【云原生 · Docker】轻松学会dockerfile构建镜像

简介: 【云原生 · Docker】轻松学会dockerfile构建镜像

dockerfile是什么

docker中并不建议用户通过commit方式来构建镜像,主要原因如下:

  1. 这是一种手工创建镜像的方式,容易出错,效率低且可重复性弱。比如要在 debian base 镜像中也加入vi,还得重复前面的所有步骤。
  2. 更重要的:使用者并不知道镜像是如何创建出来的,里面是否有恶意程序。也就是说无法对镜像进行审计,存在安全隐患。

       用 Dockerfile(推荐方法)构建镜像,底层也 docker commit 一层一层构建新镜像的。docker commit 能够帮助我们更加深入地理解构建过程和镜像的分层结构。

强烈推荐看官方文档:MySQL官方dockerfile文档

       用 Dockerfile(推荐方法)构建镜像,底层也 docker commit 一层一层构建新镜像的。docker commit 能够帮助我们更加深入地理解构建过程和镜像的分层结构。

       下面来个小案例,使用centos:7来构建系统镜像,里面安装vim(默认里面仅支持vi)。下面使用buid构建镜像,os1镜像名,“ . ”是dockerfile的路径

1. [root@localhost ~]# mkdir doc_file
2. [root@localhost ~]# cd doc_file/
3. [root@localhost doc_file]# docker images
4. REPOSITORY   TAG       IMAGE ID       CREATED         SIZE
5. nginx        latest    605c77e624dd   16 months ago   141MB
6. httpd        latest    dabbfbe0c57b   16 months ago   144MB
7. centos       7         eeb6ee3f44bd   19 months ago   204MB
8. [root@localhost doc_file]# vim dockerfile
9. FROM centos:7
10. RUN yum -y install vim
11. [root@localhost doc_file]# docker build -t os1 .
12. [+] Building 110.7s (6/6) FINISHED                                
13.  => [internal] load build definition from dockerfile         0.0s
14.  => => transferring dockerfile: 74B                          0.0s
15.  => [internal] load .dockerignore                            0.0s
16.  => => transferring context: 2B                              0.0s
17.  => [internal] load metadata for docker.io/library/centos:7  0.0s
18.  => CACHED [1/2] FROM docker.io/library/centos:7             0.0s
19.  => [2/2] RUN yum -y install vim                           108.6s
20.  => exporting to image                                       2.0s
21.  => => exporting layers                                      2.0s
22.  => => writing image sha256:8326a9eb4706b6687c5b1329426b81e  0.0s 
23.  => => naming to docker.io/library/os1
24.  [root@localhost doc_file]# docker images
25. REPOSITORY   TAG       IMAGE ID       CREATED          SIZE
26. os1          latest    8326a9eb4706   14 minutes ago   468MB
27. nginx        latest    605c77e624dd   16 months ago    141MB
28. httpd        latest    dabbfbe0c57b   16 months ago    144MB
29. centos       7         eeb6ee3f44bd   19 months ago    204MB
30. [root@localhost doc_file]# docker run -it os1 /bin/bash 
31. [root@66fd2b023bbb /]# vim a.txt                                        #使用vim对a.txt插入内容并查看测试
32. [root@66fd2b023bbb /]# cat a.txt 
33. hello

1. 运行 docker build 命令,-t 将新镜像命名为 os1,命令末尾的 . 指明 build context 为当前目录。Docker 默认会从 build context 中查找 Dockerfile 文件,我们也可以通过 -f 参数指定 Dockerfile 的位置。

2. 从这步开始就是镜像真正的构建过程。 首先 Docker 将 build context 中的所有文件发送给 Dockerdaemon。build context 为镜像构建提供所需要的文件或目录。 Dockerfile 中的 ADD、COPY 等命令可以将 build context 中的文件添加到镜像。此例中,build context 为当前目录 /root,该目录下的所有文件和子目录都会被发送给 Docker daemon。所以,使用 build context 就得小心了,不要将多余文件放到 build context,特别不要把 /、/usr 作为 buildcontext,否则构建过程会相当缓慢甚至失败。

3. Step 1:执行 FROM,将 centos 作为 base 镜像。

4. Step 2:执行 RUN,安装 vim。

5. 启动 ID 临时容器,在容器中通过 yum 安装 vim。

6. 安装成功后,将容器保存为镜像。 这一步底层使用的是类似 docker commit的命令。

7. 删除临时容器。

8. 镜像构建成功。 通过 docker images 查看镜像信息。

镜像的缓存特性

       Docker 会缓存已有镜像的镜像层,构建新镜像时,如果某镜像层已经存在,就直接使用缓存,不在重新创建。 例如下面,在docker中添加一些新内容,因为上面的已经安装,它会直接跳过镜像选择和vim的包,直接安装net-tools,最终系统和这两个服务都可以正常运行。

1. [root@localhost doc_file]# vim dockerfile
2. FROM centos:7
3. RUN yum -y install vim
4. RUN yum -y install net-tools
5. [root@localhost doc_file]# docker build -t os2 .
6. [+] Building 5.3s (7/7) FINISHED                                  
7.  => [internal] load build definition from dockerfile         0.0s
8.  => => transferring dockerfile: 104B                         0.0s
9.  => [internal] load .dockerignore                            0.0s
10.  => => transferring context: 2B                              0.0s
11.  => [internal] load metadata for docker.io/library/centos:7  0.0s
12.  => [1/3] FROM docker.io/library/centos:7                    0.0s
13.  => CACHED [2/3] RUN yum -y install vim                      0.0s
14.  => [3/3] RUN yum -y install net-tools                       4.1s
15.  => exporting to image                                       1.1s 
16.  => => exporting layers                                      1.1s 
17.  => => writing image sha256:8242c9c2514d73021f09a962cf1394a  0.0s 
18.  => => naming to docker.io/library/os2

       如果我们希望在构建镜像时不使用缓存,可以在 docker build 命令中加上 --no-cache 参数。 Dockerfile 中每一个指令都会创建一个镜像层,上层是依赖于下层的。无论什么时候,只要某一层发生变化,其上面所有层的缓存都会失效。 也就是说,如果我们改变 Dockerfile 指令的执行顺序,或者修改或添加指令,都会使缓存失效。举例说明,比如交换顺序:

       除了构建时使用缓存,Docker 在下载镜像时也会使用。例如我们下载 httpd 镜像。 docker pull 命令输出显示第一层(base 镜像)已经存在,不需要下载。由 Dockerfile 可知 httpd 的 base 镜像为 debian,正好之前已经下载过 debian 镜像,所以有缓存可用。通过docker history 可以进一步验证。

dockerfile命令

       在dockerfile中虽然大小写都可以使用,推荐使用大写容易区分命令。

dockerfile构建过程

1、 编写一个dockerfile文件

2、 docker build 构建称为一个镜像

3、 docker run运行镜像

4、 docker push发布镜像(DockerHub 、阿里云仓库)

FROM

       功能为指定基础镜像,并且必须是第一条指令。 如果不以任何镜像为基础,那么写法为:FROM scratch。 同时意味着接下来所写的指令将作为镜像的第一层开始 语法:

1. FROM <image>
2. FROM <image>:<tag>
3. FROM <image>:<digest>

三种写法,其中<tag>和<digest> 是可选项,如果没有选择,那么默认值为latest。

RUN

功能为运行指定的命令 RUN命令有两种格式

1. RUN
2. RUN ["executable", "param1", "param2"]

       第一种后边直接跟shell命令。在linux操作系统上默认 /bin/sh -c。 在windows操作系统上默认 cmd /S /C 第二种是类似于函数调用。 可将executable理解成为可执行文件,后面就是两个参数。

两种写法比对:

1. RUN /bin/bash -c 'source $HOME/.bashrc && echo $HOME'
2. RUN ["/bin/bash", "-c", "echo hello"]

       注意:多行命令不要写多个RUN,原因是Dockerfile中每一个指令都会建立一层. 多少个RUN就构建了多少层镜像,会造成镜像的臃肿、多层,不仅仅增加了构件部署的时间,还容易出错。 RUN书写时的换行符是\

CMD

功能为容器启动时要运行的命令 语法有三种写法

1. CMD ["executable","param1","param2"]
2. CMD ["param1","param2"]
3. CMD command param1 param2

       第三种比较好理解了,就时shell这种执行方式和写法 第一种和第二种其实都是可执行文件加上参数的形式 举例说明两种写法:

1. CMD [ "sh", "-c", "echo $HOME"
2. CMD [ "echo", "$HOME" ]

       补充细节:这里边包括参数的一定要用双引号,就是",不能是单引号。千万不能写成单引号。原因是参数传递后,docker解析的是一个JSON array

RUN & CMD

       不要把RUN和CMD搞混了。 RUN是构件容器时就运行的命令以及提交运行结果;CMD是容器启动时执行的命令,在构件时并不运行,构件时紧紧指定了这个命令到底是个什么样子。

实例

1. [root@localhost doc_file]# vim dockerfile
2. FROM centos:7
3. CMD echo hello
4. [root@localhost doc_file]# docker build -t os1 .
5. #省略部分内容
6. [root@localhost doc_file]# docker run os1
7. hello

LABEL

为镜像指定标签,可以标识作者等信息。

一个Dockerfile中可以有多个LABEL,语法如下:

LABEL <key>=<value> <key>=<value> <key>=<value> ...

EXPOSE

       功能为暴露容器运行时的监听端口给外部,但是EXPOSE并不会vim,使容器访问主机的端口,如果想使得容器与主机的端口有映射关系,必须在容器启动的时候加上 -P参数

EXPOSE <port> [<port>/<protocol>...]

实例

1. [root@localhost doc_file]# vim dockerfile
2. FROM centos:7
3. EXPOSE  80/tcp 88/udp
4. [root@localhost doc_file]# docker build -t os2 .
5. #省略部分内容
6. [root@localhost doc_file]# docker run -id os2 /bin/bash
7. 947de4db7eae383bd4a2103637c65f3552dd361d909f317582a7ac5495bcbddc
8. [root@localhost doc_file]# docker ps -a | grep os2
9. 947de4db7eae   os2        "/bin/bash"               15 seconds ago   Up 14 seconds              80/tcp, 88/udp   sweet_davinci

ENV

功能为设置环境变量 语法有两种:

1. ENV
2. 
3. ENV = <key>=<value> ...

两者的区别就是第一种是一次设置一个,第二种是一次设置多个

实例

1. [root@localhost doc_file]# vim dockerfile
2. FROM centos:7
3. ENV a="hello world"
4. CMD echo $a
5. [root@localhost doc_file]# docker build -t os3 .
6. #省略部分内容
7. [root@localhost doc_file]# docker run os3
8. hello world

ADD

       一个复制命令,把文件复制到镜象中。 如果把虚拟机与容器想象成两台linux服务器的话,那么这个命令就类似于scp,只是scp需要加用户名和密码的权限验证,而ADD不用。 语法如下:

1. ADD [--chown=<user>:<group>] [--chmod=<perms>] [--checksum=<checksum>] <src>... <dest>
2. ADD [--chown=<user>:<group>] [--chmod=<perms>] ["<src>",... "<dest>"]

       路径的填写可以是容器内的绝对路径,也可以是相对于工作目录的相对路径 可以是一个本地文件或者是一个本地压缩文件,还可以是一个url 如果把写成一个url,那么ADD就类似于wget命令 如以下写法都是可以的:

1. ADD 本地文件 目标位置
2. ADD URL地址   目标位置

       尽量不要把写成一个文件夹,如果是一个文件夹,则复制整个目录的内容,包括文件系统元数据。当复制tar包进入容器,会自行解压为目录。

实例

1. [root@localhost doc_file]# tar zcf back.tar.gz /boot
2. tar: 从成员名中删除开头的“/”
3. [root@localhost doc_file]# ls
4. back.tar.gz  dockerfile
5. [root@localhost doc_file]# vim dockerfile 
6. FROM centos:7
7. ADD back.tar.gz /tmp
8. [root@localhost doc_file]# docker build -t os4 .
9. #省略部分内容
10. [root@26df4b67e3fc /]# cd /tmp/
11. [root@26df4b67e3fc tmp]# ls
12. boot  ks-script-DrRL8A  yum.log

COPY

看这个名字就知道,又是一个复制命令 语法如下:

1. COPY [--chown=<user>:<group>] [--chmod=<perms>] <src>... <dest>
2. COPY [--chown=<user>:<group>] [--chmod=<perms>] ["<src>",... "<dest>"]

与ADD的区别 COPY的只能是本地文件,其他用法一致。

ENTRYPOINT

功能是启动时的默认命令 语法如下:

1. ENTRYPOINT ["executable", "param1", "param2"]
2. ENTRYPOINT command param1 param2

第二种就是写shell 第一种就是可执行文件加参数 与CMD比较说明(这俩命令太像了,而且还可以配合使用):

  1. 相同点: 只能写一条,如果写了多条,那么只有最后一条生效 容器启动时才运行,运行时机相同
  2. 不同点: ENTRYPOINT不会被运行的command覆盖,而CMD则会被覆盖 如果我们在Dockerfile种同时写了ENTRYPOINT和CMD,并且CMD指令不是一个完整的可执行命令,那么CMD指定的内容将会作为ENTRYPOINT的参数 如下:
1. FROM ubuntu
2. ENTRYPOINT ["top", "-b"]
3. CMD ["-c"]

       如果我们在Dockerfile种同时写了ENTRYPOINT和CMD,并且CMD是一个完整的指令,那么它们两个会互相覆盖,谁在最后谁生效 如下:

1. FROM ubuntu
2. ENTRYPOINT ["top", "-b"]
3. CMD ls -al

那么将执行ls -al ,top -b不会执行。

VOLUME

实现挂载功能,将本地文件/目录或其他容器文件/目录改在这个容器里。

语法如下:

1. VOLUME ["/var/log/"]
2. VOLUME /var/log
3. VOLUME /var/log /var/db

实例如下:

1. FROM ubuntu
2. RUN mkdir /myvol
3. RUN echo "hello world" > /myvol/greeting
4. VOLUME /myvol

USER

设置启动容器的用户,有两种语法,使用用户名或UID。谨慎使用,如果使用z3用户时,RUN、CMD等都将以z3用户执行。

1. USER <user>[:<group>]
2. USER <UID>[:<GID>]

WORKDIR

设置工作目录,对RUN、CMD等生效。如果该目录不存在则会自动创建,可以设置多次。下面使用pwd执行的结果是/a/b/c。

1. WORKDIR /a
2. WORKDIR b
3. WORKDIR c
4. RUN pwd

也可以解析环境变量,pwd执行的结果是/path/$DIRNAME

1. ENV DIRPATH=/path
2. WORKDIR $DIRPATH/$DIRNAME
3. RUN pwd

ARG

       使用ARG定义一个变量,在构建镜像时,使用--build-arg = 指定参数,如果在构建镜像时指定的参数没有在dockerfile中,将会楚江Waring提醒。

直接定义参数

1. FROM busybox
2. ARG user1
3. ARG buildno
4. # ...

给参数一个默认值,如果给了一个默认值时,构建镜像时没有指定参数,将会自动使用默认值。

1. FROM busybox
2. ARG user1=someuser
3. ARG buildno=1
4. # ...

ONBUILD

       指定当前镜像的子镜像执行,就是说,我在构建dockerfile时,执行下面ls操作时,不执行。如果有人基于我的镜像修改时,将会执行ls操作。

ONBUILD RUN ls

STOPSIGNAL

当退出容器时,执行定义的命令。

STOPSIGNAL signal


相关文章
|
21天前
|
Docker 容器
将本地的应用程序打包成Docker镜像
将本地的应用程序打包成Docker镜像
|
5天前
|
NoSQL PHP MongoDB
docker push推送自己搭建的镜像
本文详细介绍了如何搭建和复盘两个Web安全挑战环境:人力资源管理系统和邮件管理系统。首先,通过Docker搭建MongoDB和PHP环境,模拟人力资源管理系统的漏洞,包括nosql注入和文件写入等。接着,复盘了如何利用这些漏洞获取flag。邮件管理系统部分,通过目录遍历、文件恢复和字符串比较等技术,逐步绕过验证并最终获取flag。文章提供了详细的步骤和代码示例,适合安全研究人员学习和实践。
21 3
docker push推送自己搭建的镜像
|
21天前
|
数据库 Docker 容器
Docker在现代软件开发中扮演着重要角色,通过Dockerfile自动化构建Docker镜像,实现高效、可重复的构建过程。
Docker在现代软件开发中扮演着重要角色,通过Dockerfile自动化构建Docker镜像,实现高效、可重复的构建过程。Dockerfile定义了构建镜像所需的所有指令,包括基础镜像选择、软件安装、文件复制等,极大提高了开发和部署的灵活性与一致性。掌握Dockerfile的编写,对于提升软件开发效率和环境管理具有重要意义。
42 9
|
Linux Docker Windows
Docker概述:什么Docker如此特别,它是如何构建的
本文讲的是Docker概述:什么Docker如此特别,它是如何构建的,【编者的话】在上一系列介绍中,我们大体地介绍了CoreOS。在这个系列中我想介绍一下Docker。本文我们看一下为什么Docker如此特别,它是如何构建的。我们会从基本开始介绍,所以读者不必担心自己是刚接触Docker的。
1375 0
|
13天前
|
监控 NoSQL 时序数据库
《docker高级篇(大厂进阶):7.Docker容器监控之CAdvisor+InfluxDB+Granfana》包括:原生命令、是什么、compose容器编排,一套带走
《docker高级篇(大厂进阶):7.Docker容器监控之CAdvisor+InfluxDB+Granfana》包括:原生命令、是什么、compose容器编排,一套带走
143 77
|
21天前
|
监控 Docker 容器
在Docker容器中运行打包好的应用程序
在Docker容器中运行打包好的应用程序
|
15天前
|
数据建模 应用服务中间件 nginx
docker替换宿主与容器的映射端口和文件路径
通过正确配置 Docker 的端口和文件路径映射,可以有效地管理容器化应用程序,确保其高效运行和数据持久性。在生产环境中,动态替换映射配置有助于灵活应对各种需求变化。以上方法和步骤提供了一种可靠且易于操作的方案,帮助您轻松管理 Docker 容器的端口和路径映射。
55 3
|
21天前
|
存储 缓存 监控
Docker容器性能调优的关键技巧,涵盖CPU、内存、网络及磁盘I/O的优化策略,结合实战案例,旨在帮助读者有效提升Docker容器的性能与稳定性。
本文介绍了Docker容器性能调优的关键技巧,涵盖CPU、内存、网络及磁盘I/O的优化策略,结合实战案例,旨在帮助读者有效提升Docker容器的性能与稳定性。
54 7
|
21天前
|
存储 Prometheus 监控
Docker容器内进行应用调试与故障排除的方法与技巧,包括使用日志、进入容器检查、利用监控工具及检查配置等,旨在帮助用户有效应对应用部署中的挑战,确保应用稳定运行
本文深入探讨了在Docker容器内进行应用调试与故障排除的方法与技巧,包括使用日志、进入容器检查、利用监控工具及检查配置等,旨在帮助用户有效应对应用部署中的挑战,确保应用稳定运行。
30 5