Docker通过读取Dockerfile文件的命令生成镜像。Dockerfile是一个文本文件,包含用户构建镜像的所需要的全部命令。执行docker build后 ,docker通过一系列命令行操作自动构建镜像。本文描述Dockerfile中的命令。
Dockerfile的用法
docker build命令使用Dockerfile文件和构建镜像的上下文环境。上下文环境可以是一个本地目录,也可以是一个git仓库url。上下文环境的识别是递归的,因此指定一个本地目录的同时所有子目录会自动包含进去,指定git url时仓库的所有子模块也会被自动包含。下面命令表示使用当前目录(.)做为上下文环境。
docker build .构建镜像由docker守护进程执行,不是客户端执行。构建进程首先将整个上下文环境整个发送给docker守护进程。所以最好指定的上下文环境目录只包含构建镜像所需要的文件和Dockerfile文件就好了。(不建议使用 / 根目录作为上下文环境,否则会导致将整个本地磁盘的文件发给docker守护进程)。
上下文中不需要的内容可以添加到.dockerignore文件中,docker客户端不会将 .dockerignore文件声明的文件发送给docker daemon
默认情况下Dockerfile文件名就是“Dockerfile”,并且放在上下文环境的一级目录下。也可以用 -f 参数指定其他位置
docker build -f /path/to/a/Dockerfile .用 -t 指定镜像的仓库名称和tag
docker build -t shykes/myapp .同一个镜像可以指定给多个仓库,用多个 -t
docker build -t shykes/myapp:1.0.2 -t shykes/myapp:latest .Docker使用构建缓存加速构建的过程,build过程中显示CACHED
docker build -t svendowideit/ambassador .
[internal] load build definition from Dockerfile 0.1s
=> transferring dockerfile: 286B 0.0s
[internal] load .dockerignore 0.1s
=> transferring context: 2B 0.0s
[internal] load metadata for docker.io/library/alpine:3.2 0.4s
CACHED [1/2] FROM docker.io/library/alpine:3.2@sha256:e9a2035f9d0d7ce 0.0s
CACHED [2/2] RUN apk add --no-cache socat 0.0s
exporting to image 0.0s
=> exporting layers 0.0s
=> writing image sha256:1affb80ca37018ac12067fa2af38cc5bcc2a8f09963de 0.0s
=> naming to docker.io/svendowideit/ambassador 0.0s缓存基于你上次构建的过程。--cache-from 允许指定外部缓存。
转义符声明
格式
# escape=\ (backslash)
或者
# escape=` (backtick)
非必填项,必须放在第一行,以 # 开头
默认的转义符是 \ ,命令太长一行写不完可以这样写
RUN echo "import os" >> /root/.jupyter/jupyter_server_config.py \
&& echo "c.ServerApp.token = ''" >> /root/.jupyter/jupyter_server_config.py \
&& echo "c.ServerApp.password = ''" >> /root/.jupyter/jupyter_server_config.py \指定escape为其他字符,在windows系统上比较好用,因为windows上 \ 是文件路径分隔符,使用 其他字符可以避免不必要的麻烦。
# escape=`
FROM microsoft/nanoserver
COPY testfile.txt c:\
RUN dir c:\注意:只能放在第一行,通常后面跟一个空行,在FROM之前声明,否则就会认为是注释而不生效。Dockerfile中除了这个声明之外,其他 # 开头的都认为是注释。
FROM
FROM [--platform=<platform>] <image> [AS <name>]
指定基础镜像,之后的构建都是基于这个基础镜像生成。一个Dockerfile中可以有多个FROM,用于生成多个镜像。
--platform 可选参数,用于指定构建平台,例如linux/amd64, linux/arm64, windows/amd64
ARG指令是唯一一个可以在FROM之前声明的指令。
ARG CODE_VERSION=latest
FROM base:${CODE_VERSION}
CMD /code/run-app
FROM extras:${CODE_VERSION}
CMD /code/run-extrasRUN
RUN <command>
shell格式,执行shell命令,默认是linux 的 /bin/sh -c, Windows 的cmd /S /C
下面两个命令效果是一样的
RUN /bin/bash -c 'source $HOME/.bashrc; \
echo $HOME'RUN /bin/bash -c 'source $HOME/.bashrc; echo $HOME'也可使用下面的格式
RUN ["executable", "param1", "param2"]
例如
RUN ["/bin/bash", "-c", "echo hello"]命令参数以json格式传入
CMD
三种形式
- CMD ["executable","param1","param2"] exec格式,最多使用
- CMD ["param1","param2"] 作为ENTRYPOINT命令的默认参数
- CMD command param1 param2 shell格式
Dockerfile中只能有一个CMD,如果写了多个,只有最后一个会生效。
CMD的主要目的是给容器运行提供默认的命令。容器运行也可以用ENTRYPOINT,此时CMD作为ENTRYPOINT的参数,两者都要用json格式。
exec格式不会调用shell,CMD [ "echo", "$HOME" ] 是不对的,要么为sehll 格式: CMD echo $HOME,要么用: CMD [ "sh", "-c", "echo $HOME" ]。
如果用shell,命令以 /bin/sh -c执行
FROM ubuntu
CMD echo "This is a test." | wc -如果不用shell,必须以json格式,指定命令的全路径,这种方式比较常用
FROM ubuntu
CMD ["/usr/bin/wc","--help"]如果用户执行 docker run时指定其他命令,CMD将会被覆盖。
不要将RUN和CMD混淆。RUN是打镜像过程中真正会执行,提交到执行结果中。CMD在打镜像时并不会执行,只是指定一个命令给镜像,真正执行是在镜像启动时。
LABEL
LABEL <key>=<value> <key>=<value> <key>=<value> ...
LABEL给镜像添加元数据信息。格式为key value对,一个镜像可以包含多个LABEL
LABEL "com.example.vendor"="ACME Incorporated"
LABEL com.example.label-with-value="foo"
LABEL version="1.0"
LABEL description="This text illustrates \
that label-values can span multiple lines."LABEL可以从基础镜像继承,同一个label,最新的赋值会覆盖以前的。
通过docker image inspect --format='' myimage可以查看镜像的labels
docker image inspect --format='' myimage结果:
{
"com.example.vendor": "ACME Incorporated",
"com.example.label-with-value": "foo",
"version": "1.0",
"description": "This text illustrates that label-values can span multiple lines.",
"multi.label1": "value1",
"multi.label2": "value2",
"other": "value3"
}MAINTAINER (deprecated)
指定镜像作者, 新版本不再推荐使用,官方建议用LABEL代替。例如
LABEL org.opencontainers.image.authors="SvenDowideit@home.org.au"
EXPOSE
EXPOSE <port> [<port>/<protocol>...]
告知Docker容器将会监听哪个端口,指定指定TCP或者UDP,默认是TCP。
EXPOSE不会真的发布这个端口,它其实是构建镜像的人给运行镜像的人提供的说明,真正暴露端口是在docker run的时候,通过 -p 或者-P 参数指定,将主机端口映射到容器端口。
docker run -p 80:80/tcp -p 80:80/udp ...容器间的网络通信可以使用docker network相关指令进行,而不用暴露到主机。
ENV
ENV <key>=<value> ...
设置环境变量,允许在同一个ENV后面设置多个环境变量
ENV MY_NAME="John Doe" MY_DOG=Rex\ The\ Dog \
MY_CAT=fluffy如果某个环境变量只想在打镜像的时候使用,而不赋值到最终的镜像,可以在单条指令中指定
RUN DEBIAN_FRONTEND=noninteractive apt-get update && apt-get install -y ...或者使用ARG,也不会赋值到最终的镜像中
ARG DEBIAN_FRONTEND=noninteractive
RUN apt-get update && apt-get install -y ...另外一种格式是不用=,这种格式一次只能定义一个变量
ENV MY_VAR my-valueADD
ADD [--chown=<user>:<group>] <src>... <dest> ADD [--chown=<user>:<group>] ["<src>",... "<dest>"]
--chown 可选参数,只支持linux容器
src可以是上下文环境中的文件或者URL,src中可以使用通配符,例如
ADD hom* /mydir/将添加所有hom开头的文件到 /mydir/中。
dest 如果是相对路径,就是 WORKDIR的相对路径
添加 “test.txt” 到 <WORKDIR>/relativeDir/ :
ADD test.txt relativeDir/添加 “test.txt” 到 /absoluteDir/ :
ADD test.txt /absoluteDir/注意几点:
- <src> 路径必须是上下文环境中的文件
- 如果<src>是url, <dest>末尾不以反斜杠结尾,文件被下载后被重命名为<dest>的值
- 如果<src>是url并且<dest>以反斜杠结尾,文件下载为 /<dest>/<filename>
- 如果<src>是目录,目录下所有文件都会拷贝,包括文件元信息。注意目录本身不会被拷贝,只拷贝目录里的内容
- 如果<src>是压缩包,拷贝时会自动解压。URL中的压缩包不会解压。
- <dest> 如果不以反斜杠结尾,会被识别为文件,拷贝的源文件会被重命名为<dest>,如果以反斜杠结尾就认为是目录,原文件会拷贝到<dest>目录下
- <dest>中包含的路径如果不存在会被自动创建
COPY
COPY [--chown=<user>:<group>] <src>... <dest> COPY [--chown=<user>:<group>] ["<src>",... "<dest>"]
拷贝文件的功能和ADD一样,不能自动解压压缩包,不能拷贝URL
有个可选参数--from=<name> 可以把之前构造的步骤作为原文件位置(FROM .. AS <name>)
COPY和ADD命令中,源文件如果被修改,从COPY或者ADD起,后面的命令缓存都会失效
ENTRYPOINT
exec 格式
ENTRYPOINT ["executable", "param1", "param2"]
shell格式
ENTRYPOINT command param1 param2
docker run <image> 时传入的的参数会传给ENTRYPOINT,并且会覆盖CMD,例如docker run <image> -d 命令的-d参数会传给entry point。 docker run --entrypoint 会覆盖ENTRYPOINT命令。
shell格式的entrypoint不接受CMD或者run 传递的参数。
Dockerfile中只有最后一个ENTRYPOINT会生效。
CMD和ENTRYPOINT的关系
- Dockerfile中至少应该包含CMD和ENTRYPOINT中的一个
- CMD应该被用作ENTRYPOINT的默认参数,运行时可以被覆盖
下面的表格显示不同CMD和ENTRYPOINT组合后最终执行的命令
VOLUME
VOLUME ["/data"]
VOLUME /data
创建一个可以从本地机器挂载到容器的目录
例如
FROM ubuntu
RUN mkdir /myvol
RUN echo "hello world" > /myvol/greeting
VOLUME /myvol注意:
- 使用Windows-based容器时,挂载的必须是一个空目录,并且不能是C盘
- volume声明的目录,之后在Dockerfile中对这个目录做的修改都会无效
- json格式声明必须用双引号,不能是单引号
- 挂载的主机目录只能在运行时指定
USER
USER <user>[:<group>]
USER <UID>[:<GID>]
指定构建镜像运行时的用户和用户组(可选)
如果是windows镜像,必须先创建用户
FROM microsoft/windowsservercore
# Create Windows user in the container
RUN net user /add patrick
# Set it for subsequent commands
USER patrickWORKDIR
WORKDIR /path/to/workdir
指定所有RUN 、CMD、ENTRYPOINT、ADD命令的工作目录
可以指定多次,如果是相对目录,最后的值为前一个WORKDIR的先对目录,例如
WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd输出为 /a/b/c
可以使用环境变量定义,例如
ENV DIRPATH=/path
WORKDIR $DIRPATH/$DIRNAME
RUN pwd输出为/path/$DIRNAME
ARG
ARG <name>[=<default value>]
指定一个打镜像过程中的环境变量,docker build --build-arg <varname>=<value>
FROM busybox
ARG user1
ARG buildno
# ...指定默认值
FROM busybox
ARG user1=someuser
ARG buildno=1
# ...ARG的作用范围
ARG是从开始声明的那一行开始生效,而不是使用的那一行开始,例如
FROM busybox
USER ${user:-some_user}
ARG user
USER $user
# ...执行
docker build --build-arg user=what_user .第二行的USER值为some_user,第四行的USER值为what_user
一个构造阶段声明的ARG只在该阶段生效,如果多个阶段都需要,则每个阶段都要声明,如下
FROM busybox
ARG SETTINGS
RUN ./run/setup $SETTINGS
FROM busybox
ARG SETTINGS
RUN ./run/other $SETTINGS预定义的ARG
HTTP_PROXYhttp_proxyHTTPS_PROXYhttps_proxyFTP_PROXYftp_proxyNO_PROXYno_proxy
使用
docker build --build-arg HTTPS_PROXY=https://my-proxy.example.com .OBBUILD
ONBUILD <INSTRUCTION>
STOPSIGNAL
STOPSIGNAL signal
HEALTHCHECK
HEALTHCHECK [OPTIONS] CMD command
HEALTHCHECK NONE
SHELL
SHELL ["executable", "parameters"]
