上一篇：Docker的那些事儿—docker commit与docker build比较（12）

Dockerfile是由一行行命令语句组成，并且支持以#开头的注释行。

一般的，Dockerfile分为四部分：基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。通过一个例子看下：

FROM debian:stretch-slim

LABEL maintainer="NGINX Docker Maintainers "

ENVNGINX_VERSION 1.13.8-1~stretch

ENVNJS_VERSION  1.13.8.0.1.15-1~stretch

RUN set-x \

      && apt-get update \

      && apt-get install --no-install-recommends --no-install-suggests -y gnupg1 \

      && \

      NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62;\

      found=''; \

      for server in \

              ha.pool.sks-keyservers.net \

              hkp://keyserver.ubuntu.com:80 \

              hkp://p80.pool.sks-keyservers.net:80\

              pgp.mit.edu \

      ; do \

              echo "Fetching GPG key$NGINX_GPGKEY from $server"; \

              apt-key adv --keyserver"$server" --keyserver-options timeout=10 --recv-keys"$NGINX_GPGKEY" && found=yes && break; \

      done; \

      test -z "$found" &&echo >&2 "error: failed to fetch GPG key $NGINX_GPGKEY"&& exit 1; \

      apt-get remove --purge --auto-remove -ygnupg1 && rm -rf /var/lib/apt/lists/* \

      && dpkgArch="$(dpkg--print-architecture)" \

      && nginxPackages=" \

              nginx=${NGINX_VERSION} \

              nginx-module-xslt=${NGINX_VERSION}\

              nginx-module-geoip=${NGINX_VERSION}\

              nginx-module-image-filter=${NGINX_VERSION}\

              nginx-module-njs=${NJS_VERSION} \

      " \

      && case "$dpkgArch" in\

              amd64|i386) \

# archesofficialy built by upstream

                    echo "debhttp://nginx.org/packages/mainline/debian/ stretch nginx" >>/etc/apt/sources.list \

                    && apt-get update \

                    ;; \

              *) \

# we'reon an architecture upstream doesn't officially build for

# let'sbuild binaries from the published source packages

                    echo "deb-srchttp://nginx.org/packages/mainline/debian/ stretch nginx" >>/etc/apt/sources.list \

                    \

# newdirectory for storing sources and .deb files

                    &&tempDir="$(mktemp -d)" \

                    && chmod 777"$tempDir" \

# (777 toensure APT's "_apt" user can access it too)

                    \

# savelist of currently-installed packages so build dependencies can be cleanlyremoved later

                    && savedAptMark="$(apt-markshowmanual)" \

                    \

# build.deb files from upstream's source packages (which are verified by apt-get)

                    && apt-get update \

                    && apt-getbuild-dep -y $nginxPackages \

                    && ( \

                            cd"$tempDir" \

                            &&DEB_BUILD_OPTIONS="nocheck parallel=$(nproc)" \

                                  apt-getsource --compile $nginxPackages \

                    ) \

# wedon't remove APT lists here because they get re-downloaded and removed later

                    \

# resetapt-mark's "manual" list so that "purge --auto-remove" willremove all build dependencies

# (whichis done after we install the built packages so we don't have to redownload anyoverlapping dependencies)

                    && apt-markshowmanual | xargs apt-mark auto > /dev/null \

                    && { [ -z"$savedAptMark" ] || apt-mark manual $savedAptMark; } \

                    \

# createa temporary local APT repo to install from (so that dependency resolution canbe handled by APT, as it should be)

                    && ls -lAFh"$tempDir" \

                    && ( cd"$tempDir" && dpkg-scanpackages . > Packages ) \

                    && grep '^Package:' "$tempDir/Packages" \

                    && echo "deb [trusted=yes ] file://$tempDir ./" > /etc/apt/sources.list.d/temp.list \

# workaround the following APT issue by using "Acquire::GzipIndexes=false"(overriding "/etc/apt/apt.conf.d/docker-gzip-indexes")

#  Could not open file /var/lib/apt/lists/partial/_tmp_tmp.ODWljpQfkE_._Packages- open (13: Permission denied)

#  ...

#  E: Failed to fetchstore:/var/lib/apt/lists/partial/_tmp_tmp.ODWljpQfkE_._Packages  Could not open file/var/lib/apt/lists/partial/_tmp_tmp.ODWljpQfkE_._Packages - open (13: Permissiondenied)

                    && apt-get -oAcquire::GzipIndexes=false update \

                    ;; \

      esac \

      \

      && apt-get install--no-install-recommends --no-install-suggests -y \

                                          $nginxPackages\

                                          gettext-base\

      && rm -rf /var/lib/apt/lists/* \

      \

# if wehave leftovers from building, let's purge them (including extra, unnecessarybuild deps)

      && if [ -n "$tempDir"]; then \

              apt-get purge -y --auto-remove \

              && rm -rf"$tempDir" /etc/apt/sources.list.d/temp.list; \

      fi

# forwardrequest and error logs to docker log collector

RUN ln-sf /dev/stdout /var/log/nginx/access.log \

      && ln -sf /dev/stderr/var/log/nginx/error.log

EXPOSE 80

STOPSIGNALSIGTERM

CMD["nginx", "-g", "daemon off;"]

指令的一般格式为INSTRUCTION arguments，指令包括 FROM、 MAINTAINER、RUN 等。INSTRUCTION实际上是不区分大小写的，只所以写成大写是为了区别于后面的arguments。

FROM

格式为：

    FROM image

    FROM image：tag

Docker逐条运行Dockerfile中的指令。第一条指令必须为FROM指令。并且如果在同一个Dockerfile中创建多个镜像时，可以使用多个FROM指令（每个镜像一次）。

MAINTAINER

格式为：

    MAINTAINER name

指定维护者信息。

ENV

格式为：

    ENV key value

指定一个环境变量，并在容器运行时保持，环境变量可用于ADD、COPY、ENV、EXPOSE、FROM、LABEL、USER、VOLUME、WORKDIR、ONBUILD指令中。

RUN

格式为：

    RUN command

    RUN ["executable","param1", "param2"]

前者将在shell终端中运行命令，即/bin/sh -c；后者则使用exec执行。

指定使用其它终端可以通过第二种方式实现，例如 RUN ["/bin/bash", "-c", "echo hello"]。每条 RUN 指令将在当前镜像基础上执行指定命令，并提交为新的镜像。当命令较长时可以使用 \ 来换行。例如：

RUN apt-get update && apt-getinstall -y --no-install-recommends \

              g++\

              gcc\

              libc6-dev\

              make\

              pkg-config\

      &&rm -rf /var/lib/apt/lists/*

CMD

支持三种格式：

    CMD ["executable","param1","param2"] 使用exec执行，推荐方式；

    CMD command param1 param2在/bin/sh中执行，提供给需要交互的应用；

    CMD ["param1","param2"] 提供给ENTRYPOINT的默认参数；

指定启动容器时执行的命令，每个Dockerfile 只能有一条CMD命令。如果指定了多条命令，只有最后一条会被执行。如果用户启动容器时候指定了运行的命令，则会覆盖掉CMD指定的命令。

LABEL

格式为：

    LABEL key=value key=value ...

LABEL指令增加元数据到镜像中。可以通过docker inspect imageID查看：

EXPOSE

格式为：

    EXPOSE port [port...]

告诉Docker服务端容器暴露的端口号。在启动容器时需要通过-P指定，Docker主机会自动分配一个端口转发到指定的端口。

ADD

格式为：

    ADD src dest

该命令将复制指定的src到容器中的dest。 其中src可以是Dockerfile所在目录的一个相对路径；也可以是一个URL；还可以是一个tar文件（自动解压为目录）。

COPY

格式为：

    COPY src dest

复制本地主机的src（为Dockerfile所在目录的相对路径）到容器中的 dest。当使用本地目录为源目录时，推荐使用COPY。

ENTRYPOINT

两种格式：

    ENTRYPOINT ["executable", "param1", "param2"]

    ENTRYPOINT command param1 param2 （shell中执行）

配置容器启动后执行的命令，并且不可被docker run提供的参数覆盖。每个Dockerfile中只能有一个ENTRYPOINT，当指定多个时，只有最后一个起效。

VOLUME

格式为：

    VOLUME ["/data"]

创建一个可以从本地主机或其他容器挂载的挂载点，一般用来存放数据库和需要保持的数据等。

USER

格式为：

    USER daemon

指定运行容器时的用户名或UID，后续的RUN也会使用指定用户。当服务不需要管理员权限时，可以通过该命令指定运行用户。并且可以在之前创建所需要的用户，例如：RUN groupadd -r postgres && useradd -r -g postgres postgres。

WORKDIR

格式为：

    WORKDIR /path/to/workdir

为后续的RUN、CMD、ENTRYPOINT指令配置工作目录。

可以使用多个WORKDIR指令，后续命令如果参数是相对路径，则会基于之前命令指定的路径。例如：

WORKDIR /a

WORKDIR b

WORKDIR c

RUN pwd

则最终路径为/a/b/c。

ONBUILD

格式为：

    ONBUILD [INSTRUCTION]

配置当所创建的镜像作为其它新创建镜像的基础镜像时，所执行的操作指令。

例如，Dockerfile使用如下的内容创建了镜像image-A。

[...]

ONBUILD ADD . /app/src

ONBUILD RUN /usr/local/bin/python-build --dir /app/src

[...]

如果基于image-A创建新的镜像时，新的Dockerfile中使用FROM image-A 指定基础镜像时，会自动执行ONBUILD指令内容，等价于在后面添加了两条指令。

FROM image-A

#Automatically run the following

ADD . /app/src

RUN /usr/local/bin/python-build --dir /app/src

使用ONBUILD指令的镜像，推荐在标签中注明，例如ruby:1.9-onbuild或者ruby:2.0-onbuild。

下一篇：Docker的那些事儿—利用Docker Hub自动构建镜像（14）