構建第一個鏡像
鏡像的定制實際上就是定制每一層所添加的配置,文件。我們可以把每一層修改,安裝,構建,操作的命令都寫入一個腳本,這個腳本就是Dockerfile。
Dockerfile是一個文本文件,其內包含了一條條的指令,每一條指令構建一層,因此每一條指令的內容就是該層因該如何構建。
接下來我們以官方nginx鏡像為例,使用Dockerfile來定制鏡像。
在一個空白的目錄中,建立一個文本文件,並將文件命名為Dockerfile:
mkdir mynginx
cd mynginx
touch Dockerfile
在Dockerfile文件中寫入以下內容:
FROM nginx
RUN echo '<h1>Hello Docker!</h1>' > /usr/share/nginx/html/index.html
使用docker build命令創建鏡像
docker build -t mynginx:1.0 .
運行docker run命令,既可以運行構建好的mynginx鏡像,通過瀏覽器 http://ip:8080 即可訪問nginx服務
docker run -d -p 8080:80 mynginx:1.0
Dockerfile構建命令
FROM 指定基礎鏡像
所謂定制鏡像,一定是以一個鏡像為基礎,在其上進行定制。基礎鏡像是必須指定的,而FROM指令就是指定基礎鏡像,因此一個Dockerfile中FROM是必需的,並且一定是第一條指令。
在Docker Hub上有許多高質量的官方鏡像,如nginx,redis,mysql,tomcat,centos,ubuntu等,可以在其中找到一個符合我們要求的鏡像為基礎鏡像進行定制。
除了選擇現有的鏡像為基礎外,Docker還存在一個特殊的鏡像,名為scratch。這個鏡像是虛擬的概念,並不實際存在,它表示一個空白的鏡像。
如果以scratch鏡像為基礎鏡像的話,意味着不以任何鏡像為基礎,接下來所寫的指令將作為鏡像的第一層開始存在。
對於Linux下靜態編譯程序來說,並不需要有操作系統提供運行時支持,所需的一切庫都已經在可執行文件里了,因此直接使用FROM scratch會讓鏡像的體積更小。使用Go語言開發的應用很多會使用這種方式來制作鏡像,這也是為什么有人認為Go特別適合容器微服務架構語言的原因之一。
RUN 執行命令
RUN指令是用來執行命令行命令的,由於命令行的強大能力,RUN指令在定制鏡像時是最常用的指令之一。其格式有兩種:
shell格式:RUN <命令>
RUN echo '<h1>Hello Docker!</h1>' > /usr/share/nginx/html/index.html
exec格式:RUN [“可執行文件”,“參數1”, “參數2” ]
RUN tar -xzf redis.tar.gz -C /usr/src/redis--strip-components=1
RUN make -C /usr/src/redis
RUN make -C /usr/src/redis install
COPY 復制文件
格式:
- COPY <源文件> …<目標路徑>
- COPY [“<源文件1>”,…“目標路徑”]
COPY指令將從構建上下文目錄中<源文件>的文件/目錄復制到新的一層鏡像的<目標路徑>位置,如:
COPY package.json /usr/src/app
<源文件>可以是多個,甚至可以是通配符,如:
COPY hom* /mydir/
COPY hom?.txt /mydir/
ADD 文件復制
ADD指令和COPY指令的格式和性質基本一致,但是ADD在COPY的基礎上增加了一些功能。比如<源文件>可以是一個URL,這種情況下,Docker引擎會試圖下載這個鏈接的文件放到<目標路徑>去。
在Docker官方的Dockerfile最佳實踐文檔中要求,盡可能的使用COPY,因為COPY的語義很明確,就是復制文件而已,而ADD則包含了更復雜的功能,其行為也不一定清晰。最適合使用ADD的場合,就是需要自動解壓縮的場合。因此在COPY和ADD指令的選擇的時候,可以遵循這樣的原則,所有文件的復制均使用COPY指令,僅在需要自動解壓縮的場合使用ADD。
CMD 容器啟動命令
CMD指令的格式和RUN相似,也是兩種格式:
shell格式:CMD <命令>
exec格式:CMD [“可執行文件”,“參數1”, “參數2” ]
參數列表格式:CMD [“參數1”, “參數2” ],在指定ENTRYPOINT指令后,用CMD指定具體的參數
Docker不是虛擬機,容器就是進程。既然是進程,那么在啟動容器的時候,需要指定所運行的程序及參數,CMD指令就是用於指定默認的容器主進程啟動命令的。
ENTRYPOINT 入口點
ENTRYPOINT的目的和CMD一樣,都是在指定容器啟動程序及參數。ENTRYPOINT在運行的時也可以替代,不過比CMD要略顯繁瑣,需要通過docker run的參數—entrypoint來指定。
當指定了ENTRYPOINT后,CMD的含義就發生了改變,不再是直接的運行其命令,而是將CMD的內容作為參數傳給ENTYRYPOINT指令。
ENV 設置環境變量
格式有兩種:
- ENV
- ENV = =
這個指令很簡單,就是設置環境變量而已,后面的其他指令都可以使用這里定義的環境變量。
ENV VERSION=1.0 DEBUG=on
$VERSION # 使用前面定義的環境變量VERSION
ARG 構建參數
格式:ARG <參數名> [=<默認值>]
構建參數和ENV的效果一樣,都是設置環境變量。所不同的是,ARG所設置的構建環境的環境變量,在之后容器運行時是不會存在這些環境變量的,但是不要因此就使用ARG保存密碼之類的信息,因為docker history還是可以看到所有值的。
Dockerfile中的ARG指令是定義參數名稱,以及定義其默認值,該默認值可以在構建命令docker build 中用—build-arg <參數名>=<值>來覆蓋。
VOLUME 定義匿名卷
格式為:
- VOLUME [“<路徑1>”,”<路徑2>”…]
- VOLUME <路徑>
容器運行時應該盡量保持容器存儲層不發生寫操作,對於數據庫類需要保存動態數據的應用,其數據文件應該保存於卷(volume)中,為了防止運行時用戶忘記將動態文件所保存的目錄掛載為卷,在Dockerfile中可以事先指定某些目錄掛載為匿名卷,這樣在運行時如果用戶不指定掛載,其應用也可以正常運行,不會向容器存儲層寫入大量數據。
VOLUME /data
這里的 /data 目錄就會在運行時自動掛載為匿名卷,任何向 /data 中寫入的信息都不會記錄到容器存儲層,從而保證了容器存儲層的無狀態化,當然運行時也可以覆蓋這個掛載設置,如:
docker run -d -v mydata:/data xxxx
在這行命令中,就使用了mydata這個命令卷掛載到了 /data 這個位置,替代了Dockerfile中定義的匿名卷的掛載位置。
EXPOSE 聲明端口
格式為 EXPOSE <端口> [<端口>…]
EXPOSE指令時聲明運行時容器提供的服務端口,這只是一個聲明,在運行時並不會因為這個聲明應用就會開啟這個端口的服務。
在Dockerfile中寫入這樣的聲明有兩個好處:
- 是幫助鏡像使用者理解這個鏡像服務的守護端口,以方便配置映射
- 在運行時使用隨機端口映射時,也就是 docker run -P 時,會自動隨機映射EXPOSE的端口
WORKDIR指定工作目錄
格式為 WORKDIR <工作目錄路徑>
使用WORKDIR指令可以用來指定工作目錄(或者稱為當前目錄),以后各層的當前目錄就被改為指定目錄,如該目錄不存在,則會自動創建。
初學者可能遇到的錯誤是將Dockerfile當shell腳本來寫,這種錯誤的理解還可能會導致下面的錯誤:
RUN cd /app
RUN echo "hello" > world.txt
如果將這個Dockerfile構建成鏡像運行后,會發現找不到 /app/world.txt 文件。
在shell中,連續兩行是同一個進程執行環境,因此前一個命令修改的狀態,會直接影響后一個命令。而在Dockerfile中,這兩行RUN命令執行的環境根本不同,是兩個完全不同的容器。
每一個RUN都是啟動一個容器,執行命令,然后提交存儲層文件變更。
第一個 RUN cd /app 的執行僅僅是當前進程的工作目錄變更,一個內存上的變化而已,其結果不會造成任何文件變更。而到第二層的時候,啟動的是一個全新的容器,跟第一層的容器完全沒關系,自然不可能繼承前一層構建過程中的內存變化。
因此,如果需要改變以后的各層的工作目錄,那么就應該使用WORKDIR指令。
USRE 指定當前用戶
格式為 USER <用戶名>
USER指令和WORKDIR指令都是改變環境狀態並影響以后的層。WORKDIR是改變工作目錄,USER是改變之后層的執行RUN,CMD以及ENTRYPOINT這類命令的身份。
USER只是幫助切換指定用戶,如果用戶不存在,則無法切換。
RUN groupadd -r redis && useradd -r -g redis redis
USER redis
RUN ["redis-server"]
HEALTHCHECK 健康檢查
格式:
- HEALTHCHECK [選項] CMD <命令> ,設置檢查容器健康狀況的指令
- HEALTHCHECK NONE ,如果基礎鏡像有健康檢查指令,可以屏蔽掉其健康檢查指令
HEALTHCHECK指令告訴Docker應該如何判斷容器的狀態是否正常,這是Docker 1.12引入的新指令。通過該指令指定一行命令,用這行命令來判斷容器主進程的服務狀態是否正常,從而比較真實的反應容器實際狀態。
一個鏡像指定了HEALTHCHECK指令后,其容器啟動,初始狀態會為starting,在執行健康檢查成功后變為healthy,如果連續一定次數失敗,則會變為unhealthy。
HEALTHCHECK支持下列選項:
- —interval=<間隔>,兩次健康檢查的間隔,默認為30秒
- —timeout=<時長>,健康檢查命令超時時間,如果超過這個時間,本次健康檢查就被視為失敗,默認30秒
- —retries=<次數>,當連續失敗指定次數后,則將容器狀態視為unhealthy,默認3次
為了幫助健康檢查,健康檢查命令的輸出(包括stdout以及stderr)都會被存儲於健康檢查狀態里,可以用docker inspect 來查看。
