交镜像时廉价的,镜像直接有层级关系,像一颗树。不要害怕镜像的成熟过多,我们可以在任一层创建一个容器。因此,不要将所有的命令写在一个RUN指令中。RUN指令分层符合Docker核心概念,这很像源码控制。

    5,CMD和ENTRYPOINT指令
    CMD和ENTRYPOINT指令指定了容器运行的默认命令,推荐两者结合使用。使用exec格式的ENTRYPOINT指令设置固定的默认命令和参数,然后使用CMD指令设置可变的参数。

    6,不要在Dockerfile中做端口映射
    Docker的两个核心概念是可重复性和可移植性,镜像应该可以在任何主机上运行多次。使用Dockerfile的EXPOSE指令,虽然可以将容器端口映射到主机端口上,但会破坏Docker的可移植性,且这样的镜像在一台主机上只能启动一个容器。所以端口映射应在docker run命令中用-P参数指定。
    #不要在Dockerfile中做如下映射
    EXPOSE 80:8080
    #仅仅暴露80端口,需要另做映射
    EXPOSE 80

    5,Dockerfile共享Docker镜像的优点
    1,Dockerfile文件可以加入版本控制,这样可以追踪文件的变化和回滚错误。
    2,通过Dockerfile文件,可以清楚镜像的构建的过程。
    3,使用Dockerfile文件构建的镜像具有确定性。

    6,构建镜像
    创建一个Dockerfile的文件,使用docker build 构建镜像
    1,docker build -t 标签/镜像名称 .
    -t 构建成功后,新建镜像的名称
    . 指定Dockerfile文件在当前目录下