dockerfile是什么
docker中并不建议用户通过commit方式来构建镜像,主要原因如下:
- 这是一种手工创建镜像的方式,容易出错,效率低且可重复性弱。比如要在 debian base 镜像中也加入vi,还得重复前面的所有步骤。
- 更重要的:使用者并不知道镜像是如何创建出来的,里面是否有恶意程序。也就是说无法对镜像进行审计,存在安全隐患。
用 Dockerfile(推荐方法)构建镜像,底层也 docker commit 一层一层构建新镜像的。docker commit 能够帮助我们更加深入地理解构建过程和镜像的分层结构。
强烈推荐看官方文档:MySQL官方dockerfile文档
用 Dockerfile(推荐方法)构建镜像,底层也 docker commit 一层一层构建新镜像的。docker commit 能够帮助我们更加深入地理解构建过程和镜像的分层结构。
下面来个小案例,使用centos:7来构建系统镜像,里面安装vim(默认里面仅支持vi)。下面使用buid构建镜像,os1镜像名,“ . ”是dockerfile的路径
1. [root@localhost ~]# mkdir doc_file 2. [root@localhost ~]# cd doc_file/ 3. [root@localhost doc_file]# docker images 4. REPOSITORY TAG IMAGE ID CREATED SIZE 5. nginx latest 605c77e624dd 16 months ago 141MB 6. httpd latest dabbfbe0c57b 16 months ago 144MB 7. centos 7 eeb6ee3f44bd 19 months ago 204MB 8. [root@localhost doc_file]# vim dockerfile 9. FROM centos:7 10. RUN yum -y install vim 11. [root@localhost doc_file]# docker build -t os1 . 12. [+] Building 110.7s (6/6) FINISHED 13. => [internal] load build definition from dockerfile 0.0s 14. => => transferring dockerfile: 74B 0.0s 15. => [internal] load .dockerignore 0.0s 16. => => transferring context: 2B 0.0s 17. => [internal] load metadata for docker.io/library/centos:7 0.0s 18. => CACHED [1/2] FROM docker.io/library/centos:7 0.0s 19. => [2/2] RUN yum -y install vim 108.6s 20. => exporting to image 2.0s 21. => => exporting layers 2.0s 22. => => writing image sha256:8326a9eb4706b6687c5b1329426b81e 0.0s 23. => => naming to docker.io/library/os1 24. [root@localhost doc_file]# docker images 25. REPOSITORY TAG IMAGE ID CREATED SIZE 26. os1 latest 8326a9eb4706 14 minutes ago 468MB 27. nginx latest 605c77e624dd 16 months ago 141MB 28. httpd latest dabbfbe0c57b 16 months ago 144MB 29. centos 7 eeb6ee3f44bd 19 months ago 204MB 30. [root@localhost doc_file]# docker run -it os1 /bin/bash 31. [root@66fd2b023bbb /]# vim a.txt #使用vim对a.txt插入内容并查看测试 32. [root@66fd2b023bbb /]# cat a.txt 33. hello
1. 运行 docker build 命令,-t 将新镜像命名为 os1,命令末尾的 . 指明 build context 为当前目录。Docker 默认会从 build context 中查找 Dockerfile 文件,我们也可以通过 -f 参数指定 Dockerfile 的位置。
2. 从这步开始就是镜像真正的构建过程。 首先 Docker 将 build context 中的所有文件发送给 Dockerdaemon。build context 为镜像构建提供所需要的文件或目录。 Dockerfile 中的 ADD、COPY 等命令可以将 build context 中的文件添加到镜像。此例中,build context 为当前目录 /root,该目录下的所有文件和子目录都会被发送给 Docker daemon。所以,使用 build context 就得小心了,不要将多余文件放到 build context,特别不要把 /、/usr 作为 buildcontext,否则构建过程会相当缓慢甚至失败。
3. Step 1:执行 FROM,将 centos 作为 base 镜像。
4. Step 2:执行 RUN,安装 vim。
5. 启动 ID 临时容器,在容器中通过 yum 安装 vim。
6. 安装成功后,将容器保存为镜像。 这一步底层使用的是类似 docker commit的命令。
7. 删除临时容器。
8. 镜像构建成功。 通过 docker images 查看镜像信息。
镜像的缓存特性
Docker 会缓存已有镜像的镜像层,构建新镜像时,如果某镜像层已经存在,就直接使用缓存,不在重新创建。 例如下面,在docker中添加一些新内容,因为上面的已经安装,它会直接跳过镜像选择和vim的包,直接安装net-tools,最终系统和这两个服务都可以正常运行。
1. [root@localhost doc_file]# vim dockerfile 2. FROM centos:7 3. RUN yum -y install vim 4. RUN yum -y install net-tools 5. [root@localhost doc_file]# docker build -t os2 . 6. [+] Building 5.3s (7/7) FINISHED 7. => [internal] load build definition from dockerfile 0.0s 8. => => transferring dockerfile: 104B 0.0s 9. => [internal] load .dockerignore 0.0s 10. => => transferring context: 2B 0.0s 11. => [internal] load metadata for docker.io/library/centos:7 0.0s 12. => [1/3] FROM docker.io/library/centos:7 0.0s 13. => CACHED [2/3] RUN yum -y install vim 0.0s 14. => [3/3] RUN yum -y install net-tools 4.1s 15. => exporting to image 1.1s 16. => => exporting layers 1.1s 17. => => writing image sha256:8242c9c2514d73021f09a962cf1394a 0.0s 18. => => naming to docker.io/library/os2
如果我们希望在构建镜像时不使用缓存,可以在 docker build 命令中加上 --no-cache 参数。 Dockerfile 中每一个指令都会创建一个镜像层,上层是依赖于下层的。无论什么时候,只要某一层发生变化,其上面所有层的缓存都会失效。 也就是说,如果我们改变 Dockerfile 指令的执行顺序,或者修改或添加指令,都会使缓存失效。举例说明,比如交换顺序:
除了构建时使用缓存,Docker 在下载镜像时也会使用。例如我们下载 httpd 镜像。 docker pull 命令输出显示第一层(base 镜像)已经存在,不需要下载。由 Dockerfile 可知 httpd 的 base 镜像为 debian,正好之前已经下载过 debian 镜像,所以有缓存可用。通过docker history 可以进一步验证。
dockerfile命令
在dockerfile中虽然大小写都可以使用,推荐使用大写容易区分命令。
dockerfile构建过程
1、 编写一个dockerfile文件
2、 docker build 构建称为一个镜像
3、 docker run运行镜像
4、 docker push发布镜像(DockerHub 、阿里云仓库)
FROM
功能为指定基础镜像,并且必须是第一条指令。 如果不以任何镜像为基础,那么写法为:FROM scratch。 同时意味着接下来所写的指令将作为镜像的第一层开始 语法:
1. FROM <image> 2. FROM <image>:<tag> 3. FROM <image>:<digest>
三种写法,其中<tag>和<digest> 是可选项,如果没有选择,那么默认值为latest。
RUN
功能为运行指定的命令 RUN命令有两种格式
1. RUN 2. RUN ["executable", "param1", "param2"]
第一种后边直接跟shell命令。在linux操作系统上默认 /bin/sh -c。 在windows操作系统上默认 cmd /S /C 第二种是类似于函数调用。 可将executable理解成为可执行文件,后面就是两个参数。
两种写法比对:
1. RUN /bin/bash -c 'source $HOME/.bashrc && echo $HOME' 2. RUN ["/bin/bash", "-c", "echo hello"]
注意:多行命令不要写多个RUN,原因是Dockerfile中每一个指令都会建立一层. 多少个RUN就构建了多少层镜像,会造成镜像的臃肿、多层,不仅仅增加了构件部署的时间,还容易出错。 RUN书写时的换行符是\
CMD
功能为容器启动时要运行的命令 语法有三种写法
1. CMD ["executable","param1","param2"] 2. CMD ["param1","param2"] 3. CMD command param1 param2
第三种比较好理解了,就时shell这种执行方式和写法 第一种和第二种其实都是可执行文件加上参数的形式 举例说明两种写法:
1. CMD [ "sh", "-c", "echo $HOME" 2. CMD [ "echo", "$HOME" ]
补充细节:这里边包括参数的一定要用双引号,就是",不能是单引号。千万不能写成单引号。原因是参数传递后,docker解析的是一个JSON array
RUN & CMD
不要把RUN和CMD搞混了。 RUN是构件容器时就运行的命令以及提交运行结果;CMD是容器启动时执行的命令,在构件时并不运行,构件时紧紧指定了这个命令到底是个什么样子。
实例
1. [root@localhost doc_file]# vim dockerfile 2. FROM centos:7 3. CMD echo hello 4. [root@localhost doc_file]# docker build -t os1 . 5. #省略部分内容 6. [root@localhost doc_file]# docker run os1 7. hello
LABEL
为镜像指定标签,可以标识作者等信息。
一个Dockerfile中可以有多个LABEL,语法如下:
LABEL <key>=<value> <key>=<value> <key>=<value> ...
EXPOSE
功能为暴露容器运行时的监听端口给外部,但是EXPOSE并不会vim,使容器访问主机的端口,如果想使得容器与主机的端口有映射关系,必须在容器启动的时候加上 -P参数
EXPOSE <port> [<port>/<protocol>...]
实例
1. [root@localhost doc_file]# vim dockerfile 2. FROM centos:7 3. EXPOSE 80/tcp 88/udp 4. [root@localhost doc_file]# docker build -t os2 . 5. #省略部分内容 6. [root@localhost doc_file]# docker run -id os2 /bin/bash 7. 947de4db7eae383bd4a2103637c65f3552dd361d909f317582a7ac5495bcbddc 8. [root@localhost doc_file]# docker ps -a | grep os2 9. 947de4db7eae os2 "/bin/bash" 15 seconds ago Up 14 seconds 80/tcp, 88/udp sweet_davinci
ENV
功能为设置环境变量 语法有两种:
1. ENV 2. 3. ENV = <key>=<value> ...
两者的区别就是第一种是一次设置一个,第二种是一次设置多个
实例
1. [root@localhost doc_file]# vim dockerfile 2. FROM centos:7 3. ENV a="hello world" 4. CMD echo $a 5. [root@localhost doc_file]# docker build -t os3 . 6. #省略部分内容 7. [root@localhost doc_file]# docker run os3 8. hello world
ADD
一个复制命令,把文件复制到镜象中。 如果把虚拟机与容器想象成两台linux服务器的话,那么这个命令就类似于scp,只是scp需要加用户名和密码的权限验证,而ADD不用。 语法如下:
1. ADD [--chown=<user>:<group>] [--chmod=<perms>] [--checksum=<checksum>] <src>... <dest> 2. ADD [--chown=<user>:<group>] [--chmod=<perms>] ["<src>",... "<dest>"]
路径的填写可以是容器内的绝对路径,也可以是相对于工作目录的相对路径 可以是一个本地文件或者是一个本地压缩文件,还可以是一个url 如果把写成一个url,那么ADD就类似于wget命令 如以下写法都是可以的:
1. ADD 本地文件 目标位置 2. ADD URL地址 目标位置
尽量不要把写成一个文件夹,如果是一个文件夹,则复制整个目录的内容,包括文件系统元数据。当复制tar包进入容器,会自行解压为目录。
实例
1. [root@localhost doc_file]# tar zcf back.tar.gz /boot 2. tar: 从成员名中删除开头的“/” 3. [root@localhost doc_file]# ls 4. back.tar.gz dockerfile 5. [root@localhost doc_file]# vim dockerfile 6. FROM centos:7 7. ADD back.tar.gz /tmp 8. [root@localhost doc_file]# docker build -t os4 . 9. #省略部分内容 10. [root@26df4b67e3fc /]# cd /tmp/ 11. [root@26df4b67e3fc tmp]# ls 12. boot ks-script-DrRL8A yum.log
COPY
看这个名字就知道,又是一个复制命令 语法如下:
1. COPY [--chown=<user>:<group>] [--chmod=<perms>] <src>... <dest> 2. COPY [--chown=<user>:<group>] [--chmod=<perms>] ["<src>",... "<dest>"]
与ADD的区别 COPY的只能是本地文件,其他用法一致。
ENTRYPOINT
功能是启动时的默认命令 语法如下:
1. ENTRYPOINT ["executable", "param1", "param2"] 2. ENTRYPOINT command param1 param2
第二种就是写shell 第一种就是可执行文件加参数 与CMD比较说明(这俩命令太像了,而且还可以配合使用):
- 相同点: 只能写一条,如果写了多条,那么只有最后一条生效 容器启动时才运行,运行时机相同
- 不同点: ENTRYPOINT不会被运行的command覆盖,而CMD则会被覆盖 如果我们在Dockerfile种同时写了ENTRYPOINT和CMD,并且CMD指令不是一个完整的可执行命令,那么CMD指定的内容将会作为ENTRYPOINT的参数 如下:
1. FROM ubuntu 2. ENTRYPOINT ["top", "-b"] 3. CMD ["-c"]
如果我们在Dockerfile种同时写了ENTRYPOINT和CMD,并且CMD是一个完整的指令,那么它们两个会互相覆盖,谁在最后谁生效 如下:
1. FROM ubuntu 2. ENTRYPOINT ["top", "-b"] 3. CMD ls -al
那么将执行ls -al ,top -b不会执行。
VOLUME
实现挂载功能,将本地文件/目录或其他容器文件/目录改在这个容器里。
语法如下:
1. VOLUME ["/var/log/"] 2. VOLUME /var/log 3. VOLUME /var/log /var/db
实例如下:
1. FROM ubuntu 2. RUN mkdir /myvol 3. RUN echo "hello world" > /myvol/greeting 4. VOLUME /myvol
USER
设置启动容器的用户,有两种语法,使用用户名或UID。谨慎使用,如果使用z3用户时,RUN、CMD等都将以z3用户执行。
1. USER <user>[:<group>] 2. USER <UID>[:<GID>]
WORKDIR
设置工作目录,对RUN、CMD等生效。如果该目录不存在则会自动创建,可以设置多次。下面使用pwd执行的结果是/a/b/c。
1. WORKDIR /a 2. WORKDIR b 3. WORKDIR c 4. RUN pwd
也可以解析环境变量,pwd执行的结果是/path/$DIRNAME
1. ENV DIRPATH=/path 2. WORKDIR $DIRPATH/$DIRNAME 3. RUN pwd
ARG
使用ARG定义一个变量,在构建镜像时,使用--build-arg = 指定参数,如果在构建镜像时指定的参数没有在dockerfile中,将会楚江Waring提醒。
直接定义参数
1. FROM busybox 2. ARG user1 3. ARG buildno 4. # ...
给参数一个默认值,如果给了一个默认值时,构建镜像时没有指定参数,将会自动使用默认值。
1. FROM busybox 2. ARG user1=someuser 3. ARG buildno=1 4. # ...
ONBUILD
指定当前镜像的子镜像执行,就是说,我在构建dockerfile时,执行下面ls操作时,不执行。如果有人基于我的镜像修改时,将会执行ls操作。
ONBUILD RUN ls
STOPSIGNAL
当退出容器时,执行定义的命令。
STOPSIGNAL signal