Dockerfile一镜到底

1.什么是Dockerfile

Dockerfile就是名为Dockerfile的文件，文件中包含一些Linux命令，Docker通过读取文件中的命令来组建镜像。

2. Dockerfile文件内容结构

Dockerfile 一般分为四部分：基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令，# 为 Dockerfile 中的注释。

3. 运行Dockerfile

docker build -t image_name:tag_name .

也可以通过-f参数来指定Dockerfile文件位置

docker build -f /path/Dockerfile .

4. 命令详解

FORM：指定基础镜像，必须为第一个命令

格式：

　　FROM

　　FROM :

　　FROM @

示例：

　　FROM centos:7.0

注：

如果这个基础镜像本地有，就不会再下载了，如果本地没有，会自动下载

MAINTAINER：维护者信息

格式：

    MAINTAINER

示例：

    MAINTAINER zhangsan

RUN：构建镜像时执行的命令，解析dockerfile的时候执行的命令，RUN后面跟的是linux命令

格式：

    RUN *exec执行*

格式：

    RUN ["executable", "param1", "param2"]

示例：

    RUN ["/bin/executable", "param1", "param2"]

    RUN yum install nginx

ADD：将本地文件添加到容器中，tar类型文件会自动解压(网络压缩资源不会被解压)，可以访问网络资源，类似wget

格式：

    ADD ...

    ADD ["",... ""] 用于支持包含空格的路径

示例：

    ADD tes* /mydir/       # 添加所有以"tes"开头的文件

    ADD tes?.txt /mydir/   # ? 替代一个单字符,例如："test.txt"

    ADD test relativeDir/  # 添加 "test" 到 `WORKDIR`/relativeDir/，即相对路径添加

    ADD test /absoluteDir/ # 添加 "test" 到 /absoluteDir/，即绝对路径添加

注：

    第一个参数指宿主机文件路径，第二个参数指容器路径

COPY：功能类似ADD，但是是不会自动解压文件，也不能访问网络资源

CMD：构建容器后调用，也就是在容器启动时才进行调用

格式：

    CMD ["executable","param1","param2"] (执行可执行文件，优先)

    CMD ["param1","param2"] (设置了ENTRYPOINT，则直接调用ENTRYPOINT添加参数)

    CMD command param1 param2 (执行shell内部命令)

示例：

    CMD echo "This is a test." | wc -

    CMD ["/usr/bin/wc","--help"]

注：

 　注意与RUN形成对比，RUN是构建镜像时执行的命令，而CMD是镜像构建完了，通过镜像启动容器的时候调用

ENTRYPOINT：配置容器，使其可执行化。配合CMD可省去”application”，只使用参数 

格式：

    ENTRYPOINT ["executable", "param1", "param2"] (可执行文件, 优先)

    ENTRYPOINT command param1 param2 (shell内部命令)

示例：

    FROM ubuntu

    ENTRYPOINT ["top", "-b"]

    CMD ["-c"]

注：

ENTRYPOINT与CMD非常类似，都是用来指定容器启动之后执行什么指令，

不同的是通过docker run执行的命令不会覆盖ENTRYPOINT指定的命令，比如docker run -itd --name=nginx nginx echo 'hello word'   

此处 echo 'hello word' 也会在容器启动之后执行，

如果构建Nginx镜像的时候，通过CMD指定了容器运行以后运行的命令，这个时候通过上面提到的docker run来启动容器的时候，

echo 'hello word'会覆盖掉CMD中指定的命令，但是ENTRYPOINT指定的命令就不会被覆盖，

而且docker run命令中指定的任何参数，都会被当做参数再次传递给ENTRYPOINT，

同时需要注意的是Dockerfile中只允许有一个ENTRYPOINT命令，多指定时会覆盖前面的设置，而只执行最后的ENTRYPOINT指令。

LABEL：用于为镜像添加元数据

格式：

    LABEL = = = ...

示例：

　　LABEL version="1.0" description="这是一个nginx镜像"

注：

　　使用LABEL指定元数据时，一条LABEL指定可以指定一或多条元数据，指定多条元数据时不同元数据之间通过空格分隔。推荐将所有的元数据通过一条LABEL指令指定，以免生成过多的中间镜像。

ENV：设置环境变量 

格式：

ENV       #之后的所有内容均会被视为其的组成部分，因此，一次只能设置一个变量

    ENV = ...  #可以设置多个变量，每个变量为一个"="的键值对，如果中包含空格，可以使用\来进行转义，也可以通过""来进行标示；另外，反斜线也可以用于续行

示例：

    ENV myName John Doe

    ENV myDog Rex The Dog

    ENV myCat=fluffy

EXPOSE：指定于外界交互的端口

格式：

    EXPOSE [...]

示例：

    EXPOSE 80 443

    EXPOSE 8080

注：

　运行容器时，通过-p映射端口前，需要在构建印象的时候，先通过EXPOSE指定对外暴露的端口号，所以EXPOSE并不会让容器的端口访问到主机。

    要使其可访问，需要在docker run运行容器时通过-p来发布这些端口，或通过-P参数来发布EXPOSE导出的所有端口

VOLUME：用于指定持久化目录，指定什么目录可以被挂载

格式：

    VOLUME ["/path/to/dir"]

示例：

    VOLUME ["/data"]

    VOLUME ["/var/www", "/var/log/apache2", "/etc/apache2"

注：

　　VOLUME每指定的一个目录都是一个卷，一个卷可以存在于一个或多个容器的指定目录，该目录可以绕过联合文件系统，并具有以下功能：

        1. 卷可以容器间共享和重用

        2. 容器并不一定要和其它容器共享卷

        3. 修改卷后会立即生效

        4. 对卷的修改不会对镜像产生影响

        5. 卷会一直存在，直到没有任何容器在使用它

WORKDIR：工作目录，类似于cd命令

格式：

    WORKDIR /path/to/workdir

示例：

    WORKDIR /usr/local/  (这时工作目录为/usr/local/，类似于RUN cd /usr/local/)

    WORKDIR nginx  (这时工作目录为/usr/local/nginx)

    WORKDIR sbin  (这时工作目录为/usr/local/nginx/sbin)

注：

　　通过WORKDIR设置工作目录后，Dockerfile中其后的命令RUN、CMD、ENTRYPOINT、ADD、COPY等命令都会在该目录下执行。在使用docker run运行容器时，可以通过-w参数覆盖构建时所设置的工作目录。

USER：指定运行容器时的用户名或 UID，后续的 RUN 也会使用指定用户。

格式:

　　USER user

　　USER user:group

　　USER uid

　　USER uid:gid

　　USER user:gid

　　USER uid:group

 示例：

    　　USER www

 注：

    如果运行时，是通过root来执行的，就不需要这个字段

    使用USER指定用户时，可以使用用户名、UID或GID，或是两者的组合。当服务不需要管理员权限时，可以通过该命令指定运行用户。并且可以在之前创建所需要的用户

    使用USER指定用户后，Dockerfile中其后的命令RUN、CMD、ENTRYPOINT都将使用该用户。镜像构建完成后，通过docker run运行容器时，可以通过-u参数来覆盖所指定的用户。

ARG：用于指定传递给构建运行时的变量，相当于dockerfile的语法变量

格式：

    ARG [=]

示例：

    ARG site

    ARG build_user=www

ONBUILD：用于设置镜像触发器

格式：

　　ONBUILD [INSTRUCTION]

示例：

　　ONBUILD ADD . /app/src

　　ONBUILD RUN /usr/local/bin/python-build --dir /app/src

注：

　　当所构建的镜像被用做其它镜像的基础镜像，该镜像中的触发器将会被钥触发

5. 举例

6. 注意事项 

使用 .dockerignore 文件

使用 Dockerfile 构建镜像时最好是将 Dockerfile 放置在一个新建的空目录下，然后将构建镜像所需要的文件添加到该目录中。为了提高构建镜像的效率，你可以在目录下新建一个 “.dockerignore” ，文件来指定要忽略的文件和目录。“.dockerignore”文件的排除模式语法和 Git 的 “.gitignore”  文件相似。

避免安装不必要的包

为了降低复杂性、减少依赖、减小文件大小、节约构建时间，你应该避免安装任何不必要的包。例如，不要在数据库镜像中包含一个文本编辑器。

一个容器只运行一个进程

应该保证在一个容器中只运行一个进程。将多个应用解耦到不同容器中，保证了容器的横向扩展和复用。例如 web 应用应该包含三个容器：web应用、数据库、缓存。如果容器互相依赖，你可以使用 Docker 自定义网络 来把这些容器连接起来。

镜像层数尽可能少

你需要在 Dockerfile 可读性（也包括长期的可维护性）和减少层数之间做一个平衡。将多行参数按字母顺序排序（比如要安装多个包时）。这可以帮助你避免重复包含同一个包，更新包列表时也更容易，也便于 PRs 阅读和审查。建议在反斜杠符号 \ 之前添加一个空格，以增加可读性，下面是来自 buildpack-deps 镜像的例子：

RUN apt-get update && apt-get install -y \

      bzr \

     cvs \

      git \

      mercurial \

      subversion

构建缓存

在镜像的构建过程中，Docker 会遍历 Dockerfile 文件中的指令，然后按顺序执行。在执行每条指令之前，Docker 都会在缓存中查找是否已经存在可重用的镜像，如果有就使用现存的镜像，不再重复创建。如果你不想在构建过程中使用缓存，你可以在 docker build 命令中使用 --no-cache=true 选项。但是，如果你想在构建的过程中使用缓存，你得明白什么时候会，什么时候不会找到匹配的镜像，遵循的基本规则如下：

从一个基础镜像开始（FROM 指令指定），下一条指令将和该基础镜像的所有子镜像进行匹配，检查这些子镜像被创建时使用的指令是否和被检查的指令完全一样。如果不是，则缓存失效。在大多数情况下，只需要简单地对比 Dockerfile 中的指令和子镜像。然而，有些指令需要更多的检查和解释。对于 ADD 和 COPY 指令，镜像中对应文件的内容也会被检查，每个文件都会计算出一个校验和。文件的最后修改时间和最后访问时间不会纳入校验。在缓存的查找过程中，会将这些校验和和已存在镜像中的文件校验和进行对比。如果文件有任何改变，比如内容和元数据，则缓存失效。除了 ADD 和 COPY 指令，缓存匹配过程不会查看临时容器中的文件来决定缓存是否匹配。

例如，当执行完 RUN apt-get -y update 指令后，容器中一些文件被更新，但 Docker 不会检查这些文件。这种情况下，只有指令字符串本身被用来匹配缓存。一旦缓存失效，所有后续的 Dockerfile 指令都将产生新的镜像，缓存不会被使用。