[容器化技术之四] 构建私有镜像

一、什么是Dockerfile？

  镜像的定制实际上就是定制每一层所添加的配置、文件。我们可以把每一层修改、安装、构建、操作的命令都写入一个脚本，这个脚本就是Dockerfile。

二、使用Dockerfile定制镜像

  下面以nginx为基础镜像，演示基于nginx使用Dockerfile来定制镜像。

1、创建Dockerfile

  在一个空白目录中，建立一个文本文件，并命名为Dockerfile

mkdir mynginx
cd mynginx
touch Dockerfile

  其内容为：

FROM nginx
RUN echo '
Hello, Docker!
' > /usr/share/nginx/html/index.html

  nginx默认的访问页面路径为/usr/share/nginx/html/index.html，Dockerfile很简单，一共就两行，涉及到了两条指令，FROM和RUN。

（1）FROM指定基础镜像

  所谓定制镜像，一定是以一个镜像为基础，在其上进行定制。基础镜像是必须指定的，而FROM就是指定基础镜像，因此一个Dockerfile中FROM是必备的指令，并且必须是第一条指令。在Docker Hub上有非常多的高质量的官方镜像，有可以直接拿来使用的服务类的镜像，如nginx、redis、mysql、tomcat等；可以在其中寻找一个最符合我们最终目标的镜像为基础镜像进行定制。、

  如果没有找到对应服务的镜像，官方镜像中还提供了一些更为基础的操作系统镜像，如ubuntu、debian、centos、alpine等，这些操作系统的软件库为我们提供了更广阔的扩展空间。

  除了选择现有镜像为基础镜像外，Docker还存在一个特殊的镜像，名为scratch，这个镜像是虚拟的该概念，并不实际存在，它表示一个空白的镜像。

FROM scratch
...

  如果以scratch为基础镜像，意味着不以任何镜像为基础，接下来所写的指令将作为镜像第一层开始存在。

  对于Linux下静态编译的程序来说，并不需要有操作系统提供运行时支持，所需的一切库都已经在可执行文件里了，因此直接FROM scratch会让镜像体积更加小巧。使用Go语言开发的应用很多会使用这种方式来制作镜像，这也是为什么有人认为Go是特别适合容器微服务架构的语言的原因之一。


（2）RUN执行命令

  RUN指令是用来执行命令行命令的，由于命令行的强大能力，RUN指令在定制镜像时是最常用的指令之一，其格式有两种：

shell格式：RUN <命令>

RUN echo '
Hello, Docker!
' > /usr/share/nginx/html/index.html

exec指令：RUN ["可执行文件", "参数1", "参数2"]、

RUN tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1
RUN make -C /usr/src/redis
RUN make -C /usr/src/redis install

2、构建镜像

docker build -t [镜像名]:[镜像版本] [Dockerfile文件所在目录]

实例演示：

  从命令的输出结果中，可以清晰地看到镜像的构建过程。在Step 2中，RUN指令启动了一个容器7b7ca18940f0，执行了所要求的命令，并最后提交了这一层的镜像6f518c774d7e，随后删除了所用到的这个容器7b7ca18940f0，查看镜像列表，可以看到我们刚才定制的镜像，镜像ID为6f518c774d7e。

三、Dockerfile指令详解

1、COPY复制文件

格式：

COPY <源路径>...<目标路径>
COPY ["<源路径>",..."<目标路径>"]

  COPY指令将从构建上下文目录中<源路径>的文件/目录复制到新的一层的镜像内的<目标路径>位置。比如：

COPY package.json /usr/src/app

  <源路径>可以是多个，甚至可以是通配符，如：

COPY hom* /mydir/
COPY hom?.txt /mydir/

实例演示：

  来运行以下这个新创建的镜像，命名新创建的容器，绑定端口，指定使用的镜像，如下所示：

  查看新增的容器

  进入容器内部，查看Dockerfile中的COPY指令是否有生效拷贝文件到指定目录中

2、ADD更高级地复制文件

  ADD指令和COPY的格式和性质基本一致，但是在COPY基础上增加了一些功能。比如<源路径>可以是一个URL，这种情况下，Docker引擎会试图去下载这个链接的文件放到<目标路径>去。

  在Docker官方的Dockerfile最佳时间文档中要求，尽可能地使用COPY，因为COPY的语义很明确，就是复制文件而已，而ADD则包含了更复杂的功能，其行为也不一定很清晰。最适合使用ADD的场合，就是所提及的需要自动解压缩的场合。

  因此在COPY和ADD指令中选择的时候，可以遵循这样的原则，所有的文件复制均使用COPY指令，仅在需要自动压缩的场合使用ADD。

3、CMD容器启动命令

  CMD指令的格式和RUN相似，也是两种格式：

（1）shell格式

CMD <命令>

实例演示：

（2）exec格式

CMD ["可执行文件", "参数1", "参数2"...]

实例演示：

注意：docker run命令如果指定了参数会把CMD里的参数覆盖： （这里说明一下，如：docker run -it ubuntu /bin/bash 命令的参数是指/bin/bash 而非 -it ,-it只是docker 的参数，而不是容器的参数，以下所说参数均如此。）

  同样是上面的镜像启动，如果命令是docker run -it imageecho:2.0 /bin/bash，则并不会输出test CMD command，因为CMD命令被"/bin/bash"覆盖了。

（3）参数列表格式

CMD ["参数1", "参数2"...]

  在指定了ENTRYPOINT指令后，用CMD指定具体的参数。

  Docker不是虚拟机，容器就是进程。既然是进程，name在启动容器的时候，需要指定所运行的程序及参数。CMD指令就是用于指定默认的容器主进程启动命令的。

ENTRYPOINT官方定义（详细用法参考）

An ENTRYPOINT allows you to configure a container that will run as an executable.（它可以让你的容器功能表现得像一个可执行程序一样。）

  如果使用下面的脚本构建镜像：

...(pre shell)
ENTRYPOINT ["/bin/echo"]

  那么docker build出来的镜像以后的容器功能就像一个/bin/echo程序。比如我build出来的镜像名称叫imageecho，那么我可以这样用它：

docker  run  -it  imageecho  “this is a test”

  这里就会输出”this is a test”这串字符，而这个imageecho镜像对应的容器表现出来的功能就像一个echo程序一样。 你添加的参数“this is a test”会添加到ENTRYPOINT后面，就成了这样/bin/echo “this is a test”。

实例演示：

如果不需要动态外部传参，则可以使用以下命令：

ENTRYPOINT ["命令", "参数1", "参数2"]

要达到上面的效果，脚本修改成ENTRYPOINT ["/bin/echo", "this is a test"]，如图所示：

  既然ENTRYPOINT指令本身可以传参，为什么还要有一种通过CMD指令传参的方式呢？区别在于，ENTRYPOINT指令指定的参数是绑定的，不能在启动容器时传参覆盖，而CMD指令的参数可以被动态覆盖，类似默认值的效果，如下所示：

RUN和CMD的区别？

• RUN命令执行命令并创建新的镜像层，通常用于安装软件包。
• CMD命令设置容器启动后默认执行的命令及其参数，但CMD设置的命令能够被docker run命令后面的命令行参数替换。

4、ENV设置环境变量

  命令格式有两种：

ENV  
ENV = =

  这个指令很简单，就是设置环境变量而已，无论是后面的其他指令，如RUN，还是 运行时的应用，都可以直接使用这里定义的环境变量。

ENV VERSION=1.0 DEBUG=on
$VERSION # 使用环境变量

  下列指令可以支持环境变量展开：ADD、COPY、ENV、EXPOSE、LABEL、WORKDIR、VOLUME、STOPSIGNAL、ONBUILD。

实例演示：

5、ARG构建参数

格式：

ARG <参数名>[=<默认值>]

  构建参数和ENV的效果一样，都是设置环境变量。所不同的是，ARG所设置的构建环境的环境变量，在将来容器运行时是不会存在这些环境变量的。但是不要因此就使用ARG保存密码之类的信息，因为docker history还是可以看到所有值的。

  Dockerfile中的ARG指令是定义参数名称，以及定义其默认值。该默认值可以在构建命令docker build中用--build-arg <参数名>=<值>来覆盖。

6、VOLUME定义匿名卷

格式：

VOLUME ["<路径1>", "<路径2>"]
VOLUME <路径>

  容器运行时应该尽量保持容器存储层不发生写操作，对于数据库类需要保存动态数据的应用，其数据库文件应该保存于卷（volume）中，为了防止运行时用户忘记将动态文件所保存目录挂载为卷，在Dockerfile中，我们可以事先指定某些目录挂载为匿名卷，这样在运行时如果用户不指定挂载，其应用也可以正常运行，不会向容器存储层写入大量数据。

  简单地说，就是将容器运行时产生的一些有用的数据保存在宿主机中而不是容器中，这样数据操作就跟容器状态无关，如下所示：

  Dockerfile脚本中，指定了容器中的/data目录为docker的匿名卷，产生的效果就是，docker会在宿主机的/var/lib/docker/volumes/目录下创建一个对应的文件夹，文件夹名是一串字符串（应该是根据容器ID、镜像名版本等计算出来的），里面有个_data目录，存放这对应容器运行时的/data目录下产生的数据。

  当然，运行时可以覆盖这个挂载设置，比如：

docker run -d -v mydata:/data

  在这行命令中，就是用了mydata这个命名卷挂载到了/data这个位置，替代了Dockerfile中定义的匿名卷的挂载配置，如下图所示：

7、EXPOSE声明端口

格式：

EXPOSE <端口1> [<端口2>...]

  EXPOSE指令是声明运行时容器提供服务端口，这只是一个声明，表示可以在运行命令中使用-P或-p参数使用和映射端口，在运行时并不会因为这个声明应用就会开启这个端口的服务。

在Dockerfile中写入这样的声明有两个好处：
（1）帮助镜像的使用者如运维人员理解这个镜像服务的守护端口，以方便配置映射；

（2）在运行时使用随机映射端口映射时，也就是docker run -P时，会自动随机映射EXPOSE的端口。

8、WORKDIR指定工作目录

格式：

WORKDIR <工作目录路径>

  使用WORKDIR指令可以来指定工作目录（或者称为当前目录），以后各层的当前目录就被改为指定的目录，如该目录不存在，WORKDIR会帮你建立目录。

  初学者常犯的错误是把Dockerfile当做Shell脚本来写，这种错误的理解还可能会导致出现虾米那这样的错误：

RUN cd /app
RUN echo "hello" > world.txt

  如果将这个Dockerfile进行构建镜像运行后，会发现找不到/app/world.txt文件。

错误分析：

• 在Shell中，连续两行是同一个进程执行环境，因此前一个命令修改的内存状态，会直接影响后一个命令
• 而在Dockerfile中，这两行RUN命令的执行环境根本不同，是两个完全不同的容器，RUN执行的过程实际上是构建新的镜像层的过程。

每一个RUN都是启动一个容器、执行命令、然后提交存储层文件变更。
第一层RUN cd /app的执行仅仅是当前进程的工作目录变更，一个内存上的变化而已，其结果不会造成任何文件变更。而到第二层的时候，启动的是一个全新的容器，跟第一层的容器更完全没关系，自然不可能继承前一层构建过程中的内存变化。

因此如果需要改变以后各层的工作目录的位置，name应该使用WORKDIR指令。

9、USER指定当前用户

格式：

USER <用户名>

  USER和WORKDIR类似，都是改变环境状态并影响以后的层。WORKDIR是改变工作目录，USER则是改变之后层的执行RUN、CMD以及ENTRYPOINT这类命令的身份。

  当然，和WORKDIR一样，USER只是帮助你切换到指定用户而已，这个用户必须是事先建立好的，否则无法切换。

RUN groupadd -r redis && useradd -r -g redis redis
USER redis
RUN ["redis-server"]

10、HEALTHCHECK健康检查

格式：

HEALTHCHECK [选项] CMD <命令>：设置检查容器健康状况的命令
HEALTHCHECK NONE：如果基础镜像有健康检查指令，可以屏蔽掉其健康检查指令

  HEALTHCHECK指令是高速Docker应该如何进行判断容器的状态是否正常，这是Docker 1.12引入的新指令。通过该指令指定一行命令，用这行命令来判断容器主进程的服务状态是否还正常，从而比较真实地反映容器实际状态。

一个镜像指定了HEALTHCHECK指令后，用其启动容器，初始状态会为starting，在执行健康检查成功后变>为healthy，如果连续一定次数失败，则会变为unhealthy。
HEALTHCHECK支持下列选项：

• --interval=<间隔>：两次健康检查的间隔，默认为30秒；
• --timeout=<时长>：健康检查命令运行超时时间，如果超过这个时间，本次健康检查就被视为失败，默认30秒；
• --retries=<次数>：当连续失败指定次数后，则将容器状态视为unhealthy，默认3次。

  为了帮助排障，健康检查命令的输出（包括stdout以及stderr）都会被存储于健康状态里，可以用docker inspect来查看。

11、ONBUILD为他人做嫁衣

格式：

ONBUILD <其他指令>

  ONBUILD是一个特殊的指令，它后面跟的是其他指令，比如RUN、COPY等，而这些指令，在当前镜像构建时并不会被执行，只有当以当前镜像为基础镜像，去构建下一级镜像的时候才会被执行。

  Dockerfile中的其他指令都是为了定制当前镜像而准备的，唯有ONBUILD是为了帮助别人定制自己而准备的。

12、docker save & docker load

  Docker还提供了docker load和docker save命令，用以将镜像保存为一个tar文件，然后传输到另一个位置上，再加载进来。这是在没有Docker Registry时的做法，现在已经不推荐，镜像迁移应该直接使用Docker Registry，无论是直接使用Docker Hub还是使用内网私有Registry都可以。

例如：保存nginx镜像：

docker save nginx | gzip > nginx-latest.tar.gz

然后我们将nginx-latest.tar.gz文件复制到了另一个机器上，再次加载镜像：

docker load -i nginx-latest.tar.gz

注意：跟docker export和docker import的区别，前者是对容器的操作，docker save和docker load是对镜像的操作。