述
上文中,簡單的使用了一個(gè)Dockerfile構(gòu)建鏡像,使用到了三個(gè)指令就是FROM,MAINTAINER和RUN,本文在來看一些其他的指令.他們的作用以及使用方式
指令詳解
COPY 復(fù)制文件
格式
COPY <源路徑>... <目標(biāo)路徑>
COPY ["<源路徑1>",... "<目標(biāo)路徑>"]
和RUN指令一樣,也是兩種格式,一種類似于命令行,一種類似于函數(shù)調(diào)用,COPY指令將從構(gòu)建上下文目錄中<源路徑>的文件/目錄復(fù)制到新的一層的鏡像內(nèi)的<目標(biāo)路徑>位置. 比如:
COPY package.json /usr/src/app/
<源路徑>可以是多個(gè),甚至可以是通配符,其通配符規(guī)則要滿足 Go 的 filepath.Match 規(guī)則,如:
COPY hom* /mydir/
COPY hom?.txt /mydir/
<目標(biāo)路徑>可以是容器內(nèi)的絕對路徑,也可以是相對于工作目錄的相對路徑(工作目錄可以用WORKDIR指令來指定).目標(biāo)路徑不需要事先創(chuàng)建,如果目錄不存在會在復(fù)制文件前先行創(chuàng)建缺失目錄.
此外,還需要注意一點(diǎn),使用 COPY 指令,源文件的各種元數(shù)據(jù)都會保留.比如讀杆怕、寫、執(zhí)行權(quán)限、文件變更時(shí)間等.這個(gè)特性對于鏡像定制很有用.特別是構(gòu)建相關(guān)文件都在使用 Git 進(jìn)行管理的時(shí)候.
ADD 更高級的復(fù)制文件
格式
ADD <源路徑>... <目標(biāo)路徑>
ADD ["<源路徑>",... "<目標(biāo)路徑>"]
ADD 指令和 COPY 的格式和性質(zhì)基本一致。但是在 COPY 基礎(chǔ)上增加了一些功能施掏。
比如 <源路徑> 可以是一個(gè) URL吁断,這種情況下,Docker 引擎會試圖去下載這個(gè)鏈接的文件放到 <目標(biāo)路徑> 去萧朝。下載后的文件權(quán)限自動設(shè)置為 600憾股,如果這并不是想要的權(quán)限鹿蜀,那么還需要增加額外的一層 RUN 進(jìn)行權(quán)限調(diào)整,另外服球,如果下載的是個(gè)壓縮包茴恰,需要解壓縮,也一樣還需要額外的一層 RUN 指令進(jìn)行解壓縮斩熊。所以不如直接使用 RUN 指令往枣,然后使用 wget 或者 curl 工具下載,處理權(quán)限座享、解壓縮婉商、然后清理無用文件更合理。因此渣叛,這個(gè)功能其實(shí)并不實(shí)用,而且不推薦使用盯捌。
如果 <源路徑> 為一個(gè) tar 壓縮文件的話淳衙,壓縮格式為 gzip, bzip2 以及 xz 的情況下,ADD 指令將會自動解壓縮這個(gè)壓縮文件到 <目標(biāo)路徑> 去饺著。
但在某些情況下箫攀,如果我們真的是希望復(fù)制個(gè)壓縮文件進(jìn)去,而不解壓縮幼衰,這時(shí)就不可以使用 ADD 命令了靴跛。
另外需要注意的是,ADD 指令會令鏡像構(gòu)建緩存失效渡嚣,從而可能會令鏡像構(gòu)建變得比較緩慢梢睛。
因此在 COPY 和 ADD 指令中選擇的時(shí)候,可以遵循這樣的原則识椰,所有的文件復(fù)制均使用 COPY 指令绝葡,僅在需要自動解壓縮的場合使用 ADD。
在使用該指令的時(shí)候還可以加上 --chown=<user>:<group> 選項(xiàng)來改變文件的所屬用戶及所屬組腹鹉。
ADD --chown=55:mygroup files* /mydir/
ADD --chown=bin files* /mydir/
ADD --chown=1 files* /mydir/
ADD --chown=10:11 files* /mydir/
CMD 設(shè)置容器啟動時(shí)執(zhí)行的操作
指定容器啟動時(shí)執(zhí)行的命令,每個(gè)Dockerfile只能有一條CMD命令
格式
使用 exec 執(zhí)行,推薦方式:
CMD ["executable","param1","param2"]
Shell格式:
CMD <命令>
參數(shù)列表格式:
CMD ["參數(shù)1", "參數(shù)2"...]
在指定了 ENTRYPOINT 指令后,用 CMD 指定具體的參數(shù)藏畅。
這里與RUN指令的區(qū)別就是,RUN是在構(gòu)建容器的時(shí)候執(zhí)行的,CMD是在容器運(yùn)行的時(shí)候執(zhí)行的.
ENTRYPOINT 入口點(diǎn)
ENTRYPOINT用于給容器配置一個(gè)可執(zhí)行程序,也就是說,每次使用鏡像創(chuàng)建容器時(shí),通過 ENTRYPOINT 指定的程序都會被設(shè)置為默認(rèn)程序
格式
數(shù)組/exec格式,推薦:
ENTRYPOINT ["executable", "param1", "param2"]
Shell格式
ENTRYPOINT command param1 param2
ENTRYPOINT 與 CMD 非常類似,不同的是通過docker run執(zhí)行的命令不會覆蓋 ENTRYPOINT,而docker run命令中指定的任何參數(shù),都會被當(dāng)做參數(shù)再次傳遞給 ENTRYPOINT,Dockerfile中只允許有一個(gè) ENTRYPOINT 命令,多指定時(shí)會覆蓋前面的設(shè)置,而只執(zhí)行最后的 ENTRYPOINT 指令.
docker run運(yùn)行容器時(shí)指定的參數(shù)都會被傳遞給 ENTRYPOINT ,且會覆蓋 CMD 命令指定的參數(shù).如,執(zhí)行docker run <image> -d時(shí),-d 參數(shù)將被傳遞給入口點(diǎn).
也可以通過docker run --entrypoint重寫 ENTRYPOINT 入口點(diǎn).如:可以像下面這樣指定一個(gè)容器執(zhí)行程序:
ENTRYPOINT ["/usr/bin/nginx"]
完整構(gòu)建代碼:
# Version: 0.0.3
FROM ubuntu:16.04
MAINTAINER 何民三 "cn.liuht@gmail.com"
RUN apt-get update
RUN apt-get install -y nginx
RUN echo 'Hello World, 我是個(gè)容器' \
> /var/www/html/index.html
ENTRYPOINT ["/usr/sbin/nginx"]
EXPOSE 80
使用docker build構(gòu)建鏡像,并將鏡像指定為 itbilu/test:
docker build -t="itbilu/test" .
構(gòu)建完成后,使用itbilu/test啟動一個(gè)容器:
docker run -i -t itbilu/test -g "daemon off;"
在運(yùn)行容器時(shí),我們使用了-g "daemon off;",這個(gè)參數(shù)將會被傳遞給 ENTRYPOINT,最終在容器中執(zhí)行的命令為 /usr/sbin/nginx -g "daemon off;"
ENV 設(shè)置環(huán)境變量
這個(gè)指令很簡單,就是設(shè)置環(huán)境變量而已功咒,無論是后面的其它指令愉阎,如 RUN绞蹦,還是運(yùn)行時(shí)的應(yīng)用,都可以直接使用這里定義的環(huán)境變量榜旦。
格式
ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...
ENV VERSION=1.0 DEBUG=on \
NAME="Happy Feet"
這個(gè)例子中演示了如何換行幽七,以及對含有空格的值用雙引號括起來的辦法,這和 Shell 下的行為是一致的章办。
ARG構(gòu)建參數(shù)
ARG用于指定傳遞給構(gòu)建運(yùn)行時(shí)的變量:
ARG <name>[=<default value>]
如锉走,通過ARG指定兩個(gè)變量:
ARG site
ARG build_user=IT筆錄
以上我們指定了 site 和 build_user 兩個(gè)變量,其中 build_user 指定了默認(rèn)值藕届。在使用 docker build 構(gòu)建鏡像時(shí)挪蹭,可以通過 --build-arg <varname>=<value> 參數(shù)來指定或重設(shè)置這些變量的值。
docker build --build-arg site=itiblu.com -t itbilu/test .
這樣我們構(gòu)建了 itbilu/test 鏡像休偶,其中site會被設(shè)置為 itbilu.com梁厉,由于沒有指定 build_user,其值將是默認(rèn)值 IT 筆錄踏兜。
VOLUME 定義匿名卷
格式
VOLUME ["<路徑1>", "<路徑2>"...]
VOLUME <路徑>
之前我們說過词顾,容器運(yùn)行時(shí)應(yīng)該盡量保持容器存儲層不發(fā)生寫操作,對于數(shù)據(jù)庫類需要保存動態(tài)數(shù)據(jù)的應(yīng)用碱妆,其數(shù)據(jù)庫文件應(yīng)該保存于卷(volume)中肉盹,后面的章節(jié)我們會進(jìn)一步介紹 Docker 卷的概念。為了防止運(yùn)行時(shí)用戶忘記將動態(tài)文件所保存目錄掛載為卷疹尾,在 Dockerfile 中上忍,我們可以事先指定某些目錄掛載為匿名卷,這樣在運(yùn)行時(shí)如果用戶不指定掛載纳本,其應(yīng)用也可以正常運(yùn)行窍蓝,不會向容器存儲層寫入大量數(shù)據(jù)。
VOLUME /data
這里的 /data 目錄就會在運(yùn)行時(shí)自動掛載為匿名卷繁成,任何向 /data 中寫入的信息都不會記錄進(jìn)容器存儲層吓笙,從而保證了容器存儲層的無狀態(tài)化。當(dāng)然巾腕,運(yùn)行時(shí)可以覆蓋這個(gè)掛載設(shè)置面睛。比如:
docker run -d -v mydata:/data xxxx
在這行命令中,就使用了 mydata 這個(gè)命名卷掛載到了 /data 這個(gè)位置祠墅,替代了 Dockerfile 中定義的匿名卷的掛載配置侮穿。
EXPOSE 聲明端口
格式
格式為 EXPOSE <端口1> [<端口2>...]
EXPOSE 指令是聲明運(yùn)行時(shí)容器提供服務(wù)端口,這只是一個(gè)聲明毁嗦,在運(yùn)行時(shí)并不會因?yàn)檫@個(gè)聲明應(yīng)用就會開啟這個(gè)端口的服務(wù)亲茅。在 Dockerfile 中寫入這樣的聲明有兩個(gè)好處,一個(gè)是幫助鏡像使用者理解這個(gè)鏡像服務(wù)的守護(hù)端口,以方便配置映射克锣;另一個(gè)用處則是在運(yùn)行時(shí)使用隨機(jī)端口映射時(shí)茵肃,也就是 docker run -P 時(shí),會自動隨機(jī)映射 EXPOSE 的端口袭祟。
要將 EXPOSE 和在運(yùn)行時(shí)使用 -p <宿主端口>:<容器端口> 區(qū)分開來验残。-p,是映射宿主端口和容器端口巾乳,換句話說您没,就是將容器的對應(yīng)端口服務(wù)公開給外界訪問,而 EXPOSE 僅僅是聲明容器打算使用什么端口而已胆绊,并不會自動在宿主進(jìn)行端口映射氨鹏。
WORKDIR 指定工作目錄
格式
WORKDIR <工作目錄路徑>
使用 WORKDIR 指令可以來指定工作目錄(或者稱為當(dāng)前目錄),以后各層的當(dāng)前目錄就被改為指定的目錄压状,如該目錄不存在仆抵,WORKDIR 會幫你建立目錄。
之前提到一些初學(xué)者常犯的錯(cuò)誤是把 Dockerfile 等同于 Shell 腳本來書寫种冬,這種錯(cuò)誤的理解還可能會導(dǎo)致出現(xiàn)下面這樣的錯(cuò)誤:
RUN cd /app
RUN echo "hello" > world.txt
如果將這個(gè) Dockerfile 進(jìn)行構(gòu)建鏡像運(yùn)行后镣丑,會發(fā)現(xiàn)找不到 /app/world.txt 文件,或者其內(nèi)容不是 hello娱两。原因其實(shí)很簡單莺匠,在 Shell 中,連續(xù)兩行是同一個(gè)進(jìn)程執(zhí)行環(huán)境十兢,因此前一個(gè)命令修改的內(nèi)存狀態(tài)慨蛙,會直接影響后一個(gè)命令;而在 Dockerfile 中纪挎,這兩行 RUN 命令的執(zhí)行環(huán)境根本不同,是兩個(gè)完全不同的容器跟匆。這就是對 Dockerfile 構(gòu)建分層存儲的概念不了解所導(dǎo)致的錯(cuò)誤异袄。
之前說過每一個(gè) RUN 都是啟動一個(gè)容器、執(zhí)行命令玛臂、然后提交存儲層文件變更烤蜕。第一層 RUN cd /app 的執(zhí)行僅僅是當(dāng)前進(jìn)程的工作目錄變更,一個(gè)內(nèi)存上的變化而已迹冤,其結(jié)果不會造成任何文件變更讽营。而到第二層的時(shí)候,啟動的是一個(gè)全新的容器泡徙,跟第一層的容器更完全沒關(guān)系橱鹏,自然不可能繼承前一層構(gòu)建過程中的內(nèi)存變化。
因此如果需要改變以后各層的工作目錄的位置,那么應(yīng)該使用 WORKDIR 指令莉兰。
USER 指定當(dāng)前用戶
格式
USER <用戶名>[:<用戶組>]
USER 指令和 WORKDIR 相似挑围,都是改變環(huán)境狀態(tài)并影響以后的層。WORKDIR 是改變工作目錄糖荒,USER 則是改變之后層的執(zhí)行 RUN, CMD 以及 ENTRYPOINT 這類命令的身份杉辙。
當(dāng)然,和 WORKDIR 一樣捶朵,USER 只是幫助你切換到指定用戶而已蜘矢,這個(gè)用戶必須是事先建立好的,否則無法切換综看。
RUN groupadd -r redis && useradd -r -g redis redis
USER redis
RUN [ "redis-server" ]
如果以 root 執(zhí)行的腳本品腹,在執(zhí)行期間希望改變身份,比如希望以某個(gè)已經(jīng)建立好的用戶來運(yùn)行某個(gè)服務(wù)進(jìn)程寓搬,不要使用 su 或者 sudo珍昨,這些都需要比較麻煩的配置,而且在 TTY 缺失的環(huán)境下經(jīng)常出錯(cuò)句喷。建議使用 gosu
# 建立 redis 用戶镣典,并使用 gosu 換另一個(gè)用戶執(zhí)行命令
RUN groupadd -r redis && useradd -r -g redis redis
# 下載 gosu
RUN wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/1.7/gosu-amd64" \
&& chmod +x /usr/local/bin/gosu \
&& gosu nobody true
# 設(shè)置 CMD,并以另外的用戶執(zhí)行
CMD [ "exec", "gosu", "redis", "redis-server" ]
HEALTHCHECK 健康檢查
格式
HEALTHCHECK [選項(xiàng)] CMD <命令>:設(shè)置檢查容器健康狀況的命令
HEALTHCHECK NONE:如果基礎(chǔ)鏡像有健康檢查指令唾琼,使用這行可以屏蔽掉其健康檢查指令
HEALTHCHECK 指令是告訴 Docker 應(yīng)該如何進(jìn)行判斷容器的狀態(tài)是否正常 當(dāng)在一個(gè)鏡像指定了 HEALTHCHECK 指令后兄春,用其啟動容器,初始狀態(tài)會為 starting锡溯,在 HEALTHCHECK 指令檢查成功后變?yōu)?healthy赶舆,如果連續(xù)一定次數(shù)失敗,則會變?yōu)?unhealthy祭饭。
HEALTHCHECK 支持下列選項(xiàng):
-
--interval=<間隔>:兩次健康檢查的間隔芜茵,默認(rèn)為 30 秒; -
--timeout=<時(shí)長>: 健康檢查命令運(yùn)行超時(shí)時(shí)間倡蝙,如果超過這個(gè)時(shí)間九串,本次健康檢查就被視為失敗,默認(rèn) 30 秒寺鸥; -
--retries=<次數(shù)>:當(dāng)連續(xù)失敗指定次數(shù)后猪钮,則將容器狀態(tài)視為 unhealthy,默認(rèn) 3 次胆建。
和 CMD, ENTRYPOINT 一樣烤低,HEALTHCHECK 只可以出現(xiàn)一次,如果寫了多個(gè)笆载,只有最后一個(gè)生效扑馁。
