前言
dockfile是一种被docker程序解释的脚本,dockerfile由一条一条的指令组成,每条指令对应linux下面的一条命令。docker程序将这些dockerfile指令翻译真正的linux命令。dockerfile有自己书写格式和支持的命令,docker程序解决这些命令间的依赖关系,类似于makefile。docker程序将读取dockerfile,根据指令生成定制的image。相比image这种黑盒子,dockerfile这种显而易见的脚本更容易被使用者接受,它明确的表明image是怎么产生的。有了dockerfile,当我们需要定制自己额外的需求时,只需在dockerfile上添加或者修改指令,重新生成image即可,省去了敲命令的麻烦。
在 dockerfile 中用到的命令有
from
from指定一个基础镜像, 一般情况下一个可用的 dockerfile一定是 from 为第一个指令。至于image则可以是任何合理存在的image镜像。
from 一定是首个非注释指令 dockerfile.
from 可以在一个 dockerfile 中出现多次,以便于创建混合的images。
如果没有指定 tag ,latest 将会被指定为要使用的基础镜像版本。
maintainer
这里是用于指定镜像制作者的信息
run
run命令将在当前image中执行任意合法命令并提交执行结果。命令执行提交后,就会自动执行dockerfile中的下一个指令。
层级 run 指令和生成提交是符合docker核心理念的做法。它允许像版本控制那样,在任意一个点,对image 镜像进行定制化构建。
run 指令缓存不会在下个命令执行时自动失效。比如 run apt-get dist-upgrade -y 的缓存就可能被用于下一个指令. --no-cache 标志可以被用于强制取消缓存使用。
env
env指令可以用于为docker容器设置环境变量
env设置的环境变量,可以使用 docker inspect命令来查看。同时还可以使用docker run --env <key>=<value>来修改环境变量。
user
user 用来切换运行属主身份的。docker 默认是使用 root,但若不需要,建议切换使用者身分,毕竟 root 权限太大了,使用上有安全的风险。
workdir
workdir 用来切换工作目录的。docker 默认的工作目录是/,只有 run 能执行 cd 命令切换目录,而且还只作用在当下下的 run,也就是说每一个 run 都是独立进行的。如果想让其他指令在指定的目录下执行,就得靠 workdir。workdir 动作的目录改变是持久的,不用每个指令前都使用一次 workdir。
copy
copy 将文件从路径 <src> 复制添加到容器内部路径 <dest>。
<src>
必须是想对于源文件夹的一个文件或目录,也可以是一个远程的url,<dest>
是目标容器中的绝对路径。
所有的新文件和文件夹都会创建uid 和 gid 。事实上如果 <src> 是一个远程文件url,那么目标文件的权限将会是600。
add
add 将文件从路径 <src> 复制添加到容器内部路径 <dest>。
<src> 必须是想对于源文件夹的一个文件或目录,也可以是一个远程的url。<dest> 是目标容器中的绝对路径。
所有的新文件和文件夹都会创建uid 和 gid。事实上如果 <src> 是一个远程文件url,那么目标文件的权限将会是600。
volume
创建一个可以从本地主机或其他容器挂载的挂载点,一般用来存放数据库和需要保持的数据等。
expose
expose 指令指定在docker允许时指定的端口进行转发。
cmd
dockerfile.中只能有一个cmd指令。 如果你指定了多个,那么最后个cmd指令是生效的。
cmd指令的主要作用是提供默认的执行容器。这些默认值可以包括可执行文件,也可以省略可执行文件。
当你使用shell或exec格式时, cmd
会自动执行这个命令。
onbuild
onbuild 的作用就是让指令延迟執行,延迟到下一个使用 from 的 dockerfile 在建立 image 时执行,只限延迟一次。
onbuild 的使用情景是在建立镜像时取得最新的源码 (搭配 run) 与限定系统框架。
arg
arg是docker1.9 版本才新加入的指令。
arg 定义的变量只在建立 image 时有效,建立完成后变量就失效消失
label
定义一个 image 标签 owner,并赋值,其值为变量 name 的值。(label owner=$name )
entrypoint
是指定 docker image 运行成 instance (也就是 docker container) 时,要执行的命令或者文件。
注意:
cmd 和 entrypoint 都能用来指定开始运行的程序,而且这两个命令都有两种不用的语法:
cmd ls -l
or
cmd ["ls",''-l"]
对于第一种语法,docker 会自动加入“/bin/sh –c”到命令中,这样就有可能导致意想不到的行为。为了避免这种行为,我们推荐所有的 cmd 和 entrypoint 都应该使用第二种语法。
如果两个同时使用,请确定确定他们的含义没有错误。一般来说需要两个同时使用的情况只有 entrypoint 指定需要运行的 binary,cmd 给出运行的默认参数。
尽量合并命令
dockerfile 中的每一个命令都会创建一个新的 layer,而一个容器能够拥有的最多 layer 数是有限制的。所以尽量将逻辑上连贯的命令合并可以减少 layer的层数,合并命令的方法可以包括将多个可以合并的命令(expose, env,volume,copy)合并。
dockerfile 中的每一个命令都会创建一个新的 layer,而一个容器能够拥有的最多 layer 数是有限制的。所以尽量将逻辑上连贯的命令合并可以减少 layer 的层数,这也可以加快编译速度。
将多个可以合并的命令(run,expose, env,volume,copy)合并,比如:
exoise 80 exoise 8080 cmd cd /tmp cmd ls
==>
exoise 80 8080 cmd cd /tmp && ls
add命令和 copy 命令在很大层度上功能是一样的。但是 copy 语义更加直接,所以我们推荐尽量使用 copy 命令。唯一例外的是 add 命令自带解压功能,如果需要拷贝并解压一个文件到镜像中,那么我们可以使用 add 命令。除此之外,我们都推荐使用 copy 命令。
add 1.1.1.100:1234/jdk-8u74-linux-x64.tar.gz /usr/local/
user的使用
docker 默认所有的应用都会跑在容器的 root user 底下,但是这样会造成一些潜在的安全隐患。在 production 环境跑的 container 最好是通过user命令跑在非特权用户底下。
