原文：Dockerfile基礎(chǔ)知識(shí)梳理 - 9ong

• Dockerfile
  • 什么是 Dockerfile
  • 使用 Dockerfile 定制鏡像
  • 開始構(gòu)建鏡像
  • 上下文路徑
• 指令詳解
  • FROM
  • RUN
  • COPY
  • ADD
  • CMD
  • ENTRYPOINT
  • ENV
  • ARG
  • VOLUME
  • EXPOSE
  • WORKDIR
  • USER
  • HEALTHCHECK
  • ONBUILD
• 參考

Dockerfile

什么是 Dockerfile

Dockerfile 是一個(gè)用來構(gòu)建鏡像的文本文件息堂，文本內(nèi)容包含了一條條構(gòu)建鏡像所需的指令和說明呕诉。

使用 Dockerfile 定制鏡像

這里僅講解如何運(yùn)行 Dockerfile 文件來定制一個(gè)鏡像外构，具體 Dockerfile 文件內(nèi)指令詳解，將在下一節(jié)中介紹刽酱，這里你只要知道構(gòu)建的流程即可。

下面以定制一個(gè) php-fpm 鏡像褂策。

在一個(gè)空目錄下笔时，新建一個(gè)名為 Dockerfile 文件，并在文件內(nèi)添加以下內(nèi)容：

FROM phpdockerio/php72-fpm:latest
WORKDIR "/application"

# Fix debconf warnings upon build
ARG DEBIAN_FRONTEND=noninteractive

# Install selected extensions and other stuff
RUN apt-get update \
    && apt-get -y --no-install-recommends install  php7.2-mysql php-redis php7.2-gd php-yaml \
    && apt-get clean; rm -rf /var/lib/apt/lists/* /tmp/* /var/tmp/* /usr/share/doc/*

開始構(gòu)建鏡像

在 Dockerfile 文件的存放目錄下棕叫，執(zhí)行構(gòu)建動(dòng)作林螃。

以下示例，通過目錄下的 Dockerfile 構(gòu)建一個(gè) php72-fpm:v1（鏡像名稱:鏡像標(biāo)簽）俺泣。

注 ：最后的 . 代表本次執(zhí)行的上下文路徑疗认，下一節(jié)會(huì)介紹。

$ docker build -t php72-fpm:v1 .  

上下文路徑

上一節(jié)中伏钠，有提到指令最后一個(gè) . 是上下文路徑横漏，那么什么是上下文路徑呢？

$ docker build -t php72-fpm:v1 .  

上下文路徑熟掂，是指 docker 在構(gòu)建鏡像绊茧，有時(shí)候想要使用到本機(jī)的文件（比如復(fù)制），docker build 命令得知這個(gè)路徑后打掘，會(huì)將路徑下的所有內(nèi)容打包华畏。

通俗點(diǎn)說就是，在哪里尋找Dockerfile文件作為構(gòu)建配置尊蚁。

解析 ：由于 docker 的運(yùn)行模式是 C/S亡笑。我們本機(jī)是 C，docker 引擎是 S横朋。實(shí)際的構(gòu)建過程是在 docker 引擎下完成的仑乌，所以這個(gè)時(shí)候無法用到我們本機(jī)的文件。這就需要把我們本機(jī)的指定目錄下的文件一起打包提供給 docker 引擎使用琴锭。

如果未說明最后一個(gè)參數(shù)晰甚，那么默認(rèn)上下文路徑就是 Dockerfile 所在的位置。

注意 ：上下文路徑下不要放無用的文件决帖，因?yàn)闀?huì)一起打包發(fā)送給 docker 引擎厕九，如果文件過多會(huì)造成過程緩慢。

指令詳解

FROM

FROM <image> [AS <name>]
FROM <image>[:<tag>] [AS <name>]
FROM <image>[@<digest>] [AS <name>]

指定基礎(chǔ)鏡像地回，當(dāng)前鏡像是基于哪個(gè)鏡像創(chuàng)建的扁远，有點(diǎn)類似java中的類繼承。FROM指令必是Dockerfile文件中的首條命令刻像。

RUN

用于執(zhí)行后面跟著的命令行命令畅买。有以下倆種格式：

shell 格式：

RUN <命令行命令>
# <命令行命令> 等同于，在終端操作的 shell 命令细睡。

exec 格式：

RUN ["可執(zhí)行文件", "參數(shù)1", "參數(shù)2"]
# 例如：
# RUN ["./test.php", "dev", "offline"] 等價(jià)于 RUN ./test.php dev offline

注意 ：Dockerfile 的指令每執(zhí)行一次都會(huì)在 docker 上新建一層谷羞。所以過多無意義的層，會(huì)造成鏡像膨脹過大溜徙。例如：

FROM centos  
RUN yum install wget  
RUN wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz"  
RUN tar -xvf redis.tar.gz  
以上執(zhí)行會(huì)創(chuàng)建 3 層鏡像湃缎」汗可簡(jiǎn)化為以下格式：  
FROM centos  
RUN yum install wget \  
 && wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz" \  
 && tar -xvf redis.tar.gz  

如上，以 && 符號(hào)連接命令雁歌，這樣執(zhí)行后宏浩，只會(huì)創(chuàng)建 1 層鏡像。

COPY

復(fù)制指令靠瞎，從上下文目錄中復(fù)制文件或者目錄到容器里指定路徑比庄。

格式：

COPY [--chown=<user>:<group>] <源路徑1>...  <目標(biāo)路徑>
COPY [--chown=<user>:<group>] ["<源路徑1>",...  "<目標(biāo)路徑>"]

[--chown=<user>:<group>] ：可選參數(shù)，用戶改變復(fù)制到容器內(nèi)文件的擁有者和屬組乏盐。

<源路徑> ：源文件或者源目錄佳窑，這里可以是通配符表達(dá)式，其通配符規(guī)則要滿足 Go 的 filepath.Match 規(guī)則父能。例如：

COPY hom* /mydir/
COPY hom?.txt /mydir/

<目標(biāo)路徑> ：容器內(nèi)的指定路徑神凑，該路徑不用事先建好，路徑不存在的話何吝，會(huì)自動(dòng)創(chuàng)建溉委。

ADD

ADD 指令和 COPY 的使用格式一致（同樣需求下，官方推薦使用 COPY）爱榕。功能也類似瓣喊，不同之處如下：

• ADD 的優(yōu)點(diǎn)：在執(zhí)行 &lt源文件&gt 為 tar 壓縮文件的話，壓縮格式為 gzip, bzip2 以及 xz 的情況下黔酥，會(huì)自動(dòng)復(fù)制并解壓到 <目標(biāo)路徑>藻三。
• ADD 的缺點(diǎn)：在不解壓的前提下，無法復(fù)制 tar 壓縮文件跪者。會(huì)令鏡像構(gòu)建緩存失效棵帽，從而可能會(huì)令鏡像構(gòu)建變得比較緩慢。具體是否使用渣玲，可以根據(jù)是否需要自動(dòng)解壓來決定逗概。

CMD

類似于 RUN 指令，用于運(yùn)行程序柜蜈，但二者運(yùn)行的時(shí)間點(diǎn)不同:

• CMD 在docker run 時(shí)運(yùn)行仗谆。
• RUN 是在 docker build指巡。

作用 ：為啟動(dòng)的容器指定默認(rèn)要運(yùn)行的程序淑履，程序運(yùn)行結(jié)束，容器也就結(jié)束藻雪。CMD 指令指定的程序可被 docker run 命令行參數(shù)中指定要運(yùn)行的程序所覆蓋秘噪。

注意 ：如果 Dockerfile 中如果存在多個(gè) CMD 指令，僅最后一個(gè)生效勉耀。

格式：

CMD <shell 命令> 
CMD ["<可執(zhí)行文件或命令>","<param1>","<param2>",...] 
CMD ["<param1>","<param2>",...]  # 該寫法是為 ENTRYPOINT 指令指定的程序提供默認(rèn)參數(shù)

推薦使用第二種格式指煎，執(zhí)行過程比較明確蹋偏。第一種格式實(shí)際上在運(yùn)行的過程中也會(huì)自動(dòng)轉(zhuǎn)換成第二種格式運(yùn)行，并且默認(rèn)可執(zhí)行文件是 sh至壤。

ENTRYPOINT

類似于 CMD 指令威始，但其不會(huì)被 docker run 的命令行參數(shù)指定的指令所覆蓋，而且這些命令行參數(shù)會(huì)被當(dāng)作參數(shù)送給 ENTRYPOINT 指令指定的程序像街。

但是, 如果運(yùn)行 docker run 時(shí)使用了 --entrypoint 選項(xiàng)黎棠，將覆蓋 CMD 指令指定的程序。

優(yōu)點(diǎn) ：在執(zhí)行 docker run 的時(shí)候可以指定 ENTRYPOINT 運(yùn)行所需的參數(shù)镰绎。

注意 ：如果 Dockerfile 中如果存在多個(gè) ENTRYPOINT 指令脓斩，僅最后一個(gè)生效。

格式：

ENTRYPOINT ["<executeable>","<param1>","<param2>",...]

可以搭配 CMD 命令使用：一般是變參才會(huì)使用 CMD 畴栖，這里的 CMD 等于是在給 ENTRYPOINT 傳參随静，以下示例會(huì)提到。

示例：

假設(shè)已通過 Dockerfile 構(gòu)建了 nginx:test 鏡像：

FROM nginx

ENTRYPOINT ["nginx", "-c"] # 定參
CMD ["/etc/nginx/nginx.conf"] # 變參 

1吗讶、不傳參運(yùn)行

$ docker run  nginx:test

容器內(nèi)會(huì)默認(rèn)運(yùn)行以下命令燎猛，啟動(dòng)主進(jìn)程。

nginx -c /etc/nginx/nginx.conf

2照皆、傳參運(yùn)行

$ docker run  nginx:test -c /etc/nginx/new.conf

容器內(nèi)會(huì)默認(rèn)運(yùn)行以下命令扛门，啟動(dòng)主進(jìn)程(/etc/nginx/new.conf:假設(shè)容器內(nèi)已有此文件)

nginx -c /etc/nginx/new.conf

ENV

設(shè)置環(huán)境變量，定義了環(huán)境變量纵寝，那么在后續(xù)的指令中论寨，就可以使用這個(gè)環(huán)境變量。

格式：

ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...

以下示例設(shè)置 NODE_VERSION = 7.2.0 爽茴， 在后續(xù)的指令中可以通過 $NODE_VERSION 引用：

ENV NODE_VERSION 7.2.0

RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
  && curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc"

ARG

構(gòu)建參數(shù)葬凳，與 ENV 作用一至。不過作用域不一樣室奏。ARG 設(shè)置的環(huán)境變量?jī)H對(duì) Dockerfile 內(nèi)有效火焰，也就是說只有 docker build 的過程中有效，構(gòu)建好的鏡像內(nèi)不存在此環(huán)境變量胧沫。

構(gòu)建命令 docker build 中可以用 --build-arg <參數(shù)名>=<值> 來覆蓋昌简。

格式：

ARG <參數(shù)名>[=<默認(rèn)值>]

VOLUME

定義匿名數(shù)據(jù)卷。在啟動(dòng)容器時(shí)忘記掛載數(shù)據(jù)卷绒怨，會(huì)自動(dòng)掛載到匿名卷纯赎。

作用：

• 避免重要的數(shù)據(jù)，因容器重啟而丟失南蹂，這是非常致命的犬金。
• 避免容器不斷變大。

格式：

VOLUME ["<路徑1>", "<路徑2>"...]
VOLUME <路徑>

在啟動(dòng)容器 docker run 的時(shí)候，我們可以通過 -v 參數(shù)修改掛載點(diǎn)晚顷。

EXPOSE

僅僅只是聲明端口峰伙。

作用：

• 幫助鏡像使用者理解這個(gè)鏡像服務(wù)的守護(hù)端口，以方便配置映射该默。
• 在運(yùn)行時(shí)使用隨機(jī)端口映射時(shí)瞳氓，也就是 docker run -P 時(shí)，會(huì)自動(dòng)隨機(jī)映射 EXPOSE 的端口栓袖。

格式：

EXPOSE <端口1> [<端口2>...]

WORKDIR

指定工作目錄顿膨。用 WORKDIR 指定的工作目錄，會(huì)在構(gòu)建鏡像的每一層中都存在叽赊。（WORKDIR 指定的工作目錄恋沃，必須是提前創(chuàng)建好的）。

docker build 構(gòu)建鏡像過程中的必指，每一個(gè) RUN 命令都是新建的一層囊咏。只有通過 WORKDIR 創(chuàng)建的目錄才會(huì)一直存在。

格式：

WORKDIR <工作目錄路徑>

USER

用于指定執(zhí)行后續(xù)命令的用戶和用戶組塔橡，這邊只是切換后續(xù)命令執(zhí)行的用戶（用戶和用戶組必須提前已經(jīng)存在）梅割。

格式：

USER <用戶名>[:<用戶組>]

HEALTHCHECK

用于指定某個(gè)程序或者指令來監(jiān)控 docker 容器服務(wù)的運(yùn)行狀態(tài)。

格式：

HEALTHCHECK [選項(xiàng)] CMD <命令>：設(shè)置檢查容器健康狀況的命令
HEALTHCHECK NONE：如果基礎(chǔ)鏡像有健康檢查指令葛家，使用這行可以屏蔽掉其健康檢查指令

HEALTHCHECK [選項(xiàng)] CMD <命令> : 這邊 CMD 后面跟隨的命令使用户辞，可以參考 CMD 的用法。

ONBUILD

用于延遲構(gòu)建命令的執(zhí)行癞谒。簡(jiǎn)單的說底燎，就是 Dockerfile 里用 ONBUILD 指定的命令，在本次構(gòu)建鏡像的過程中不會(huì)執(zhí)行（假設(shè)鏡像為 test-build）弹砚。當(dāng)有新的 Dockerfile 使用了之前構(gòu)建的鏡像 FROM test-build 双仍，這是執(zhí)行新鏡像的 Dockerfile 構(gòu)建時(shí)候，會(huì)執(zhí)行 test-build 的 Dockerfile 里的 ONBUILD 指定的命令桌吃。

格式：

ONBUILD <其它指令>

參考

看完此文朱沃，媽媽還會(huì)擔(dān)心你docker入不了門？ - 知乎

原文：Dockerfile基礎(chǔ)知識(shí)梳理 - 9ong