上一篇:Docker的那些事儿—docker commit与docker build比较(12)
Dockerfile是由一行行命令语句组成,并且支持以#开头的注释行。
一般的,Dockerfile分为四部分:基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。通过一个例子看下:
FROM debian:stretch-slim
LABEL maintainer="NGINX Docker Maintainers "
ENVNGINX_VERSION 1.13.8-1~stretch
ENVNJS_VERSION 1.13.8.0.1.15-1~stretch
RUN set-x \
&& apt-get update \
&& apt-get install --no-install-recommends --no-install-suggests -y gnupg1 \
&& \
NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62;\
found=''; \
for server in \
ha.pool.sks-keyservers.net \
hkp://keyserver.ubuntu.com:80 \
hkp://p80.pool.sks-keyservers.net:80\
pgp.mit.edu \
; do \
echo "Fetching GPG key$NGINX_GPGKEY from $server"; \
apt-key adv --keyserver"$server" --keyserver-options timeout=10 --recv-keys"$NGINX_GPGKEY" && found=yes && break; \
done; \
test -z "$found" &&echo >&2 "error: failed to fetch GPG key $NGINX_GPGKEY"&& exit 1; \
apt-get remove --purge --auto-remove -ygnupg1 && rm -rf /var/lib/apt/lists/* \
&& dpkgArch="$(dpkg--print-architecture)" \
&& nginxPackages=" \
nginx=${NGINX_VERSION} \
nginx-module-xslt=${NGINX_VERSION}\
nginx-module-geoip=${NGINX_VERSION}\
nginx-module-image-filter=${NGINX_VERSION}\
nginx-module-njs=${NJS_VERSION} \
" \
&& case "$dpkgArch" in\
amd64|i386) \
# archesofficialy built by upstream
echo "debhttp://nginx.org/packages/mainline/debian/ stretch nginx" >>/etc/apt/sources.list \
&& apt-get update \
;; \
*) \
# we'reon an architecture upstream doesn't officially build for
# let'sbuild binaries from the published source packages
echo "deb-srchttp://nginx.org/packages/mainline/debian/ stretch nginx" >>/etc/apt/sources.list \
\
# newdirectory for storing sources and .deb files
&&tempDir="$(mktemp -d)" \
&& chmod 777"$tempDir" \
# (777 toensure APT's "_apt" user can access it too)
\
# savelist of currently-installed packages so build dependencies can be cleanlyremoved later
&& savedAptMark="$(apt-markshowmanual)" \
\
# build.deb files from upstream's source packages (which are verified by apt-get)
&& apt-get update \
&& apt-getbuild-dep -y $nginxPackages \
&& ( \
cd"$tempDir" \
&&DEB_BUILD_OPTIONS="nocheck parallel=$(nproc)" \
apt-getsource --compile $nginxPackages \
) \
# wedon't remove APT lists here because they get re-downloaded and removed later
\
# resetapt-mark's "manual" list so that "purge --auto-remove" willremove all build dependencies
# (whichis done after we install the built packages so we don't have to redownload anyoverlapping dependencies)
&& apt-markshowmanual | xargs apt-mark auto > /dev/null \
&& { [ -z"$savedAptMark" ] || apt-mark manual $savedAptMark; } \
\
# createa temporary local APT repo to install from (so that dependency resolution canbe handled by APT, as it should be)
&& ls -lAFh"$tempDir" \
&& ( cd"$tempDir" && dpkg-scanpackages . > Packages ) \
&& grep '^Package:' "$tempDir/Packages" \
&& echo "deb [trusted=yes ] file://$tempDir ./" > /etc/apt/sources.list.d/temp.list \
# workaround the following APT issue by using "Acquire::GzipIndexes=false"(overriding "/etc/apt/apt.conf.d/docker-gzip-indexes")
# Could not open file /var/lib/apt/lists/partial/_tmp_tmp.ODWljpQfkE_._Packages- open (13: Permission denied)
# ...
# E: Failed to fetchstore:/var/lib/apt/lists/partial/_tmp_tmp.ODWljpQfkE_._Packages Could not open file/var/lib/apt/lists/partial/_tmp_tmp.ODWljpQfkE_._Packages - open (13: Permissiondenied)
&& apt-get -oAcquire::GzipIndexes=false update \
;; \
esac \
\
&& apt-get install--no-install-recommends --no-install-suggests -y \
$nginxPackages\
gettext-base\
&& rm -rf /var/lib/apt/lists/* \
\
# if wehave leftovers from building, let's purge them (including extra, unnecessarybuild deps)
&& if [ -n "$tempDir"]; then \
apt-get purge -y --auto-remove \
&& rm -rf"$tempDir" /etc/apt/sources.list.d/temp.list; \
fi
# forwardrequest and error logs to docker log collector
RUN ln-sf /dev/stdout /var/log/nginx/access.log \
&& ln -sf /dev/stderr/var/log/nginx/error.log
EXPOSE 80
STOPSIGNALSIGTERM
CMD["nginx", "-g", "daemon off;"]
指令的一般格式为INSTRUCTION arguments,指令包括 FROM、 MAINTAINER、RUN 等。INSTRUCTION实际上是不区分大小写的,只所以写成大写是为了区别于后面的arguments。
FROM
格式为:
FROM image
FROM image:tag
Docker逐条运行Dockerfile中的指令。第一条指令必须为FROM指令。并且如果在同一个Dockerfile中创建多个镜像时,可以使用多个FROM指令(每个镜像一次)。
MAINTAINER
格式为:
MAINTAINER name
指定维护者信息。
ENV
格式为:
ENV key value
指定一个环境变量,并在容器运行时保持,环境变量可用于ADD、COPY、ENV、EXPOSE、FROM、LABEL、USER、VOLUME、WORKDIR、ONBUILD指令中。
RUN
格式为:
RUN command
RUN ["executable","param1", "param2"]
前者将在shell终端中运行命令,即/bin/sh -c;后者则使用exec执行。
指定使用其它终端可以通过第二种方式实现,例如 RUN ["/bin/bash", "-c", "echo hello"]。每条 RUN 指令将在当前镜像基础上执行指定命令,并提交为新的镜像。当命令较长时可以使用 \ 来换行。例如:
RUN apt-get update && apt-getinstall -y --no-install-recommends \
g++\
gcc\
libc6-dev\
make\
pkg-config\
&&rm -rf /var/lib/apt/lists/*
CMD
支持三种格式:
CMD ["executable","param1","param2"] 使用exec执行,推荐方式;
CMD command param1 param2在/bin/sh中执行,提供给需要交互的应用;
CMD ["param1","param2"] 提供给ENTRYPOINT的默认参数;
指定启动容器时执行的命令,每个Dockerfile 只能有一条CMD命令。如果指定了多条命令,只有最后一条会被执行。如果用户启动容器时候指定了运行的命令,则会覆盖掉CMD指定的命令。
LABEL
格式为:
LABEL key=value key=value ...
LABEL指令增加元数据到镜像中。可以通过docker inspect imageID查看:
EXPOSE
格式为:
EXPOSE port [port...]
告诉Docker服务端容器暴露的端口号。在启动容器时需要通过-P指定,Docker主机会自动分配一个端口转发到指定的端口。
ADD
格式为:
ADD src dest
该命令将复制指定的src到容器中的dest。 其中src可以是Dockerfile所在目录的一个相对路径;也可以是一个URL;还可以是一个tar文件(自动解压为目录)。
COPY
格式为:
COPY src dest
复制本地主机的src(为Dockerfile所在目录的相对路径)到容器中的 dest。当使用本地目录为源目录时,推荐使用COPY。
ENTRYPOINT
两种格式:
ENTRYPOINT ["executable", "param1", "param2"]
ENTRYPOINT command param1 param2 (shell中执行)
配置容器启动后执行的命令,并且不可被docker run提供的参数覆盖。每个Dockerfile中只能有一个ENTRYPOINT,当指定多个时,只有最后一个起效。
VOLUME
格式为:
VOLUME ["/data"]
创建一个可以从本地主机或其他容器挂载的挂载点,一般用来存放数据库和需要保持的数据等。
USER
格式为:
USER daemon
指定运行容器时的用户名或UID,后续的RUN也会使用指定用户。当服务不需要管理员权限时,可以通过该命令指定运行用户。并且可以在之前创建所需要的用户,例如:RUN groupadd -r postgres && useradd -r -g postgres postgres。
WORKDIR
格式为:
WORKDIR /path/to/workdir
为后续的RUN、CMD、ENTRYPOINT指令配置工作目录。
可以使用多个WORKDIR指令,后续命令如果参数是相对路径,则会基于之前命令指定的路径。例如:
WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd
则最终路径为/a/b/c。
ONBUILD
格式为:
ONBUILD [INSTRUCTION]
配置当所创建的镜像作为其它新创建镜像的基础镜像时,所执行的操作指令。
例如,Dockerfile使用如下的内容创建了镜像image-A。
[...]
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src
[...]
如果基于image-A创建新的镜像时,新的Dockerfile中使用FROM image-A 指定基础镜像时,会自动执行ONBUILD指令内容,等价于在后面添加了两条指令。
FROM image-A
#Automatically run the following
ADD . /app/src
RUN /usr/local/bin/python-build --dir /app/src
使用ONBUILD指令的镜像,推荐在标签中注明,例如ruby:1.9-onbuild或者ruby:2.0-onbuild。