再學dockerfile

前言

docker的系統學習能夠看我這篇博文：http://www.javashuo.com/article/p-gzgvjepy-bn.html 有很是詳細的講解
容器如今都是用kubernetes來編排了， 存儲、網絡、都歸Kubernetes層面管理了，因此對於docker的主要掌握點也就剩dockerfile了，這也是docker的重點。

簡介

Dockerfile是一個文本文件，裏面包含一條條指令，每一條指令就是一層鏡像。
Dockerfile 通常分爲四部分：基礎鏡像信息、維護者信息、鏡像操做指令和容器啓動時執行指令，’#’ 爲 Dockerfile 中的註釋。
Docker以從上到下的順序運行Dockerfile的指令。爲了指定基本鏡像，第一條指令必須是FROM。一個聲明以＃字符開頭則被視爲註釋。
Dockerfile中所用的全部文件必定要和Dockerfile文件在同一級父目錄下，能夠爲Dockerfile父目錄的子目錄。
Dockerfile中相對路徑默認都是Dockerfile所在的目錄。
Dockerfile中必定要惜字如金，能寫到一行的指令，必定要寫到一行，緣由是分層構建，聯合掛載這個特性。Dockerfile中每一條指令被視爲一層。
Dockerfile中指明大寫（約定俗成）

dockerfile 圖解

dockerfile詳解

FROM

指定基礎鏡像，而且必須是第一條非註釋指令。

若是不以任何鏡像爲基礎，那麼寫法爲：FROM scratch。

同時意味着接下來所寫的指令將做爲鏡像的第一層開始

語法：

FROM <image>
FROM <image>:<tag>
FROM <image>:<digest> 
三種寫法，其中<tag>和<digest> 是可選項，若是沒有選擇，那麼默認值爲latest
在一個 Dockerfile 文件中建立多個鏡像時，FROM 能夠屢次出現。只需在每一個新命令 FROM 以前，記錄提交上次的鏡像 ID。

LABEL

功能是爲鏡像指定標籤

語法：

LABEL <key>=<value> <key>=<value> <key>=<value> ...
 一個Dockerfile種能夠有多個LABEL，不建議這麼寫，最好是寫成一行，如太長鬚要換行的話則使用\符號
LABEL會繼承基礎鏡像中的LABEL，如遇到key相同，則值覆蓋

ENV

設置環境變量

語法:

ENV <key> <value>
 ENV <key>=<value> ...
 二者的區別就是第一種是一次設置一個，第二種是一次設置多個

ADD

一個複製命令，把文件複製到鏡像中
若是把虛擬機與容器想象成兩臺linux服務器的話，那麼這個命令就相似於scp，只是scp須要加用戶名和密碼的權限驗證，而ADD不用

語法：

ADD <src>... <dest>
ADD ["<src>",... "<dest>"]
路徑的填寫能夠是容器內的絕對路徑，也能夠是相對於工做目錄的相對路徑，推薦寫成絕對路徑
能夠是一個本地文件或者是一個本地壓縮文件，還能夠是一個url
若是把寫成一個url，那麼ADD就相似於wget命令
src爲一個目錄的時候，會自動把目錄下的文件複製過去，目錄自己不會複製
若是src爲多個文件，dest必定要是一個目錄
若是 docker 發現文件內容被改變，則接下來的指令都不會再使用緩存。關於複製文件時須要處理的/，基本跟正常的 copy 一致

COPY

看這個名字就知道，又是一個複製命令

語法:

COPY <src>... <dest>
COPY ["<src>",... "<dest>"]
與ADD的區別:
	COPY的只能是本地文件，其餘用法一致

RUN
功能爲運行指定的命令
語法：

RUN <command>
RUN ["executable", "param1", "param2"]
第一種後邊直接跟shell命令
	在linux操做系統上默認 /bin -c
	在windows操做系統上默認 cmd /S /C
第二種是相似於函數調用。
	可將executable理解成爲可執行文件，後面就是兩個參數。
RUN 指令建立的中間鏡像會被緩存，並會在下次構建中使用。若是不想使用這些緩存鏡像，能夠在構建時指定 --no-cache 參數，如：docker build --no-cache。

CMD
功能爲容器啓動時要運行的命令

語法:

CMD ["executable","param1","param2"]
CMD ["param1","param2"]
CMD command param1 param2
第三種比較好理解了，就時shell這種執行方式和寫法
第一種和第二種其實都是可執行文件加上參數的形式
舉例說明兩種寫法：
CMD [ "sh", "-c", "echo $HOME" 
CMD [ "echo", "$HOME" ]
這裏邊包括參數的必定要用雙引號，就是",不能是單引號。千萬不能寫成單引號。
緣由是參數傳遞後，docker解析的是一個JSON array

RUN&&CMD

RUN是構件容器時就運行的命令以及提交運行結果
CMD是容器啓動時執行的命令，在構件時並不運行，構件時僅僅指定了這個命令究竟是作什麼的

WORKDIR

設置工做目錄，對RUN,CMD,ENTRYPOINT,COPY,ADD生效。若是不存在則會建立，也能夠設置屢次。

語法：

WORKDIR /path/to/workdir
WORKDIR也能夠解析環境變量
ENV DIRPATH /path
WORKDIR $DIRPATH/$DIRNAME
RUN pwd
pwd的執行結果是/path/$DIRNAME

VOLUME

實現掛載功能，能夠將宿主機目錄掛載到容器中

可用專用的文件存儲看成Docker容器的數據存儲部分

語法：

VOLUME ["/data"]
使用場景爲須要持久化存儲數據時.
容器使用的是AUFS，這種文件系統不能持久化數據，當容器關閉後，全部的更改都會丟失。
因此當數據須要持久化時用這個命令。
	VOLUME ["/var/log/"]
	VOLUME /var/log
	VOLUME /var/log /var/db
卷能夠容器間共享和重用
容器並不必定要和其它容器共享卷
修改卷後會當即生效
對卷的修改不會對鏡像產生影響
卷會一直存在，直到沒有任何容器在使用它
VOLUME 讓咱們能夠將源代碼、數據或其它內容添加到鏡像中，而又不併提交到鏡像中，並使咱們能夠多個容器間共享這些內容。

USER

設置啓動容器的用戶，能夠是用戶名或UID

語法：

USER daemo
USER UID
若是設置了容器以daemon用戶去運行，那麼RUN, CMD 和 ENTRYPOINT 都會以這個用戶去運行,
使用這個命令必定要確認容器中擁有這個用戶，而且擁有足夠權限。

ENTRYPOINT

啓動時的默認命令

語法：

ENTRYPOINT ["executable", "param1", "param2"]  
ENTRYPOINT command param1 param2
第一種就是可執行文件加參數
第二種就是寫shell

ENTRYPOINT&&CMD

相同點：
	只能寫一條，若是寫了多條，那麼只有最後一條生效
	容器啓動時才運行，運行時機相同
不一樣點：
	ENTRYPOINT不會被運行的command覆蓋，而CMD則會被覆蓋
若是咱們在Dockerfile種同時寫了ENTRYPOINT和CMD，而且CMD指令不是一個完整的可執行命令，那麼CMD指定的內容將會做爲ENTRYPOINT的參數。
FROM ubuntu
ENTRYPOINT ["netstat", "-ln"]
CMD ["-tup"]
若是在Dockerfile種同時寫了ENTRYPOINT和CMD，而且CMD是一個完整的指令，那麼它們兩個會互相覆蓋，誰在最後誰生效
FROM ubuntu
ENTRYPOINT ["netstat", "-ln"]
CMD ls -l
那麼將執行ls -l ,netstat -ln不會執行。

ARG

設置變量命令，ARG命令定義了一個變量，在docker build建立鏡像的時候，使用 --build-arg =來指定參數

語法：

ARG <name>[=<default value>]
若是用戶在build鏡像時指定了一個參數沒有定義在Dockerfile中，那麼將有一個Warning
[Warning] One or more build-args [foo] were not consumed.
能夠定義一個或多個參數
	FROM busybox
	ARG user1
	ARG buildno
能夠給參數一個默認值
	FROM busybox
	ARG user1=someuser
	ARG buildno=1
若是給了ARG定義的參數默認值，那麼當build鏡像時沒有指定參數值，將會使用這個默認值

HEALTHCHECK

容器健康情況檢查命令

語法：

HEALTHCHECK [OPTIONS] CMD command
HEALTHCHECK NONE
第一個的功能是在容器內部運行一個命令來檢查容器的健康情況
第二個的功能是在基礎鏡像中取消健康檢查命令
[OPTIONS]的選項支持如下三中選項：
–interval=DURATION 兩次檢查默認的時間間隔爲30秒
–timeout=DURATION 健康檢查命令運行超時時長，默認30秒
–retries=N 當連續失敗指定次數後，則容器被認爲是不健康的，狀態爲unhealthy，默認次數是3
注意：
HEALTHCHECK命令只能出現一次，若是出現了屢次，只有最後一個生效。
CMD後邊的命令的返回值決定了本次健康檢查是否成功，具體的返回值以下：
0: success - 表示容器是健康的
1: unhealthy - 表示容器已經不能工做了
2: reserved - 保留值
例：
HEALTHCHECK --interval=5m --timeout=3s \
CMD curl -f http://localhost/8080 || exit 1
健康檢查命令是：curl -f http://localhost/8080 || exit 1
兩次檢查的間隔時間是5秒
命令超時時間爲3秒

ONBUILD

用於在dockerfile中定義一個觸發器，只對當前鏡像的子鏡像生效

語法：

ONBUILD [INSTRUCTION]
dockerfile用於build鏡像文件，此鏡像文件亦可做爲base image被另外一個dockerfile用做FROM指令參數，並以之構建新的鏡像，在後面的dockerfile中的FROM指令在build過程當中被執行時，將會觸發建立其baseimage的dockerfile文件中的ONBUILD指令定義的觸發器。
好比當前鏡像爲A，在Dockerfile種添加：
	ONBUILD RUN ls -l
這個 ls -l 命令不會在A鏡像構建或啓動的時候執行
此時有一個鏡像B是基於A鏡像構建的，那麼這個ls -l 命令會在B鏡像構建的時候被執行。

EXPOSE

功能爲暴漏容器運行時的監聽端口給外部
語法：

EXPOSE <port>/<tcp/udp>
可是EXPOSE並不會使容器訪問主機的端口
EXPOSE 指令並不會讓容器監聽 host 的端口，若是須要，須要在 docker run 時使用 `-p`、`-P` 參數來發布容器端口到 host 的某個端口上。

STOPSIGNAL

STOPSIGNAL命令是的做用是當容器中止時給系統發送什麼樣的指令，默認是15

語法：

STOPSIGNAL signal

Dockerfile中使用變量的方式

$varname
${varname}
${varname:-default value}
${varname:+default value}
第一種和第二種相同
第三種表示當變量不存在使用-號後面的值
第四種表示當變量存在時使用+號後面的值

原則及建議

容器輕量化。從鏡像中產生的容器應該儘可能輕量化，能在足夠短的時間內中止、銷燬、從新生成並替換原來的容器。
使用 .gitignore。在大部分狀況下，Dockerfile 會和構建所需的文件放在同一個目錄中，爲了提升構建的性能，應該使用 .gitignore 來過濾掉不須要的文件和目錄。
爲了減小鏡像的大小，減小依賴，僅安裝須要的軟件包。
一個容器只作一件事。解耦複雜的應用，分紅多個容器，而不是全部東西都放在一個容器內運行。如一個 Python Web 應用，可能須要 Server、DB、Cache、MQ、Log 等幾個容器。一個更加極端的說法：One process per container。
減小鏡像的圖層。不要多個 Label、ENV 等標籤。
對續行的參數按照字母表排序，特別是使用apt-get install -y安裝包的時候。
使用構建緩存。若是不想使用緩存，能夠在構建的時候使用參數--no-cache=true來強制從新生成中間鏡像。

實戰

個人一篇docker實戰博文

http://www.javashuo.com/article/p-mjxcwnag-m.html