本文轉(zhuǎn)載自:https://www.funtl.com/zh/docker/Dockerfile-指令.html

我們已經(jīng)介紹了 FROM闹获，RUN公荧，還提及了 COPY, ADD溺忧，其實 Dockerfile 功能很強大，它提供了十多個指令诫舅。下面我們繼續(xù)講解其他的指令。

#COPY

格式：

• COPY <源路徑>... <目標路徑>
• COPY ["<源路徑1>",... "<目標路徑>"]
  和 RUN 指令一樣阳似，也有兩種格式，一種類似于命令行铐伴，一種類似于函數(shù)調(diào)用撮奏。
  COPY 指令將從構(gòu)建上下文目錄中 <源路徑> 的文件/目錄復(fù)制到新的一層的鏡像內(nèi)的 <目標路徑> 位置俏讹。比如：

COPY package.json /usr/src/app/

<源路徑> 可以是多個，甚至可以是通配符畜吊，其通配符規(guī)則要滿足 Go 的 filepath.Match 規(guī)則泽疆，如：

COPY hom* /mydir/
COPY hom?.txt /mydir/

<目標路徑> 可以是容器內(nèi)的絕對路徑，也可以是相對于工作目錄的相對路徑（工作目錄可以用 WORKDIR指令來指定）玲献。目標路徑不需要事先創(chuàng)建殉疼，如果目錄不存在會在復(fù)制文件前先行創(chuàng)建缺失目錄。

此外捌年，還需要注意一點瓢娜，使用 COPY 指令，源文件的各種元數(shù)據(jù)都會保留礼预。比如讀眠砾、寫、執(zhí)行權(quán)限托酸、文件變更時間等褒颈。這個特性對于鏡像定制很有用。特別是構(gòu)建相關(guān)文件都在使用 Git 進行管理的時候励堡。

#ADD

ADD 指令和 COPY 的格式和性質(zhì)基本一致谷丸。但是在 COPY 基礎(chǔ)上增加了一些功能。

比如 <源路徑> 可以是一個 URL应结，這種情況下刨疼，Docker 引擎會試圖去下載這個鏈接的文件放到 <目標路徑> 去。下載后的文件權(quán)限自動設(shè)置為 600摊趾，如果這并不是想要的權(quán)限币狠，那么還需要增加額外的一層 RUN 進行權(quán)限調(diào)整，另外砾层，如果下載的是個壓縮包漩绵，需要解壓縮，也一樣還需要額外的一層 RUN 指令進行解壓縮肛炮。所以不如直接使用 RUN 指令止吐，然后使用 wget 或者 curl 工具下載，處理權(quán)限侨糟、解壓縮碍扔、然后清理無用文件更合理。因此秕重，這個功能其實并不實用不同，而且不推薦使用。

如果 <源路徑> 為一個 tar 壓縮文件的話，壓縮格式為 gzip, bzip2 以及 xz 的情況下二拐，ADD 指令將會自動解壓縮這個壓縮文件到 <目標路徑> 去服鹅。

在某些情況下，這個自動解壓縮的功能非常有用百新，比如官方鏡像 ubuntu 中：

FROM scratch
ADD ubuntu-xenial-core-cloudimg-amd64-root.tar.gz /
...

但在某些情況下企软，如果我們真的是希望復(fù)制個壓縮文件進去，而不解壓縮饭望，這時就不可以使用 ADD 命令了仗哨。

在 Docker 官方的 Dockerfile 最佳實踐文檔 中要求，盡可能的使用 COPY铅辞，因為 COPY 的語義很明確厌漂，就是復(fù)制文件而已，而 ADD 則包含了更復(fù)雜的功能巷挥，其行為也不一定很清晰桩卵。最適合使用 ADD 的場合，就是所提及的需要自動解壓縮的場合倍宾。

另外需要注意的是雏节，ADD 指令會令鏡像構(gòu)建緩存失效，從而可能會令鏡像構(gòu)建變得比較緩慢高职。

因此在 COPY 和 ADD 指令中選擇的時候钩乍，可以遵循這樣的原則，所有的文件復(fù)制均使用 COPY 指令怔锌，僅在需要自動解壓縮的場合使用 ADD寥粹。

#CMD

CMD 指令的格式和 RUN 相似，也是兩種格式：

• shell 格式：CMD <命令>
• exec 格式：CMD ["可執(zhí)行文件", "參數(shù)1", "參數(shù)2"...]
• 參數(shù)列表格式：CMD ["參數(shù)1", "參數(shù)2"...]埃元。在指定了 ENTRYPOINT 指令后涝涤，用 CMD 指定具體的參數(shù)。

之前介紹容器的時候曾經(jīng)說過岛杀，Docker 不是虛擬機阔拳，容器就是進程。既然是進程类嗤，那么在啟動容器的時候糊肠，需要指定所運行的程序及參數(shù)。CMD 指令就是用于指定默認的容器主進程的啟動命令的遗锣。

在運行時可以指定新的命令來替代鏡像設(shè)置中的這個默認命令货裹，比如，ubuntu 鏡像默認的 CMD 是 /bin/bash精偿，如果我們直接 docker run -it ubuntu 的話弧圆，會直接進入 bash赋兵。我們也可以在運行時指定運行別的命令，如 docker run -it ubuntu cat /etc/os-release搔预。這就是用 cat /etc/os-release 命令替換了默認的 /bin/bash 命令了毡惜，輸出了系統(tǒng)版本信息。

在指令格式上斯撮，一般推薦使用 exec 格式，這類格式在解析時會被解析為 JSON 數(shù)組扶叉，因此一定要使用雙引號 "勿锅，而不要使用單引號。

如果使用 shell 格式的話枣氧，實際的命令會被包裝為 sh -c 的參數(shù)的形式進行執(zhí)行溢十。比如：

CMD echo $HOME

在實際執(zhí)行中，會將其變更為：

CMD [ "sh", "-c", "echo $HOME" ]

這就是為什么我們可以使用環(huán)境變量的原因达吞，因為這些環(huán)境變量會被 shell 進行解析處理张弛。

提到 CMD 就不得不提容器中應(yīng)用在前臺執(zhí)行和后臺執(zhí)行的問題。這是初學者常出現(xiàn)的一個混淆酪劫。

Docker 不是虛擬機吞鸭，容器中的應(yīng)用都應(yīng)該以前臺執(zhí)行，而不是像虛擬機覆糟、物理機里面那樣刻剥，用 upstart/systemd 去啟動后臺服務(wù)，容器內(nèi)沒有后臺服務(wù)的概念滩字。

一些初學者將 CMD 寫為：

CMD service nginx start

然后發(fā)現(xiàn)容器執(zhí)行后就立即退出了造虏。甚至在容器內(nèi)去使用 systemctl 命令結(jié)果卻發(fā)現(xiàn)根本執(zhí)行不了。這就是因為沒有搞明白前臺麦箍、后臺的概念漓藕，沒有區(qū)分容器和虛擬機的差異，依舊在以傳統(tǒng)虛擬機的角度去理解容器挟裂。

對于容器而言享钞，其啟動程序就是容器應(yīng)用進程，容器就是為了主進程而存在的话瞧，主進程退出嫩与，容器就失去了存在的意義，從而退出交排，其它輔助進程不是它需要關(guān)心的東西划滋。

而使用 service nginx start 命令，則是希望 upstart 來以后臺守護進程形式啟動 nginx 服務(wù)埃篓。而剛才說了 CMD service nginx start 會被理解為 CMD [ "sh", "-c", "service nginx start"]处坪，因此主進程實際上是 sh。那么當 service nginx start 命令結(jié)束后，sh 也就結(jié)束了同窘，sh 作為主進程退出了玄帕，自然就會令容器退出。

正確的做法是直接執(zhí)行 nginx 可執(zhí)行文件想邦，并且要求以前臺形式運行裤纹。比如：

CMD ["nginx", "-g", "daemon off;"]

#ENTRYPOINT

ENTRYPOINT 的格式和 RUN 指令格式一樣，分為 exec 格式和 shell 格式丧没。

ENTRYPOINT 的目的和 CMD 一樣鹰椒，都是在指定容器啟動程序及參數(shù)。ENTRYPOINT 在運行時也可以替代呕童，不過比 CMD 要略顯繁瑣漆际，需要通過 docker run 的參數(shù) --entrypoint 來指定。

當指定了 ENTRYPOINT 后夺饲，CMD 的含義就發(fā)生了改變奸汇，不再是直接的運行其命令，而是將 CMD 的內(nèi)容作為參數(shù)傳給 ENTRYPOINT 指令往声，換句話說實際執(zhí)行時擂找，將變?yōu)椋?/p>

<ENTRYPOINT> "<CMD>"

那么有了 CMD 后，為什么還要有 ENTRYPOINT 呢浩销？這種 <ENTRYPOINT> "<CMD>" 有什么好處么婴洼？讓我們來看幾個場景。

#場景一：讓鏡像變成像命令一樣使用

假設(shè)我們需要一個得知自己當前公網(wǎng) IP 的鏡像撼嗓，那么可以先用 CMD 來實現(xiàn)：

FROM ubuntu:16.04
RUN apt-get update \
    && apt-get install -y curl \
    && rm -rf /var/lib/apt/lists/*
CMD [ "curl", "-s", "http://ip.cn" ]

假如我們使用 docker build -t myip . 來構(gòu)建鏡像的話柬采，如果我們需要查詢當前公網(wǎng) IP，只需要執(zhí)行：

$ docker run myip
當前 IP：61.148.226.66 來自：北京市 聯(lián)通

嗯且警，這么看起來好像可以直接把鏡像當做命令使用了粉捻，不過命令總有參數(shù)，如果我們希望加參數(shù)呢斑芜？比如從上面的 CMD 中可以看到實質(zhì)的命令是 curl肩刃，那么如果我們希望顯示 HTTP 頭信息，就需要加上 -i參數(shù)杏头。那么我們可以直接加 -i 參數(shù)給 docker run myip 么盈包？

$ docker run myip -i
docker: Error response from daemon: invalid header field value "oci runtime error: container_linux.go:247: starting container process caused \"exec: \\\"-i\\\": executable file not found in $PATH\"\n".

我們可以看到可執(zhí)行文件找不到的報錯，executable file not found醇王。之前我們說過呢燥，跟在鏡像名后面的是 command，運行時會替換 CMD 的默認值寓娩。因此這里的 -i 替換了原來的 CMD叛氨，而不是添加在原來的 curl -s http://ip.cn 后面呼渣。而 -i 根本不是命令，所以自然找不到寞埠。

那么如果我們希望加入 -i 這參數(shù)屁置，我們就必須重新完整的輸入這個命令：

$ docker run myip curl -s http://ip.cn -i

這顯然不是很好的解決方案，而使用 ENTRYPOINT 就可以解決這個問題∪柿現(xiàn)在我們重新用 ENTRYPOINT來實現(xiàn)這個鏡像：

FROM ubuntu:16.04
RUN apt-get update \
    && apt-get install -y curl \
    && rm -rf /var/lib/apt/lists/*
ENTRYPOINT [ "curl", "-s", "http://ip.cn" ]

這次我們再來嘗試直接使用 docker run myip -i：

$ docker run myip
當前 IP：61.148.226.66 來自：北京市 聯(lián)通

$ docker run myip -i
HTTP/1.1 200 OK
Server: nginx/1.8.0
Date: Tue, 22 Nov 2016 05:12:40 GMT
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Powered-By: PHP/5.6.24-1~dotdeb+7.1
X-Cache: MISS from cache-2
X-Cache-Lookup: MISS from cache-2:80
X-Cache: MISS from proxy-2_6
Transfer-Encoding: chunked
Via: 1.1 cache-2:80, 1.1 proxy-2_6:8006
Connection: keep-alive

當前 IP：61.148.226.66 來自：北京市 聯(lián)通

可以看到，這次成功了饭冬。這是因為當存在 ENTRYPOINT 后，CMD 的內(nèi)容將會作為參數(shù)傳給 ENTRYPOINT，而這里 -i 就是新的 CMD遣钳，因此會作為參數(shù)傳給 curl扰魂，從而達到了我們預(yù)期的效果。

#場景二：應(yīng)用運行前的準備工作

啟動容器就是啟動主進程劝评，但有些時候倦淀，啟動主進程前蒋畜，需要一些準備工作。

比如 mysql 類的數(shù)據(jù)庫撞叽，可能需要一些數(shù)據(jù)庫配置姻成、初始化的工作科展，這些工作要在最終的 mysql 服務(wù)器運行之前解決糠雨。

此外，可能希望避免使用 root 用戶去啟動服務(wù)甘邀，從而提高安全性，而在啟動服務(wù)前還需要以 root 身份執(zhí)行一些必要的準備工作松邪，最后切換到服務(wù)用戶身份啟動服務(wù)逗抑〗馇。或者除了服務(wù)外浙于，其它命令依舊可以使用 root 身份執(zhí)行，方便調(diào)試等羞酗。

這些準備工作是和容器 CMD 無關(guān)的檀轨，無論 CMD 為什么，都需要事先進行一個預(yù)處理的工作参萄。這種情況下，可以寫一個腳本校赤，然后放入 ENTRYPOINT 中去執(zhí)行，而這個腳本會將接到的參數(shù)（也就是 <CMD>）作為命令筒溃，在腳本最后執(zhí)行马篮。比如官方鏡像 redis 中就是這么做的：

FROM alpine:3.4
...
RUN addgroup -S redis && adduser -S -G redis redis
...
ENTRYPOINT ["docker-entrypoint.sh"]

EXPOSE 6379
CMD [ "redis-server" ]

可以看到其中為了 redis 服務(wù)創(chuàng)建了 redis 用戶怜奖，并在最后指定了 ENTRYPOINT 為 docker-entrypoint.sh腳本。

#!/bin/sh
...
# allow the container to be started with `--user`
if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
    chown -R redis .
    exec su-exec redis "$0" "$@"
fi
exec "$@"

該腳本的內(nèi)容就是根據(jù) CMD 的內(nèi)容來判斷迁央，如果是 redis-server 的話滥崩，則切換到 redis 用戶身份啟動服務(wù)器，否則依舊使用 root 身份執(zhí)行幅狮。比如：

$ docker run -it redis id
uid=0(root) gid=0(root) groups=0(root)

#ENV

格式有兩種：

• ENV <key> <value>
• ENV <key1>=<value1> <key2>=<value2>...

這個指令很簡單株灸，就是設(shè)置環(huán)境變量而已，無論是后面的其它指令逐抑，如 RUN屹蚊，還是運行時的應(yīng)用，都可以直接使用這里定義的環(huán)境變量命斧。

ENV VERSION=1.0 DEBUG=on \
    NAME="Happy Feet"

這個例子中演示了如何換行国葬，以及對含有空格的值用雙引號括起來的辦法，這和 Shell 下的行為是一致的汇四。

定義了環(huán)境變量，那么在后續(xù)的指令中序宦，就可以使用這個環(huán)境變量背苦。比如在官方 node 鏡像 Dockerfile 中，就有類似這樣的代碼：

ENV NODE_VERSION 7.2.0

RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
  && curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc" \
  && gpg --batch --decrypt --output SHASUMS256.txt SHASUMS256.txt.asc \
  && grep " node-v$NODE_VERSION-linux-x64.tar.xz\$" SHASUMS256.txt | sha256sum -c - \
  && tar -xJf "node-v$NODE_VERSION-linux-x64.tar.xz" -C /usr/local --strip-components=1 \
  && rm "node-v$NODE_VERSION-linux-x64.tar.xz" SHASUMS256.txt.asc SHASUMS256.txt \
  && ln -s /usr/local/bin/node /usr/local/bin/nodejs

在這里先定義了環(huán)境變量 NODE_VERSION钉疫，其后的 RUN 這層里，多次使用 $NODE_VERSION 來進行操作定制牲阁〕蔷眨可以看到，將來升級鏡像構(gòu)建版本的時候凌唬，只需要更新 7.2.0 即可客税，Dockerfile 構(gòu)建維護變得更輕松了。

下列指令可以支持環(huán)境變量展開： ADD更耻、COPY秧均、ENV号涯、EXPOSE锯七、LABEL、USER久又、WORKDIR效五、VOLUME、STOPSIGNAL脉执、ONBUILD戒劫。

可以從這個指令列表里感覺到迅细，環(huán)境變量可以使用的地方很多，很強大湘换。通過環(huán)境變量统阿，我們可以讓一份 Dockerfile 制作更多的鏡像，只需使用不同的環(huán)境變量即可帆离。

#VOLUME

格式為：

• VOLUME ["<路徑1>", "<路徑2>"...]
• VOLUME <路徑>

之前我們說過结澄，容器運行時應(yīng)該盡量保持容器存儲層不發(fā)生寫操作，對于數(shù)據(jù)庫類需要保存動態(tài)數(shù)據(jù)的應(yīng)用呼巷，其數(shù)據(jù)庫文件應(yīng)該保存于卷(volume)中赎瑰，后面的章節(jié)我們會進一步介紹 Docker 卷的概念。為了防止運行時用戶忘記將動態(tài)文件所保存目錄掛載為卷压储，在 Dockerfile 中，我們可以事先指定某些目錄掛載為匿名卷孕似，這樣在運行時如果用戶不指定掛載刮刑，其應(yīng)用也可以正常運行，不會向容器存儲層寫入大量數(shù)據(jù)泛烙。

VOLUME /data

這里的 /data 目錄就會在運行時自動掛載為匿名卷翘紊，任何向 /data 中寫入的信息都不會記錄進容器存儲層帆疟，從而保證了容器存儲層的無狀態(tài)化。當然踪宠，運行時可以覆蓋這個掛載設(shè)置柳琢。比如：

docker run -d -v mydata:/data xxxx

在這行命令中，就使用了 mydata 這個命名卷掛載到了 /data 這個位置痘绎，替代了 Dockerfile 中定義的匿名卷的掛載配置肖粮。

#EXPOSE

格式為 EXPOSE <端口1> [<端口2>...]尔苦。

EXPOSE 指令是聲明運行時容器提供服務(wù)端口，這只是一個聲明魂那，在運行時并不會因為這個聲明應(yīng)用就會開啟這個端口的服務(wù)稠项。在 Dockerfile 中寫入這樣的聲明有兩個好處展运，一個是幫助鏡像使用者理解這個鏡像服務(wù)的守護端口精刷，以方便配置映射蔗候；另一個用處則是在運行時使用隨機端口映射時，也就是 docker run -P 時纫事，會自動隨機映射 EXPOSE 的端口所灸。

此外庆寺，在早期 Docker 版本中還有一個特殊的用處。以前所有容器都運行于默認橋接網(wǎng)絡(luò)中懦尝，因此所有容器互相之間都可以直接訪問陵霉，這樣存在一定的安全性問題。于是有了一個 Docker 引擎參數(shù) --icc=false乍桂，當指定該參數(shù)后效床，容器間將默認無法互訪，除非互相間使用了 --links 參數(shù)的容器才可以互通憋沿，并且只有鏡像中 EXPOSE 所聲明的端口才可以被訪問沪猴。這個 --icc=false 的用法，在引入了 docker network 后已經(jīng)基本不用了壶辜，通過自定義網(wǎng)絡(luò)可以很輕松的實現(xiàn)容器間的互聯(lián)與隔離担租。

要將 EXPOSE 和在運行時使用 -p <宿主端口>:<容器端口> 區(qū)分開來。-p岭参，是映射宿主端口和容器端口冗荸，換句話說，就是將容器的對應(yīng)端口服務(wù)公開給外界訪問盔粹，而 EXPOSE 僅僅是聲明容器打算使用什么端口而已程癌，并不會自動在宿主進行端口映射。

#WORKDIR

格式為 WORKDIR <工作目錄路徑>进萄。

使用 WORKDIR 指令可以來指定工作目錄（或者稱為當前目錄）锐峭，以后各層的當前目錄就被改為指定的目錄沿癞，如該目錄不存在，WORKDIR 會幫你建立目錄惫搏。

之前提到一些初學者常犯的錯誤是把 Dockerfile 等同于 Shell 腳本來書寫蚕涤，這種錯誤的理解還可能會導(dǎo)致出現(xiàn)下面這樣的錯誤：

RUN cd /app
RUN echo "hello" > world.txt

如果將這個 Dockerfile 進行構(gòu)建鏡像運行后，會發(fā)現(xiàn)找不到 /app/world.txt 文件茴丰，或者其內(nèi)容不是 hello蛮位。原因其實很簡單失仁，在 Shell 中们何，連續(xù)兩行是同一個進程執(zhí)行環(huán)境，因此前一個命令修改的內(nèi)存狀態(tài)拂封，會直接影響后一個命令；而在 Dockerfile 中在抛，這兩行 RUN 命令的執(zhí)行環(huán)境根本不同萧恕，是兩個完全不同的容器票唆。這就是對 Dockerfile 構(gòu)建分層存儲的概念不了解所導(dǎo)致的錯誤。

之前說過每一個 RUN 都是啟動一個容器衅金、執(zhí)行命令簿煌、然后提交存儲層文件變更。第一層 RUN cd /app的執(zhí)行僅僅是當前進程的工作目錄變更您觉，一個內(nèi)存上的變化而已授滓，其結(jié)果不會造成任何文件變更般堆。而到第二層的時候，啟動的是一個全新的容器私沮，跟第一層的容器更完全沒關(guān)系和橙，自然不可能繼承前一層構(gòu)建過程中的內(nèi)存變化。

因此如果需要改變以后各層的工作目錄的位置晰搀，那么應(yīng)該使用 WORKDIR 指令办斑。