述

上文中,簡單的使用了一個Dockerfile構(gòu)建鏡像,使用到了三個指令就是FROM,MAINTAINER和RUN,本文在來看一些其他的指令.他們的作用以及使用方式

指令詳解

COPY 復(fù)制文件

格式

COPY <源路徑>... <目標(biāo)路徑>
COPY ["<源路徑1>",... "<目標(biāo)路徑>"]

和RUN指令一樣,也是兩種格式,一種類似于命令行,一種類似于函數(shù)調(diào)用,COPY指令將從構(gòu)建上下文目錄中<源路徑>的文件/目錄復(fù)制到新的一層的鏡像內(nèi)的<目標(biāo)路徑>位置. 比如:

COPY package.json /usr/src/app/

<源路徑>可以是多個,甚至可以是通配符,其通配符規(guī)則要滿足 Go 的 filepath.Match 規(guī)則,如:

COPY hom* /mydir/
COPY hom?.txt /mydir/

<目標(biāo)路徑>可以是容器內(nèi)的絕對路徑,也可以是相對于工作目錄的相對路徑(工作目錄可以用WORKDIR指令來指定).目標(biāo)路徑不需要事先創(chuàng)建,如果目錄不存在會在復(fù)制文件前先行創(chuàng)建缺失目錄.

此外,還需要注意一點,使用 COPY 指令,源文件的各種元數(shù)據(jù)都會保留.比如讀、寫、執(zhí)行權(quán)限、文件變更時間等.這個特性對于鏡像定制很有用.特別是構(gòu)建相關(guān)文件都在使用 Git 進行管理的時候.

ADD 更高級的復(fù)制文件

格式

ADD <源路徑>... <目標(biāo)路徑>
ADD ["<源路徑>",... "<目標(biāo)路徑>"]

ADD 指令和 COPY 的格式和性質(zhì)基本一致。但是在 COPY 基礎(chǔ)上增加了一些功能。

比如 <源路徑> 可以是一個 URL，這種情況下，Docker 引擎會試圖去下載這個鏈接的文件放到 <目標(biāo)路徑> 去。下載后的文件權(quán)限自動設(shè)置為 600，如果這并不是想要的權(quán)限，那么還需要增加額外的一層 RUN 進行權(quán)限調(diào)整，另外，如果下載的是個壓縮包，需要解壓縮，也一樣還需要額外的一層 RUN 指令進行解壓縮。所以不如直接使用 RUN 指令，然后使用 wget 或者 curl 工具下載，處理權(quán)限、解壓縮、然后清理無用文件更合理。因此，這個功能其實并不實用，而且不推薦使用。

如果 <源路徑> 為一個 tar 壓縮文件的話，壓縮格式為 gzip, bzip2 以及 xz 的情況下，ADD 指令將會自動解壓縮這個壓縮文件到 <目標(biāo)路徑> 去。

但在某些情況下，如果我們真的是希望復(fù)制個壓縮文件進去，而不解壓縮，這時就不可以使用 ADD 命令了。

另外需要注意的是，ADD 指令會令鏡像構(gòu)建緩存失效，從而可能會令鏡像構(gòu)建變得比較緩慢。

因此在 COPY 和 ADD 指令中選擇的時候，可以遵循這樣的原則，所有的文件復(fù)制均使用 COPY 指令，僅在需要自動解壓縮的場合使用 ADD。

在使用該指令的時候還可以加上 --chown=<user>:<group> 選項來改變文件的所屬用戶及所屬組。

ADD --chown=55:mygroup files* /mydir/
ADD --chown=bin files* /mydir/
ADD --chown=1 files* /mydir/
ADD --chown=10:11 files* /mydir/

CMD 設(shè)置容器啟動時執(zhí)行的操作

指定容器啟動時執(zhí)行的命令,每個Dockerfile只能有一條CMD命令

格式

使用 exec 執(zhí)行,推薦方式:

CMD ["executable","param1","param2"] 

Shell格式:

CMD <命令>

參數(shù)列表格式:

CMD ["參數(shù)1", "參數(shù)2"...]

在指定了 ENTRYPOINT 指令后,用 CMD 指定具體的參數(shù)。

這里與RUN指令的區(qū)別就是,RUN是在構(gòu)建容器的時候執(zhí)行的,CMD是在容器運行的時候執(zhí)行的.

ENTRYPOINT 入口點

ENTRYPOINT用于給容器配置一個可執(zhí)行程序,也就是說,每次使用鏡像創(chuàng)建容器時,通過 ENTRYPOINT 指定的程序都會被設(shè)置為默認程序

格式

數(shù)組/exec格式,推薦:

ENTRYPOINT ["executable", "param1", "param2"] 

Shell格式

ENTRYPOINT command param1 param2

ENTRYPOINT 與 CMD 非常類似,不同的是通過docker run執(zhí)行的命令不會覆蓋 ENTRYPOINT,而docker run命令中指定的任何參數(shù),都會被當(dāng)做參數(shù)再次傳遞給 ENTRYPOINT,Dockerfile中只允許有一個 ENTRYPOINT 命令,多指定時會覆蓋前面的設(shè)置,而只執(zhí)行最后的 ENTRYPOINT 指令.

docker run運行容器時指定的參數(shù)都會被傳遞給 ENTRYPOINT ,且會覆蓋 CMD 命令指定的參數(shù).如,執(zhí)行docker run <image> -d時,-d 參數(shù)將被傳遞給入口點.

也可以通過docker run --entrypoint重寫 ENTRYPOINT 入口點.如:可以像下面這樣指定一個容器執(zhí)行程序:

ENTRYPOINT ["/usr/bin/nginx"]

完整構(gòu)建代碼:

# Version: 0.0.3
FROM ubuntu:16.04
MAINTAINER 何民三 "cn.liuht@gmail.com"
RUN apt-get update
RUN apt-get install -y nginx
RUN echo 'Hello World, 我是個容器' \ 
   > /var/www/html/index.html
ENTRYPOINT ["/usr/sbin/nginx"]
EXPOSE 80

使用docker build構(gòu)建鏡像,并將鏡像指定為 itbilu/test:

docker build -t="itbilu/test" .

構(gòu)建完成后,使用itbilu/test啟動一個容器:

docker run -i -t  itbilu/test -g "daemon off;"

在運行容器時,我們使用了-g "daemon off;",這個參數(shù)將會被傳遞給 ENTRYPOINT,最終在容器中執(zhí)行的命令為 /usr/sbin/nginx -g "daemon off;"

ENV 設(shè)置環(huán)境變量

這個指令很簡單，就是設(shè)置環(huán)境變量而已，無論是后面的其它指令，如 RUN，還是運行時的應(yīng)用，都可以直接使用這里定義的環(huán)境變量。

格式

ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...

ENV VERSION=1.0 DEBUG=on \
    NAME="Happy Feet"

這個例子中演示了如何換行，以及對含有空格的值用雙引號括起來的辦法，這和 Shell 下的行為是一致的。

ARG構(gòu)建參數(shù)

ARG用于指定傳遞給構(gòu)建運行時的變量:

ARG <name>[=<default value>]

如，通過ARG指定兩個變量：

ARG site
ARG build_user=IT筆錄

以上我們指定了 site 和 build_user 兩個變量，其中 build_user 指定了默認值。在使用 docker build 構(gòu)建鏡像時，可以通過 --build-arg <varname>=<value> 參數(shù)來指定或重設(shè)置這些變量的值。

docker build --build-arg site=itiblu.com -t itbilu/test .

這樣我們構(gòu)建了 itbilu/test 鏡像，其中site會被設(shè)置為 itbilu.com，由于沒有指定 build_user，其值將是默認值 IT 筆錄。

VOLUME 定義匿名卷

格式

VOLUME ["<路徑1>", "<路徑2>"...]    
VOLUME <路徑>  

之前我們說過，容器運行時應(yīng)該盡量保持容器存儲層不發(fā)生寫操作，對于數(shù)據(jù)庫類需要保存動態(tài)數(shù)據(jù)的應(yīng)用，其數(shù)據(jù)庫文件應(yīng)該保存于卷(volume)中，后面的章節(jié)我們會進一步介紹 Docker 卷的概念。為了防止運行時用戶忘記將動態(tài)文件所保存目錄掛載為卷，在 Dockerfile 中，我們可以事先指定某些目錄掛載為匿名卷，這樣在運行時如果用戶不指定掛載，其應(yīng)用也可以正常運行，不會向容器存儲層寫入大量數(shù)據(jù)。

VOLUME /data

這里的 /data 目錄就會在運行時自動掛載為匿名卷，任何向 /data 中寫入的信息都不會記錄進容器存儲層，從而保證了容器存儲層的無狀態(tài)化。當(dāng)然，運行時可以覆蓋這個掛載設(shè)置。比如：

docker run -d -v mydata:/data xxxx

在這行命令中，就使用了 mydata 這個命名卷掛載到了 /data 這個位置，替代了 Dockerfile 中定義的匿名卷的掛載配置。

EXPOSE 聲明端口

格式

格式為 EXPOSE <端口1> [<端口2>...]

EXPOSE 指令是聲明運行時容器提供服務(wù)端口，這只是一個聲明，在運行時并不會因為這個聲明應(yīng)用就會開啟這個端口的服務(wù)。在 Dockerfile 中寫入這樣的聲明有兩個好處，一個是幫助鏡像使用者理解這個鏡像服務(wù)的守護端口，以方便配置映射；另一個用處則是在運行時使用隨機端口映射時，也就是 docker run -P 時，會自動隨機映射 EXPOSE 的端口。

要將 EXPOSE 和在運行時使用 -p <宿主端口>:<容器端口> 區(qū)分開來。-p，是映射宿主端口和容器端口，換句話說，就是將容器的對應(yīng)端口服務(wù)公開給外界訪問，而 EXPOSE 僅僅是聲明容器打算使用什么端口而已，并不會自動在宿主進行端口映射。

WORKDIR 指定工作目錄

格式

WORKDIR <工作目錄路徑>

使用 WORKDIR 指令可以來指定工作目錄（或者稱為當(dāng)前目錄），以后各層的當(dāng)前目錄就被改為指定的目錄，如該目錄不存在，WORKDIR 會幫你建立目錄。

之前提到一些初學(xué)者常犯的錯誤是把 Dockerfile 等同于 Shell 腳本來書寫，這種錯誤的理解還可能會導(dǎo)致出現(xiàn)下面這樣的錯誤：

RUN cd /app
RUN echo "hello" > world.txt

如果將這個 Dockerfile 進行構(gòu)建鏡像運行后，會發(fā)現(xiàn)找不到 /app/world.txt 文件，或者其內(nèi)容不是 hello。原因其實很簡單，在 Shell 中，連續(xù)兩行是同一個進程執(zhí)行環(huán)境，因此前一個命令修改的內(nèi)存狀態(tài)，會直接影響后一個命令；而在 Dockerfile 中，這兩行 RUN 命令的執(zhí)行環(huán)境根本不同，是兩個完全不同的容器。這就是對 Dockerfile 構(gòu)建分層存儲的概念不了解所導(dǎo)致的錯誤。

之前說過每一個 RUN 都是啟動一個容器、執(zhí)行命令、然后提交存儲層文件變更。第一層 RUN cd /app 的執(zhí)行僅僅是當(dāng)前進程的工作目錄變更，一個內(nèi)存上的變化而已，其結(jié)果不會造成任何文件變更。而到第二層的時候，啟動的是一個全新的容器，跟第一層的容器更完全沒關(guān)系，自然不可能繼承前一層構(gòu)建過程中的內(nèi)存變化。

因此如果需要改變以后各層的工作目錄的位置，那么應(yīng)該使用 WORKDIR 指令。

USER 指定當(dāng)前用戶

格式

USER <用戶名>[:<用戶組>]

USER 指令和 WORKDIR 相似，都是改變環(huán)境狀態(tài)并影響以后的層。WORKDIR 是改變工作目錄，USER 則是改變之后層的執(zhí)行 RUN, CMD 以及 ENTRYPOINT 這類命令的身份。

當(dāng)然，和 WORKDIR 一樣，USER 只是幫助你切換到指定用戶而已，這個用戶必須是事先建立好的，否則無法切換。

RUN groupadd -r redis && useradd -r -g redis redis
USER redis
RUN [ "redis-server" ]

如果以 root 執(zhí)行的腳本，在執(zhí)行期間希望改變身份，比如希望以某個已經(jīng)建立好的用戶來運行某個服務(wù)進程，不要使用 su 或者 sudo，這些都需要比較麻煩的配置，而且在 TTY 缺失的環(huán)境下經(jīng)常出錯。建議使用 gosu

# 建立 redis 用戶，并使用 gosu 換另一個用戶執(zhí)行命令
RUN groupadd -r redis && useradd -r -g redis redis
# 下載 gosu
RUN wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/1.7/gosu-amd64" \
    && chmod +x /usr/local/bin/gosu \
    && gosu nobody true
# 設(shè)置 CMD，并以另外的用戶執(zhí)行
CMD [ "exec", "gosu", "redis", "redis-server" ]

HEALTHCHECK 健康檢查

格式

HEALTHCHECK [選項] CMD <命令>：設(shè)置檢查容器健康狀況的命令
HEALTHCHECK NONE：如果基礎(chǔ)鏡像有健康檢查指令，使用這行可以屏蔽掉其健康檢查指令  

HEALTHCHECK 指令是告訴 Docker 應(yīng)該如何進行判斷容器的狀態(tài)是否正常 當(dāng)在一個鏡像指定了 HEALTHCHECK 指令后，用其啟動容器，初始狀態(tài)會為 starting，在 HEALTHCHECK 指令檢查成功后變?yōu)?healthy，如果連續(xù)一定次數(shù)失敗，則會變?yōu)?unhealthy。

HEALTHCHECK 支持下列選項：

• --interval=<間隔>：兩次健康檢查的間隔，默認為 30 秒；
• --timeout=<時長>: 健康檢查命令運行超時時間，如果超過這個時間，本次健康檢查就被視為失敗，默認 30 秒；
• --retries=<次數(shù)>：當(dāng)連續(xù)失敗指定次數(shù)后，則將容器狀態(tài)視為 unhealthy，默認 3 次。

和 CMD, ENTRYPOINT 一樣，HEALTHCHECK 只可以出現(xiàn)一次，如果寫了多個，只有最后一個生效。

原文地址,參考文章地址