學(xué)習(xí)完整課程請移步 互聯(lián)網(wǎng) Java 全棧工程師
我們已經(jīng)介紹了 FROM坑傅,RUN搭综,還提及了 COPY, ADD,其實 Dockerfile 功能很強(qiáng)大皱炉,它提供了十多個指令。下面我們繼續(xù)講解其他的指令狮鸭。
COPY
格式:
COPY <源路徑>... <目標(biāo)路徑>COPY ["<源路徑1>",... "<目標(biāo)路徑>"]
和 RUN 指令一樣合搅,也有兩種格式,一種類似于命令行歧蕉,一種類似于函數(shù)調(diào)用灾部。
COPY 指令將從構(gòu)建上下文目錄中 <源路徑> 的文件/目錄復(fù)制到新的一層的鏡像內(nèi)的 <目標(biāo)路徑> 位置。比如:
COPY package.json /usr/src/app/
<源路徑> 可以是多個惯退,甚至可以是通配符赌髓,其通配符規(guī)則要滿足 Go 的 filepath.Match 規(guī)則,如:
COPY hom* /mydir/
COPY hom?.txt /mydir/
<目標(biāo)路徑> 可以是容器內(nèi)的絕對路徑催跪,也可以是相對于工作目錄的相對路徑(工作目錄可以用 WORKDIR 指令來指定)春弥。目標(biāo)路徑不需要事先創(chuàng)建,如果目錄不存在會在復(fù)制文件前先行創(chuàng)建缺失目錄叠荠。
此外,還需要注意一點扫责,使用 COPY 指令榛鼎,源文件的各種元數(shù)據(jù)都會保留。比如讀鳖孤、寫者娱、執(zhí)行權(quán)限、文件變更時間等苏揣。這個特性對于鏡像定制很有用黄鳍。特別是構(gòu)建相關(guān)文件都在使用 Git 進(jìn)行管理的時候。
ADD
ADD 指令和 COPY 的格式和性質(zhì)基本一致平匈。但是在 COPY 基礎(chǔ)上增加了一些功能框沟。
比如 <源路徑> 可以是一個 URL藏古,這種情況下,Docker 引擎會試圖去下載這個鏈接的文件放到 <目標(biāo)路徑> 去忍燥。下載后的文件權(quán)限自動設(shè)置為 600拧晕,如果這并不是想要的權(quán)限,那么還需要增加額外的一層 RUN 進(jìn)行權(quán)限調(diào)整梅垄,另外厂捞,如果下載的是個壓縮包,需要解壓縮队丝,也一樣還需要額外的一層 RUN 指令進(jìn)行解壓縮靡馁。所以不如直接使用 RUN 指令,然后使用 wget 或者 curl 工具下載机久,處理權(quán)限臭墨、解壓縮、然后清理無用文件更合理吞加。因此裙犹,這個功能其實并不實用,而且不推薦使用衔憨。
如果 <源路徑> 為一個 tar 壓縮文件的話叶圃,壓縮格式為 gzip, bzip2 以及 xz 的情況下,ADD 指令將會自動解壓縮這個壓縮文件到 <目標(biāo)路徑> 去践图。
在某些情況下掺冠,這個自動解壓縮的功能非常有用,比如官方鏡像 ubuntu 中:
FROM scratch
ADD ubuntu-xenial-core-cloudimg-amd64-root.tar.gz /
...
但在某些情況下码党,如果我們真的是希望復(fù)制個壓縮文件進(jìn)去德崭,而不解壓縮,這時就不可以使用 ADD 命令了揖盘。
在 Docker 官方的 Dockerfile 最佳實踐文檔 中要求眉厨,盡可能的使用 COPY,因為 COPY 的語義很明確兽狭,就是復(fù)制文件而已憾股,而 ADD 則包含了更復(fù)雜的功能,其行為也不一定很清晰箕慧。最適合使用 ADD 的場合服球,就是所提及的需要自動解壓縮的場合。
另外需要注意的是颠焦,ADD 指令會令鏡像構(gòu)建緩存失效斩熊,從而可能會令鏡像構(gòu)建變得比較緩慢。
因此在 COPY 和 ADD 指令中選擇的時候伐庭,可以遵循這樣的原則粉渠,所有的文件復(fù)制均使用 COPY 指令分冈,僅在需要自動解壓縮的場合使用 ADD。
CMD
CMD 指令的格式和 RUN 相似渣叛,也是兩種格式:
-
shell格式:CMD <命令> -
exec格式:CMD ["可執(zhí)行文件", "參數(shù)1", "參數(shù)2"...] - 參數(shù)列表格式:
CMD ["參數(shù)1", "參數(shù)2"...]丈秩。在指定了ENTRYPOINT指令后,用CMD指定具體的參數(shù)淳衙。
之前介紹容器的時候曾經(jīng)說過蘑秽,Docker 不是虛擬機(jī),容器就是進(jìn)程箫攀。既然是進(jìn)程肠牲,那么在啟動容器的時候,需要指定所運行的程序及參數(shù)靴跛。CMD 指令就是用于指定默認(rèn)的容器主進(jìn)程的啟動命令的缀雳。
在運行時可以指定新的命令來替代鏡像設(shè)置中的這個默認(rèn)命令,比如梢睛,ubuntu 鏡像默認(rèn)的 CMD 是 /bin/bash肥印,如果我們直接 docker run -it ubuntu 的話,會直接進(jìn)入 bash绝葡。我們也可以在運行時指定運行別的命令深碱,如 docker run -it ubuntu cat /etc/os-release。這就是用 cat /etc/os-release 命令替換了默認(rèn)的 /bin/bash 命令了藏畅,輸出了系統(tǒng)版本信息敷硅。
在指令格式上,一般推薦使用 exec 格式愉阎,這類格式在解析時會被解析為 JSON 數(shù)組绞蹦,因此一定要使用雙引號 ",而不要使用單引號榜旦。
如果使用 shell 格式的話幽七,實際的命令會被包裝為 sh -c 的參數(shù)的形式進(jìn)行執(zhí)行。比如:
CMD echo $HOME
在實際執(zhí)行中溅呢,會將其變更為:
CMD [ "sh", "-c", "echo $HOME" ]
這就是為什么我們可以使用環(huán)境變量的原因澡屡,因為這些環(huán)境變量會被 shell 進(jìn)行解析處理。
提到 CMD 就不得不提容器中應(yīng)用在前臺執(zhí)行和后臺執(zhí)行的問題藕届。這是初學(xué)者常出現(xiàn)的一個混淆。
Docker 不是虛擬機(jī)亭饵,容器中的應(yīng)用都應(yīng)該以前臺執(zhí)行休偶,而不是像虛擬機(jī)、物理機(jī)里面那樣辜羊,用 upstart/systemd 去啟動后臺服務(wù)踏兜,容器內(nèi)沒有后臺服務(wù)的概念词顾。
一些初學(xué)者將 CMD 寫為:
CMD service nginx start
然后發(fā)現(xiàn)容器執(zhí)行后就立即退出了。甚至在容器內(nèi)去使用 systemctl 命令結(jié)果卻發(fā)現(xiàn)根本執(zhí)行不了碱妆。這就是因為沒有搞明白前臺肉盹、后臺的概念,沒有區(qū)分容器和虛擬機(jī)的差異疹尾,依舊在以傳統(tǒng)虛擬機(jī)的角度去理解容器上忍。
對于容器而言,其啟動程序就是容器應(yīng)用進(jìn)程纳本,容器就是為了主進(jìn)程而存在的窍蓝,主進(jìn)程退出,容器就失去了存在的意義繁成,從而退出吓笙,其它輔助進(jìn)程不是它需要關(guān)心的東西。
而使用 service nginx start 命令巾腕,則是希望 upstart 來以后臺守護(hù)進(jìn)程形式啟動 nginx 服務(wù)面睛。而剛才說了 CMD service nginx start 會被理解為 CMD [ "sh", "-c", "service nginx start"],因此主進(jìn)程實際上是 sh尊搬。那么當(dāng) service nginx start 命令結(jié)束后叁鉴,sh 也就結(jié)束了,sh 作為主進(jìn)程退出了毁嗦,自然就會令容器退出亲茅。
正確的做法是直接執(zhí)行 nginx 可執(zhí)行文件,并且要求以前臺形式運行狗准。比如:
CMD ["nginx", "-g", "daemon off;"]
ENTRYPOINT
ENTRYPOINT 的格式和 RUN 指令格式一樣克锣,分為 exec 格式和 shell 格式。
ENTRYPOINT 的目的和 CMD 一樣腔长,都是在指定容器啟動程序及參數(shù)袭祟。ENTRYPOINT 在運行時也可以替代,不過比 CMD 要略顯繁瑣捞附,需要通過 docker run 的參數(shù) --entrypoint 來指定巾乳。
當(dāng)指定了 ENTRYPOINT 后,CMD 的含義就發(fā)生了改變鸟召,不再是直接的運行其命令胆绊,而是將 CMD 的內(nèi)容作為參數(shù)傳給 ENTRYPOINT 指令,換句話說實際執(zhí)行時欧募,將變?yōu)椋?/p>
<ENTRYPOINT> "<CMD>"
那么有了 CMD 后压状,為什么還要有 ENTRYPOINT 呢?這種 <ENTRYPOINT> "<CMD>" 有什么好處么?讓我們來看幾個場景种冬。
場景一:讓鏡像變成像命令一樣使用
假設(shè)我們需要一個得知自己當(dāng)前公網(wǎng) IP 的鏡像镣丑,那么可以先用 CMD 來實現(xiàn):
FROM ubuntu:16.04
RUN apt-get update \
&& apt-get install -y curl \
&& rm -rf /var/lib/apt/lists/*
CMD [ "curl", "-s", "http://ip.cn" ]
假如我們使用 docker build -t myip . 來構(gòu)建鏡像的話,如果我們需要查詢當(dāng)前公網(wǎng) IP娱两,只需要執(zhí)行:
$ docker run myip
當(dāng)前 IP:61.148.226.66 來自:北京市 聯(lián)通
嗯莺匠,這么看起來好像可以直接把鏡像當(dāng)做命令使用了,不過命令總有參數(shù)十兢,如果我們希望加參數(shù)呢趣竣?比如從上面的 CMD 中可以看到實質(zhì)的命令是 curl,那么如果我們希望顯示 HTTP 頭信息纪挎,就需要加上 -i 參數(shù)期贫。那么我們可以直接加 -i 參數(shù)給 docker run myip 么?
$ docker run myip -i
docker: Error response from daemon: invalid header field value "oci runtime error: container_linux.go:247: starting container process caused \"exec: \\\"-i\\\": executable file not found in $PATH\"\n".
我們可以看到可執(zhí)行文件找不到的報錯异袄,executable file not found通砍。之前我們說過,跟在鏡像名后面的是 command烤蜕,運行時會替換 CMD 的默認(rèn)值封孙。因此這里的 -i 替換了原來的 CMD,而不是添加在原來的 curl -s http://ip.cn 后面讽营。而 -i 根本不是命令虎忌,所以自然找不到。
那么如果我們希望加入 -i 這參數(shù)橱鹏,我們就必須重新完整的輸入這個命令:
$ docker run myip curl -s http://ip.cn -i
這顯然不是很好的解決方案膜蠢,而使用 ENTRYPOINT 就可以解決這個問題。現(xiàn)在我們重新用 ENTRYPOINT 來實現(xiàn)這個鏡像:
FROM ubuntu:16.04
RUN apt-get update \
&& apt-get install -y curl \
&& rm -rf /var/lib/apt/lists/*
ENTRYPOINT [ "curl", "-s", "http://ip.cn" ]
這次我們再來嘗試直接使用 docker run myip -i:
$ docker run myip
當(dāng)前 IP:61.148.226.66 來自:北京市 聯(lián)通
$ docker run myip -i
HTTP/1.1 200 OK
Server: nginx/1.8.0
Date: Tue, 22 Nov 2016 05:12:40 GMT
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Powered-By: PHP/5.6.24-1~dotdeb+7.1
X-Cache: MISS from cache-2
X-Cache-Lookup: MISS from cache-2:80
X-Cache: MISS from proxy-2_6
Transfer-Encoding: chunked
Via: 1.1 cache-2:80, 1.1 proxy-2_6:8006
Connection: keep-alive
當(dāng)前 IP:61.148.226.66 來自:北京市 聯(lián)通
可以看到莉兰,這次成功了挑围。這是因為當(dāng)存在 ENTRYPOINT 后,CMD 的內(nèi)容將會作為參數(shù)傳給 ENTRYPOINT糖荒,而這里 -i 就是新的 CMD杉辙,因此會作為參數(shù)傳給 curl,從而達(dá)到了我們預(yù)期的效果捶朵。
場景二:應(yīng)用運行前的準(zhǔn)備工作
啟動容器就是啟動主進(jìn)程蜘矢,但有些時候,啟動主進(jìn)程前综看,需要一些準(zhǔn)備工作品腹。
比如 mysql 類的數(shù)據(jù)庫,可能需要一些數(shù)據(jù)庫配置红碑、初始化的工作舞吭,這些工作要在最終的 mysql 服務(wù)器運行之前解決。
此外,可能希望避免使用 root 用戶去啟動服務(wù)镣典,從而提高安全性,而在啟動服務(wù)前還需要以 root 身份執(zhí)行一些必要的準(zhǔn)備工作唾琼,最后切換到服務(wù)用戶身份啟動服務(wù)兄春。或者除了服務(wù)外锡溯,其它命令依舊可以使用 root 身份執(zhí)行赶舆,方便調(diào)試等。
這些準(zhǔn)備工作是和容器 CMD 無關(guān)的祭饭,無論 CMD 為什么芜茵,都需要事先進(jìn)行一個預(yù)處理的工作。這種情況下倡蝙,可以寫一個腳本九串,然后放入 ENTRYPOINT 中去執(zhí)行,而這個腳本會將接到的參數(shù)(也就是 <CMD>)作為命令寺鸥,在腳本最后執(zhí)行猪钮。比如官方鏡像 redis 中就是這么做的:
FROM alpine:3.4
...
RUN addgroup -S redis && adduser -S -G redis redis
...
ENTRYPOINT ["docker-entrypoint.sh"]
EXPOSE 6379
CMD [ "redis-server" ]
可以看到其中為了 redis 服務(wù)創(chuàng)建了 redis 用戶,并在最后指定了 ENTRYPOINT 為 docker-entrypoint.sh 腳本胆建。
#!/bin/sh
...
# allow the container to be started with `--user`
if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
chown -R redis .
exec su-exec redis "$0" "$@"
fi
exec "$@"
該腳本的內(nèi)容就是根據(jù) CMD 的內(nèi)容來判斷烤低,如果是 redis-server 的話,則切換到 redis 用戶身份啟動服務(wù)器笆载,否則依舊使用 root 身份執(zhí)行扑馁。比如:
$ docker run -it redis id
uid=0(root) gid=0(root) groups=0(root)
ENV
格式有兩種:
ENV <key> <value>ENV <key1>=<value1> <key2>=<value2>...
這個指令很簡單,就是設(shè)置環(huán)境變量而已凉驻,無論是后面的其它指令腻要,如 RUN,還是運行時的應(yīng)用沿侈,都可以直接使用這里定義的環(huán)境變量闯第。
ENV VERSION=1.0 DEBUG=on \
NAME="Happy Feet"
這個例子中演示了如何換行,以及對含有空格的值用雙引號括起來的辦法缀拭,這和 Shell 下的行為是一致的咳短。
定義了環(huán)境變量,那么在后續(xù)的指令中蛛淋,就可以使用這個環(huán)境變量咙好。比如在官方 node 鏡像 Dockerfile 中,就有類似這樣的代碼:
ENV NODE_VERSION 7.2.0
RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
&& curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc" \
&& gpg --batch --decrypt --output SHASUMS256.txt SHASUMS256.txt.asc \
&& grep " node-v$NODE_VERSION-linux-x64.tar.xz\$" SHASUMS256.txt | sha256sum -c - \
&& tar -xJf "node-v$NODE_VERSION-linux-x64.tar.xz" -C /usr/local --strip-components=1 \
&& rm "node-v$NODE_VERSION-linux-x64.tar.xz" SHASUMS256.txt.asc SHASUMS256.txt \
&& ln -s /usr/local/bin/node /usr/local/bin/nodejs
在這里先定義了環(huán)境變量 NODE_VERSION褐荷,其后的 RUN 這層里勾效,多次使用 $NODE_VERSION 來進(jìn)行操作定制。可以看到层宫,將來升級鏡像構(gòu)建版本的時候杨伙,只需要更新 7.2.0 即可,Dockerfile 構(gòu)建維護(hù)變得更輕松了萌腿。
下列指令可以支持環(huán)境變量展開: ADD限匣、COPY、ENV毁菱、EXPOSE米死、LABEL、USER贮庞、WORKDIR峦筒、VOLUME、STOPSIGNAL窗慎、ONBUILD物喷。
可以從這個指令列表里感覺到,環(huán)境變量可以使用的地方很多遮斥,很強(qiáng)大脯丝。通過環(huán)境變量,我們可以讓一份 Dockerfile 制作更多的鏡像伏伐,只需使用不同的環(huán)境變量即可宠进。
VOLUME
格式為:
VOLUME ["<路徑1>", "<路徑2>"...]VOLUME <路徑>
之前我們說過,容器運行時應(yīng)該盡量保持容器存儲層不發(fā)生寫操作藐翎,對于數(shù)據(jù)庫類需要保存動態(tài)數(shù)據(jù)的應(yīng)用材蹬,其數(shù)據(jù)庫文件應(yīng)該保存于卷(volume)中,后面的章節(jié)我們會進(jìn)一步介紹 Docker 卷的概念吝镣。為了防止運行時用戶忘記將動態(tài)文件所保存目錄掛載為卷堤器,在 Dockerfile 中,我們可以事先指定某些目錄掛載為匿名卷末贾,這樣在運行時如果用戶不指定掛載闸溃,其應(yīng)用也可以正常運行,不會向容器存儲層寫入大量數(shù)據(jù)拱撵。
VOLUME /data
這里的 /data 目錄就會在運行時自動掛載為匿名卷辉川,任何向 /data 中寫入的信息都不會記錄進(jìn)容器存儲層,從而保證了容器存儲層的無狀態(tài)化拴测。當(dāng)然乓旗,運行時可以覆蓋這個掛載設(shè)置。比如:
docker run -d -v mydata:/data xxxx
在這行命令中集索,就使用了 mydata 這個命名卷掛載到了 /data 這個位置屿愚,替代了 Dockerfile 中定義的匿名卷的掛載配置汇跨。
EXPOSE
格式為 EXPOSE <端口1> [<端口2>...]。
EXPOSE 指令是聲明運行時容器提供服務(wù)端口妆距,這只是一個聲明穷遂,在運行時并不會因為這個聲明應(yīng)用就會開啟這個端口的服務(wù)。在 Dockerfile 中寫入這樣的聲明有兩個好處娱据,一個是幫助鏡像使用者理解這個鏡像服務(wù)的守護(hù)端口塞颁,以方便配置映射;另一個用處則是在運行時使用隨機(jī)端口映射時吸耿,也就是 docker run -P 時,會自動隨機(jī)映射 EXPOSE 的端口酷窥。
此外咽安,在早期 Docker 版本中還有一個特殊的用處。以前所有容器都運行于默認(rèn)橋接網(wǎng)絡(luò)中蓬推,因此所有容器互相之間都可以直接訪問妆棒,這樣存在一定的安全性問題。于是有了一個 Docker 引擎參數(shù) --icc=false沸伏,當(dāng)指定該參數(shù)后糕珊,容器間將默認(rèn)無法互訪,除非互相間使用了 --links 參數(shù)的容器才可以互通毅糟,并且只有鏡像中 EXPOSE 所聲明的端口才可以被訪問红选。這個 --icc=false 的用法,在引入了 docker network 后已經(jīng)基本不用了姆另,通過自定義網(wǎng)絡(luò)可以很輕松的實現(xiàn)容器間的互聯(lián)與隔離喇肋。
要將 EXPOSE 和在運行時使用 -p <宿主端口>:<容器端口> 區(qū)分開來。-p迹辐,是映射宿主端口和容器端口蝶防,換句話說,就是將容器的對應(yīng)端口服務(wù)公開給外界訪問明吩,而 EXPOSE 僅僅是聲明容器打算使用什么端口而已间学,并不會自動在宿主進(jìn)行端口映射。
WORKDIR
格式為 WORKDIR <工作目錄路徑>印荔。
使用 WORKDIR 指令可以來指定工作目錄(或者稱為當(dāng)前目錄)低葫,以后各層的當(dāng)前目錄就被改為指定的目錄,如該目錄不存在仍律,WORKDIR 會幫你建立目錄氮采。
之前提到一些初學(xué)者常犯的錯誤是把 Dockerfile 等同于 Shell 腳本來書寫,這種錯誤的理解還可能會導(dǎo)致出現(xiàn)下面這樣的錯誤:
RUN cd /app
RUN echo "hello" > world.txt
如果將這個 Dockerfile 進(jìn)行構(gòu)建鏡像運行后染苛,會發(fā)現(xiàn)找不到 /app/world.txt 文件鹊漠,或者其內(nèi)容不是 hello主到。原因其實很簡單,在 Shell 中躯概,連續(xù)兩行是同一個進(jìn)程執(zhí)行環(huán)境登钥,因此前一個命令修改的內(nèi)存狀態(tài),會直接影響后一個命令娶靡;而在 Dockerfile 中牧牢,這兩行 RUN 命令的執(zhí)行環(huán)境根本不同,是兩個完全不同的容器姿锭。這就是對 Dockerfile 構(gòu)建分層存儲的概念不了解所導(dǎo)致的錯誤塔鳍。
之前說過每一個 RUN 都是啟動一個容器、執(zhí)行命令呻此、然后提交存儲層文件變更轮纫。第一層 RUN cd /app 的執(zhí)行僅僅是當(dāng)前進(jìn)程的工作目錄變更,一個內(nèi)存上的變化而已焚鲜,其結(jié)果不會造成任何文件變更掌唾。而到第二層的時候,啟動的是一個全新的容器忿磅,跟第一層的容器更完全沒關(guān)系糯彬,自然不可能繼承前一層構(gòu)建過程中的內(nèi)存變化。
因此如果需要改變以后各層的工作目錄的位置葱她,那么應(yīng)該使用 WORKDIR 指令撩扒。
