Dockerfile最佳實踐(二)鞏固篇

在“Dockerfile最佳實踐(一)”中，我們已經了解到Dockerfile中常用指令的使用，并給出了演示示例，這一篇將再補充和鞏固Dockerfile中的常用知識點。

Dockerfile context(上下文)

在執行docker image build時，CLI首先會告知此次構建將向Docker守護進程發送生成上下文的大小，例如。

#?cat?>?Dockerfile?<<EOF
FROM?centos:7
EOF
#?docker?image?build?-t?demo?.

Sending build context to Docker daemon 2.048kB

前面我們已經講到鏡像的構建是由Docker守護進程(Docker daemon)完成的，那么上述執行的"docker build -t demo . "其實是經歷了兩步：

首先，Docker CLI將上下文下包含的所有文件（遞歸地）發送給Docker守護進程Docker daemon。

然后，Docker Demon會收到Dcoker CLI發送的內容，通過讀取Dockerfile里面的指令進行鏡像的分層構建。

注意：若是使用"/"根作為上下文，則可能會導致主機異常重啟（在AWS上驗證是會導致主機自動重啟），因為它將會將宿主機"/"根目錄下所有文件傳輸到Docker的守護進程。

COPY指令

COPY指令有2種書寫格式

COPY [--chown=user:group] 本地源文件 容器目標目錄

COPY [--chown=user:group] ["本地源文件", "容器目標目錄"]

默認所有拷貝到容器的文件屬主（UID）和屬組（GID）都是 0（root用戶），除非可選參數--chown指定用戶名、組名或UID/GID。--chown允許是username和groupname字符串，或者使用UID和GID。

--chown 特性僅支持用于構建Linux容器的Dockerfiles，在Windows容器上無效。這是因為Linux和Windows的用戶和組的概念是有差異并且不能相互轉換的，因此使用/etc/passwd和/etc/group將用戶和組名稱轉換為UID或GID此功也僅適用于基于Linux操作系統的容器。

COPY指令的本地源文件支持使用模糊匹配和正則匹配。

COPY指令中源文件的路徑是以上下文(context)作為起始點，而不是宿主機上某個絕對路徑下的文件。也因此推薦用戶在構建鏡像時使用"."作為上下文，并且事先將Dockerfile中所需文件拷貝到指定的上下文路徑下。

注意：使用COPY指令拷貝的源文件是多個文件（不是一個文件）時，則目標目錄必須以"/"結尾，如“/test/"，不能寫成“/test”。

演示示例1

#?mkdir?demo2
#?cd?demo2
#?mkdir?dir{a..z}
#?touch?arr{a..z}.txt
#?cat?>Dockerfile?<<EOF
FROM?centos:latest
MAINTAINER?firefly@demo.com
#RUN?yum?-y?install?coreutils?procps-ng?bash
RUN?useradd?-d?/home/test?-m?test?-s?/bin/bash
RUN?mkdir?/test
WORKDIR?/test
COPY?dir*?/test/
COPY?arr*.txt?/home/test/
COPY?--chown=test:test?arr*.txt?/test/
EOF
#?docker?image?build?-t?demo:v0.1?.
#?docker?run?-idt?--name?demo01?demo:v0.1?/bin/bash
#?docker?exec?-it?demo01?ls?-l?/test/

RUN指令

RUN指令有2種書寫格式

RUN 命令???????? #RUN指令后面所接的命令是在shell中運行的，在Linux上就好比執行了 /bin/sh -c command (例如在終端執行：/bin/sh -c ls)，在Windows上就好比是執行 cmd /S /C command（例如按win+r鍵在“運行”窗口執行： cmd /S /C mstsc）

RUN ["命令", "參數1", "參數2"]???????????? #以exec的方式運行

RUN指令執行的任何命令都發生在當前鏡像之上的一個新層中（即一個中間容器intermediate container），命令執行結束后會將結果提交到新的鏡像（如同docker commit），并刪除中間容器，所以我們在執行RUN指令時會經常看到類似如下日志。

Step 9/19 : RUN chmod 755 /root/start.sh

---> Running in a2e6b9ce0940

Removing intermediate container a2e6b9ce0940

---> 6b03e9b0ce70

新提交鏡像將用于Dockerfile中的下一個指令。分層運行指令和提交符合Docker的核心概念，在Docker中，提交開銷很小，我們可以從鏡像歷史記錄的任何一點來創建容器，就像源代碼管理一樣。

CMD指令

CMD指令有3種書寫格式

CMD 命令????????????? #以shell方式運行

CMD ["可執行程序","參數1","參數2"]???????????????? #exec方式，推薦運行方式

CMD ["參數1", "參數2"]??????????? #用于給ENTRYPOINT指令提供默認參數

Dockerfile中只能有一條CMD指令。如果出現多條，則只有最后一條指令生效。

注意: CMD指令會被 docker run 后的參數所覆蓋。例如：

docker run -idt --name demo01 demo:v0.1 /bin/bash??????? # "/bin/bash"將會覆蓋CMD指令

ENTRYPOINT指令

ENTRYPOINT指令有2種書寫格式

ENTRYPOINT [“命令”，“參數1”，“參數2”]???????????????????? #執行效果同docker exec

ENTRYPOINT 命令 參數1 參數2???????????????????? #執行效果同shell命令

ENTRYPOINT指令不會被 docker run 后的參數所覆蓋，而是附加在ENTRYPOINT指令之后。而且CMD指令中的參數會傳遞給ENTRYPOINT。

同CMD指令一樣，Dockerfile中也只能有一條ENTRYPOINT指令，并且若是多條則最后一條生效。

CMD與ENTRYPOINT指令存在的目的就是在容器啟動時就運行必要的應用程序。

演示示例2

驗證CMD指令

#?mkdir?demo2
#?cd?demo2
#?cat?>Dockerfile?<<EOF
FROM?ubuntu
RUN?apt-get?-y?update?&&?apt-get?install?-y?iputils-ping
CMD?["ping",?"114.114.114.114"]
EOF

構建鏡像

#?docker?image?build?-t?demo02:v0.1?.

根據上述鏡像創建容器demo02，并且不指定類似"/bin/bash" 命令

#?docker?run?-idt?--name?demo02?demo02:v0.1

查看容器demo02日志輸出

#?docker?logs?demo02

PING 114.114.114.114 (114.114.114.114) 56(84) bytes of data.

64 bytes from 114.114.114.114: icmp_seq=1 ttl=61 time=36.7 ms

64 bytes from 114.114.114.114: icmp_seq=2 ttl=61 time=36.5 ms

登錄到容器，并執行top命令查看，如圖1.1所示。

# docker exec -it demo02 /bin/bash

圖1.1

如果，我們在創建容器demo02_2時指定運行參數 "/bin/bash"，如

#?docker?run?-idt?--name?demo02_2?demo02:v0.1?/bin/bash

查看容器demo02_2運行狀態

#?docker?ps?-a?|grep?demo02_2

9b76b8af295d??? demo02:v0.1????? "/bin/bash"????????????? 7 seconds ago?????????????????? Up 7 seconds??????????????????? demo02_2

登錄到容器，使用top命令查看容器進程，可以看到CMD指令被docker run 后的"/bin/bash"參數覆蓋了，如圖1.2所示。

#?docker?exec?-it?demo02_2?/bin/bash

圖1.2

演示示例3

驗證ENTRYPOINT指令

#?mkdir?demo3
#?cd?demo3
#?cat?>Dockerfile?<<EOF
FROM?ubuntu
RUN?apt-get?-y?update?&&?apt-get?install?-y?iputils-ping
ENTRYPOINT?["ping",?"114.114.114.114"]
EOF
#?docker?image?build?-t?demo03:v0.1?.

注意，創建容器時不指定類似"/bin/bash"

#?docker?run?-idt?--name?demo03?demo03:v0.1

查看容器日志

#?docker?logs?demo03

PING 114.114.114.114 (114.114.114.114) 56(84) bytes of data.

64 bytes from 114.114.114.114: icmp_seq=1 ttl=61 time=36.6 ms

64 bytes from 114.114.114.114: icmp_seq=2 ttl=78 time=36.5 ms

登錄到容器，并執行top命令查看，如圖1.3所示。

#?docker?exec?-it?demo03?/bin/bash

圖1.3

創建容器demo05時指定運行參數 ”127.0.0.1”

#?docker?run?-idt?--name?demo05?demo03:v0.1?127.0.0.1

進入容器demo05并執行top查看，確認docker run 后的參數127.0.0.1是傳遞給了ENTRYPOINT指令，如圖1.4所示。

圖1.4

演示示例4

ENTRYPOINT指令和CMD指令結合使用

我們將可能會調整的參數寫到CMD指令。然后在docker run 里指定參數，這樣CMD指令后的參數就會被覆蓋掉而ENTRYPOINT里的不被覆蓋。

#?cat?>Dockerfile?<<EOF
FROM?ubuntu
RUN?apt-get?-y?update?&&?apt-get?install?-y?iputils-ping
ENTRYPOINT?["ping",?"114.114.114.114"]
CMD?["-a"]
EOF
#?docker?image?build?-t?demo03:v0.2?.

創建容器demo03_2時指定運行參數為"-c 3"

# docker run -idt --name demo03_2 demo03:v0.2 -c 3

查看容器運行日志，確認是ping -c 3次后結束，即CMD指令后的參數被覆蓋為CMD ["-c 3"]

#?docker?logs?demo03_2

PING 114.114.114.114 (114.114.114.114) 56(84) bytes of data.

64 bytes from 114.114.114.114: icmp_seq=1 ttl=64 time=36.7 ms

64 bytes from 114.114.114.114: icmp_seq=2 ttl=59 time=36.5 ms

64 bytes from 114.114.114.114: icmp_seq=3 ttl=62 time=36.4 ms

--- 114.114.114.114 ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 2003ms

rtt min/avg/max/mdev = 36.495/36.613/36.789/0.254 ms

Dockerfile使用管道符或標準輸入方式來構建鏡像

示例：

echo?-e?'FROM?busybox\nRUN?echo?"hello?world"'?|?docker?build?-

或者

docker?build?-<<EOF
FROM?busybox
RUN?echo?"hello?world"
EOF

上述2個示例是等價的

docker build [OPTIONS] - 中的"-"是連接符，用于獲取路徑的位置，并指示Docker從stdin讀取構建上下文。

以下示例我們嘗試使用COPY或ADD指令

#?mkdir?example1
#?cd?example1
#?touch?somefile.txt
docker?build?-t?myimage:v0.1?-<<EOF
FROM?busybox
COPY?somefile.txt?.
RUN?cat?/somefile.txt
EOF

會提示如下錯誤，因為上述并沒有指定從本地來構建上下文

Sending build context to Docker daemon 2.048kB

Step 1/3 : FROM busybox

---> b534869c81f0

Step 2/3 : COPY somefile.txt .

COPY failed: stat /var/lib/docker/tmp/docker-builder461920604/somefile.txt: no such file or directory

但使用以下語法就可以使用本地文件系統上的文件，并且使用stdin中的Dockerfile來構建鏡像。語法使用-f（或--file）選項指定要使用的Dockerfile，使用連字符（-）作為文件名指示Docker從stdin讀取Dockerfile

docker?build?[OPTIONS]?-f-?PATH

以下示例我們嘗試使用COPY或ADD指令

#?mkdir?example2
#?cd?example2
#?touch?somefile.txt
#?docker?build?-t?myimage:v0.2?-f-?.?<<EOF
FROM?busybox
COPY?somefile.txt?.
RUN?cat?/somefile.txt
EOF

從遠端倉庫接取代碼，然后再從標準輸入讀取Dockerfile構建鏡像

docker?build?[OPTIONS]?-f-?PATH

如果要從不包含Dockerfile的git倉庫中來構建鏡像，或者是使用自定義Dockerfile構建鏡像，則此語法非常有用。

#?docker?build?-t?myimage:latest?-f-?https://github.com/docker-library/hello-world.git?<<EOF
FROM?busybox
COPY?hello.c?.
EOF

注意：上述示例執行成功前提是已安裝好git客戶端

總結

本節示例較多，但均是非常簡單的示例，說話孰能生巧，需勤加練習。另Docker官方建議，為降低復雜性、依賴性、以及鏡像大小和構建時間，要盡量避免安裝額外的或不必要的包。