1.什么是Dockerfile
Dockerfile 是一個用來構建鏡像的文本文件,文本內容包含了一條條構建鏡像所需的指令和說明。
2.Dockerfile指令詳解
COPY
復制指令,從上下文目錄中復制文件或者目錄到容器里指定路徑。
格式:
COPY [--chown=<user>:<group>] <源路徑1>... <目標路徑>
COPY [--chown=<user>:<group>] ["<源路徑1>",... "<目標路徑>"]
[--chown=
<源路徑>:源文件或者源目錄,這里可以是通配符表達式,其通配符規則要滿足 Go 的 filepath.Match 規則。例如:
COPY hom* /mydir/
COPY hom?.txt /mydir/
<目標路徑>:容器內的指定路徑,該路徑不用事先建好,路徑不存在的話,會自動創建。
ADD
ADD 指令和 COPY 的使用格式一致(同樣需求下,官方推薦使用 COPY)。功能也類似,不同之處如下:
- ADD 的優點:在執行 <源文件> 為 tar 壓縮文件的話,壓縮格式為 gzip, bzip2 以及 xz 的情況下,會自動復制並解壓到 <目標路徑>。
- ADD 的缺點:在不解壓的前提下,無法復制 tar 壓縮文件。會令鏡像構建緩存失效,從而可能會令鏡像構建變得比較緩慢。具體是否使用,可以根據是否需要自動解壓來決定。
CMD
類似於 RUN 指令,用於運行程序,但二者運行的時間點不同:
- CMD 在docker run 時運行。
- RUN 是在 docker build。
作用:為啟動的容器指定默認要運行的程序,程序運行結束,容器也就結束。CMD 指令指定的程序可被 docker run 命令行參數中指定要運行的程序所覆蓋。
注意:如果 Dockerfile 中如果存在多個 CMD 指令,僅最后一個生效。
格式:
CMD <shell 命令>
CMD ["<可執行文件或命令>","<param1>","<param2>",...]
CMD ["<param1>","<param2>",...] # 該寫法是為 ENTRYPOINT 指令指定的程序提供默認參數
推薦使用第二種格式,執行過程比較明確。第一種格式實際上在運行的過程中也會自動轉換成第二種格式運行,並且默認可執行文件是 sh。
ENTRYPOINT
類似於 CMD 指令,但其不會被 docker run 的命令行參數指定的指令所覆蓋,而且這些命令行參數會被當作參數送給 ENTRYPOINT 指令指定的程序。
但是, 如果運行 docker run 時使用了 --entrypoint 選項,此選項的參數可當作要運行的程序覆蓋 ENTRYPOINT 指令指定的程序。
優點:在執行 docker run 的時候可以指定 ENTRYPOINT 運行所需的參數。
注意:如果 Dockerfile 中如果存在多個 ENTRYPOINT 指令,僅最后一個生效。
格式:
ENTRYPOINT ["<executeable>","<param1>","<param2>",...]
可以搭配 CMD 命令使用:一般是變參才會使用 CMD ,這里的 CMD 等於是在給 ENTRYPOINT 傳參,以下示例會提到。
示例:
假設已通過 Dockerfile 構建了 nginx:test 鏡像:
FROM nginx
ENTRYPOINT ["nginx", "-c"] # 定參
CMD ["/etc/nginx/nginx.conf"] # 變參
1、不傳參運行
$ docker run nginx:test
容器內會默認運行以下命令,啟動主進程。
nginx -c /etc/nginx/nginx.conf
2、傳參運行
$ docker run nginx:test -c /etc/nginx/new.conf
容器內會默認運行以下命令,啟動主進程(/etc/nginx/new.conf:假設容器內已有此文件)
nginx -c /etc/nginx/new.conf
ENV
設置環境變量,定義了環境變量,那么在后續的指令中,就可以使用這個環境變量。
格式:
ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...
以下示例設置 NODE_VERSION = 7.2.0 , 在后續的指令中可以通過 $NODE_VERSION 引用:
ENV NODE_VERSION 7.2.0
RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
&& curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc"
ARG
構建參數,與 ENV 作用一至。不過作用域不一樣。ARG 設置的環境變量僅對 Dockerfile 內有效,也就是說只有 docker build 的過程中有效,構建好的鏡像內不存在此環境變量。
構建命令 docker build 中可以用 --build-arg <參數名>=<值> 來覆蓋。
格式:
ARG <參數名>[=<默認值>]
VOLUME
定義匿名數據卷。在啟動容器時忘記掛載數據卷,會自動掛載到匿名卷。
作用:
- 避免重要的數據,因容器重啟而丟失,這是非常致命的。
- 避免容器不斷變大。
格式:
VOLUME ["<路徑1>", "<路徑2>"...]
VOLUME <路徑>
在啟動容器 docker run 的時候,我們可以通過 -v 參數修改掛載點。
EXPOSE
僅僅只是聲明端口。
作用:
- 幫助鏡像使用者理解這個鏡像服務的守護端口,以方便配置映射。
- 在運行時使用隨機端口映射時,也就是 docker run -P 時,會自動隨機映射 EXPOSE 的端口。
格式:
EXPOSE <端口1> [<端口2>...]
WORKDIR
指定工作目錄。用 WORKDIR 指定的工作目錄,會在構建鏡像的每一層中都存在。(WORKDIR 指定的工作目錄,必須是提前創建好的)。
docker build 構建鏡像過程中的,每一個 RUN 命令都是新建的一層。只有通過 WORKDIR 創建的目錄才會一直存在。
格式:
WORKDIR <工作目錄路徑>
USER
用於指定執行后續命令的用戶和用戶組,這邊只是切換后續命令執行的用戶(用戶和用戶組必須提前已經存在)。
格式:
USER <用戶名>[:<用戶組>]
HEALTHCHECK
用於指定某個程序或者指令來監控 docker 容器服務的運行狀態。
格式:
HEALTHCHECK [選項] CMD <命令>:設置檢查容器健康狀況的命令
HEALTHCHECK NONE:如果基礎鏡像有健康檢查指令,使用這行可以屏蔽掉其健康檢查指令
HEALTHCHECK [選項] CMD <命令> : 這邊 CMD 后面跟隨的命令使用,可以參考 CMD 的用法。
ONBUILD
用於延遲構建命令的執行。簡單的說,就是 Dockerfile 里用 ONBUILD 指定的命令,在本次構建鏡像的過程中不會執行(假設鏡像為 test-build)。當有新的 Dockerfile 使用了之前構建的鏡像 FROM test-build ,這是執行新鏡像的 Dockerfile 構建時候,會執行 test-build 的 Dockerfile 里的 ONBUILD 指定的命令。
格式:
ONBUILD <其它指令>
3.使用Dockerfile構建鏡像實戰
①創建Dockerfile:
touch Dockerfile
// 創建nginx的目錄 下一步會用到
mkdir -p /run/nginx
②編輯vim Dockerfile:
FROM nginx:1.14.0
RUN mkdir -p /usr/local/nginx/html && mkdir -p /data/wwwlogs && chown nginx. /data/wwwlogs -R && apt-get update && apt-get install -y curl wget telnet vim procps unzip
EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]
③構建鏡像
docker build -t nginx-1.14 .
在 Dockerfile 目錄下執行以上命令即可構建鏡像。-t 參數指定了鏡像名稱為 nginx-alpine,最后的 . 表示構建上下文(. 表示當前目錄).
④查看並啟動鏡像
// 查看
docker images
// 啟動
docker run --name my-nginx -p 80:80 -d nginx-1.14
訪問相應的IP可以看到nginx的界面:
4.安裝私有倉庫Harbor
隨着docker的發展,一款私有化的docker鏡像倉庫隨之誕生,它私有化的部署很好的保證了安全性,它就是Harbor。Harbor是由VMware公司開源的企業級的Docker Registry管理項目,它包括權限管理(RBAC)、LDAP、日志審核、界面管理、自我注冊、鏡像復制和中文支持等功能。
下載安裝包:
# 離線安裝包
wget https://github.com/vmware/harbor/releases/download/v1.1.2/harbor-offline-installer-v1.1.2.tgz
tar zxvf harbor-offline-installer-v1.1.2.tgz
# 在線安裝包
wget https://github.com/vmware/harbor/releases/download/v1.1.2/harbor-online-installer-v1.1.2.tgz
tar zxvf harbor-online-installer-v1.1.2.tgz
配置Harbor:
# cd harbor
# vi harbor.conf
## Configuration file of Harbor
# hostname設置訪問地址,可以使用ip、域名,不可以設置為127.0.0.1或localhost
hostname = 你的主機IP
# 訪問協議,默認是http,也可以設置https,如果設置https,則nginx ssl需要設置on
ui_url_protocol = http
# mysql數據庫root用戶默認密碼root123,實際使用時修改下
db_password = root123
max_job_workers = 3
customize_crt = on
ssl_cert = /data/cert/server.crt
ssl_cert_key = /data/cert/server.key
secretkey_path = /data
admiral_url = NA
# 郵件設置,發送重置密碼郵件時使用
email_identity =
email_server = smtp.mydomain.com
email_server_port = 25
email_username = sample_admin@mydomain.com
email_password = abc
email_from = admin <sample_admin@mydomain.com>
email_ssl = false
# 啟動Harbor后,管理員UI登錄的密碼,默認是Harbor12345
harbor_admin_password = Harbor12345
# 認證方式,這里支持多種認證方式,如LADP、本次存儲、數據庫認證。默認是db_auth,mysql數據庫認證
auth_mode = db_auth
# LDAP認證時配置項
ldap_url = ldaps://ldap.mydomain.com
#ldap_searchdn = uid=searchuser,ou=people,dc=mydomain,dc=com
#ldap_search_pwd = password
ldap_basedn = ou=people,dc=mydomain,dc=com
#ldap_filter = (objectClass=person)
ldap_uid = uid
ldap_scope = 3
ldap_timeout = 5
# 是否開啟自注冊
self_registration = on
# Token有效時間,默認30分鍾
token_expiration = 30
# 用戶創建項目權限控制,默認是everyone(所有人),也可以設置為adminonly(只能管理員)
project_creation_restriction = everyone
verify_remote_cert = on
修改完配置文件后,在當前目錄執行./install.sh,Harbor服務就會根據當前目錄下的docker-compose.yml開始下載依賴的鏡像,檢測並按照順序依次啟動各個服務。
默認的登錄地址和密碼:
http://你的虛擬機IP/harbor/sign-in
賬號:admin
密碼: Harbor12345
5.推送鏡像到Harbor
這里我建了一個項目名為home,然后將我們之前打包的鏡像nginx-1.14推送到Harbor倉庫
①解決https的問題:
// 這里我們建立的是http的鏈接,需要編輯放行IP
vim /etc/docker/daemon.json
// 加入如下內容 主要是 "insecure-registries":["192.168.1.103"]
{
"insecure-registries":["192.168.1.103"]
}
systemctl daemon-reload
systemctl restart docker
③使用Docker登錄Harbor倉庫:
docker login http://192.168.1.103/
賬號:admin
密碼: Harbor12345
④推送鏡像:
// 標記鏡像
docker tag nginx-1.14 192.168.1.103/home/mynginx:v1
// 推送鏡像到當前項目
docker push 192.168.1.103/home/mynginx:v1
// 推送成功即可在倉庫看到該鏡像,拉取命令如下:
docker pull 192.168.1.103/home/mynginx:v1