一、docker鏡像構建簡介
在構建容器化應用時,相當重要的步驟莫過于鏡像制作,本文將介紹鏡像制作方法以及鏡像制作的建議,通常鏡像的制作有兩種方式:
使用現有的容器使用docker commit 生成鏡像使用Dockerfile進行鏡像構建
''''采用docker commit 生成的鏡像實際上是容器內的檔案系統進行修改在進行提交,而運行的容器實際上是在鏡像的檔案系統頂層添加了一層讀寫層,所都的修改都是基于這一層,當生成鏡像時會將這一層資料保存,所以每次使用commit提交鏡像時候都會比原來多一層,這樣會使得鏡像越來越大并且不易維護,同時,對于鏡像使用者來說完全不透明,使用者不清楚該鏡像怎么樣構建的,是否安全等,這種方式及其不推薦,
''''而使用Dockerfile構建鏡像,對于使用者來說完全透明,構建鏡像的每一個步驟都在Dockerfile檔案中描述的清清楚楚,同時當需要對鏡像修改時候,只需修改Dockerfile檔案中的指令,維護鏡像只需要維護一個Dockerfile,這也是鏡像構建的最佳方式,當然,要使用Dockerfile就必須明白Dockerfile的語法和各個指令,以下將作詳細介紹,
''''Docker以從上到下的順序運行Dockerfile的指令,為了指定基本映像,第一條指令必須是FROM,一個宣告以#字符開頭則被視為注釋,可以在Docker檔案中使用RUN,CMD,FROM,EXPOSE,ENV等指令,
二、Dockerfile介紹
''''Dockerfile實際上就是一個文本檔案,只不過這里的檔案內容被Docker Deamon識別從而進行鏡像構建,
''''在構建docker鏡像的時候,實際上將當前目錄移動到了一個虛擬目錄當中,所有的操作路徑都是以虛擬路徑為準,
使用Dockerfile步驟:
1.撰寫Dockerfile檔案,用于描述鏡像生成的步驟
2.使用docker build -t name:tag 命令構建鏡像
格式:
docker build [引數] [dockerfile的路徑]
docker build引數:
-c : 指定使用CPU大小
-f : 指定dockerfile路徑
-t : 指定構建后的鏡像名稱
2.1,語法規則
#號代表注解,- Dockerfile每一行都是以某個指令(約定大寫字母)開始,后面可加引數構成完整指令,用于描述鏡像構建步驟,
- 指令從上倒下依次執行
- Dockerfile的第一個指令一定是FROM指令,用于指定基礎鏡像
- Dockerfile還可以使用.dockerignore檔案來忽略在制作鏡像時候需要忽略的檔案或者目錄,列如使用COPY指令時候忽略某些檔案或者目錄,
- 所有指令引數為陣列時,最好使用雙引號
2.2,環境變數參考
1.若要在Dockerfile中引環境變數則使用$variable_name或${variable_name}
2.當變數為慷訓者變數值未設定可以使用${variable_name:-value}來指定變數的默認值
2.3,docker build命令
docker build 命令用于基于Dockerfile構建鏡像,使用語法:
docker build [OPTIONS] PATH | URL | -
其中PATH代表含有Dockfile的目錄,當然也可以是URL中含有Dockerfile
常用選項:
-t, --tag list # 指定生成鏡像標簽,格式為name:tag
-f, --file string # 單獨指定Dockerfile檔案位置
--build-arg list # 設定構建時的變數
--no-cache # 構建鏡像時候不使用快取
2.4,快速開始
構建一個簡單的nginx鏡像:
# 1.創建一個目錄用于存放DockerFile
[root@docker ~]# mkdir docker_project
[root@docker ~]# cd docker_project/
[root@docker ~/docker_project]#
# 2.編輯Dockerfile檔案,如果檔案名稱不是Dockerfile需要用-f指定名稱
[root@docker ~/docker_project]# vim Dockerfile
# 指定基礎鏡像為centos:7.9.2009
FROM centos:7.9.2009
# 3.構建鏡像
[root@docker ~/docker_project]# docker build -t centos7:v1 .
Sending build context to Docker daemon 2.048kB
Step 1/1 : FROM centos:7.9.2009
---> 8652b9f0cb4c
Successfully built 8652b9f0cb4c
Successfully tagged centos7:v1
# 4.利用制作的鏡像啟動容器,并查看是否運行成功
[root@docker ~/docker_project]# docker run -d -it --name my_centos71 centos7:v1
dd95eab722bf53fbcafbfad420b87eb5acd7cbdccfdff320a6709faca3e2bd37
[root@docker ~/docker_project]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
dd95eab722bf centos7:v1 "/bin/bash" 3 seconds ago Up 2 seconds my_centos71
三,Dockerfile指令詳解
3.1 FROM指令(必須)
''''FROM指令是最重要且必須為Dockerfile中的第一個非注視指令,用于為構建的鏡像指定基礎鏡像,后續指令運行環境基于該基礎鏡像,構建鏡像時候默認會先從主機上尋找鏡像,若不存在時則從Docker HUB上拉取鏡像,指定構建鏡像的基礎鏡像(有且只能有一個基礎鏡像)
語法 :
FROM <repository>
FROM <repository>[:<tag>]
FROM <repository>@<digest>
FROM [基礎鏡像]:[鏡像版本號]
解釋:
repository: # 鏡像倉庫
tag: # 鏡像標簽,省略就是latest
digest: # 鏡像哈希碼
3.2 LABEL指令
''''LABEL用于為鏡像提供元資料資訊,其資料格式為key=value,
語法 :
LABEL <key>=<value> <key>=<value> <key>=<value> ...
示例:
LABEL version="1.0" description="這是一個Web服務器" by="IT筆錄"
''''使用LABEL指定元資料時,一條LABEL指定可以指定一或多條元資料,指定多條元資料時不同元資料之間通過空格分隔,推薦將所有的元資料通過一條LABEL指令指定,以免生成過多的中間鏡像,
3.3 MAINTAINER (棄用)指令
''''用于提供鏡像提供者的資訊,可以在Docker任何位置,該語法可能廢棄,推薦使用LABEL
語法:
MAINTAINER <message>
解釋:
message:可以是任意文本資訊
示例:
MAINTAINER "wd <[email protected]>"
3.4 COPY指令
''''用于主機中的檔案或者復制到鏡像中
語法:
COPY [--chown=<user>:<group>] <src>... <dest>
COPY [--chown=<user>:<group>] ["<src>",... "<dest>"]
解釋:
src: # 源檔案或者目錄,支持通配符,如果src是目錄,src目錄自己不會被復制,復制的是目錄中的檔案
dest: # 容器中檔案系統目錄,如果目錄不存在自動創建創建,
user: # 復制到容器中的檔案所屬用戶
group:# 復制到容器中的檔案所屬用戶組
注意事項:
- 如果復制的src或dest中存在空格字符需使用第二種加雙引號方式
- src必須是 build的背景關系目錄(Dockerfile同級目錄或子目錄),不能是父目錄或者絕對路徑
- 如果指定來多個src或者src中使用了通配符,則dest必須是一個目錄,且必須以/結尾
3.5 ADD指令
''''ADD指令類似于COPY,但是ADD比COPY更強大,支持TAR檔案和URL路徑
ADD [--chown=<user>:<group>] <src>... <dest>
ADD [--chown=<user>:<group>] ["<src>",... "<dest>"]
解釋:
src: # 源檔案或者目錄,支持通配符,如果src是目錄,src目錄自己不會被復制,復制的是目錄中的檔案
dest: # 容器中檔案系統目錄,如果目錄不存在自動創建創建,
user: # 復制到容器中的檔案所屬用戶
group:# 復制到容器中的檔案所屬用戶組
示例:
ADD hom* /mydir/
ADD hom?.txt /mydir/
注意事項:
- 當src是URL時,如果dest不以/結尾,則src指定的檔案將被下載并且被創建為dest,如果dest以/結尾,則src指定下載的檔案會保存在dest目錄下,
- 當src是一個本地目錄的一個tar壓縮格式檔案,其在容器中會被展開為目錄,型別與tar -x命令,通過URL下載的tar檔案則不會被解壓,
- 如果指定來多個src或者src中使用了通配符,則dest必須是一個目錄,且必須以/結尾,多個檔案一同被復制在dest目錄下
3.6 WORKDIR指令
''''用于為Dockerfile中的各個指定設定作業目錄,可以使用多次,當使用相對路徑時目錄是基于前一個WORKDIR指令
語法 :
WORKDIR dirpath
示例:
WORKDIR /usr/local
3.7 ENV指令
''''用于為鏡像定義所需的環境變數,并可被Dockfile中位于其以后的指令所呼叫,如ADD、COPY、RUN等呼叫格式為$variable_name或者${variable_name},此外在啟動容器時候這些變數也是存在的,
語法:
ENV <key> <value>
ENV <key>=<value> ...
示例:
ENV myName="John Doe” \
myDog=Rex \
myCat=fluffy
ENV myCat fluffy
注意事項:
- 第一種格式中key之后的所有值會被作為value,因此一次只能設定一個變數
- 第二種格式可一次性設定多個變數,每個變數為一個key=value的鍵值對,如果value種包含空格,可以用反斜線(\)轉義,也可以通過對value加引號進行標識,此外反斜線也可用于續行,多個變數時候建議使用,
3.8 RUN指令
''''用于在build程序中運行的程式,可以是任何指令,可以指定多個RUN,RUN指令創建的中間鏡像會被快取,并會在下次構建中使用,如果不想使用這些快取鏡像,可以在構建時指定--no-cache引數,如:docker build --no-cache
bash -c選項說明
首先有個atest shell腳本,里面的內容為
echo $0
echo $1
echo $2
# 執行bash -c “./atest hello world”他的輸出如下:
./atest
hello
world
注意事項:
- -c 第一個字串一定要是命令路徑,不能是檔案名,如果把./atest前面的./去掉,那么就會報找不到命令
- 命令檔案必須要有可執行權限,即./atest 的必須就有x屬性
兩種語法:
# shell 格式默認linux采用/bin/sh -c,windows采用cmd /S /C
RUN <command> [linux命令]
# exec可執行程式格式
RUN ["executable", "param1", "param2”]
示例:
RUN yum install -y nginx
RUN ["/bin/bash", "-c", "echo hello"]
3.9 EXPOSE指令
''''用于為容器暴露埠到外部,用于實作通訊,類似于docker run的-p選項
語法:
POSE <port> [<port>/<protocol>...]
解釋:
port: # 埠
protocol: # 協議,可以是udp或tcp,默認tcp
示例:
EXPOSE 8080
EXPOSE 8080/udp 8088/tcp
3.10 CMD 指令
''''用于為在鏡像啟動時為容器候提供的默認命令,該指令可以有多個,但是只有最后一個生效,
語法 :
# shell格式,含有shell環境
CMD command param1 param2
# 可執行程式格式
CMD ["executable","param1","param2”]
# 第三種用于為ENTRYPOINT提供默認引數
CMD ["param1","param2”]
注意:
- 在第一種格式中command 通常是一個shell命令,且默認以/bin/sh -c來運行它,這意味著此行程在容器的的PID不為1,不能接受unix信號,因此使用docker stop
命令停止容器時,此行程接受不到SIGTERM信號, - 第二種格式是可執行程式運行方式,不會以"/bin/sh -c”來發起,無shell環境,所有 shell變數不能參考,但是可以用"/bin/bash -c”作為啟動命令達到第一種格式效果
- 第三種格式需要結合ENTRYPOINT使用,作用是為其提供默認引數
3.11 ENTRYPOINT 指令
''''類似于CMD功能,用于為啟動容器指定默認啟動命令,與CMD不同的是ENTRYPOINT命令不會隨著docker run 后使用的命令覆寫而會把命令作為引數,除非docker run 引數中指定了—entrypoint
語法 :
ENTRYPOINT <command>
ENTRYPOINT ["<executable>", "<param1>", "<param2>"]
注意事項:
- 與CMD類似,第一種方式默認會以/bin/sh -c 啟動,而第二種則不會,也就意味著沒有shell環境
- 通常ENTRPOINT用于使用ENTRPOINT腳本啟動
- 當CMD與ENTRYPOINT同時存在時,CMD的引數為ENTRYPOINT提供
示例:
["nginx","-g","daemon off"]
3.12 USER 指令
''''用于指定構建鏡像時RUN、CMD、ENTRYPOINT等指令使用的用戶或UID,默認情況容器運行身份為ROOT
語法 :
USER <user>[:<group>]
USER <UID>[:<GID>]
示例:
USER nginx
注意事項:
- 指定的USER或者GROUP必須在容器中存在,否則指令會運行失敗
3.13 SHELL 指令
''''將可執行程式運行為shell環境,默認以/bin/sh -c運行
語法:
SHELL ["executable", "parameters"]
示例:
# 等價于 RUN echo hello
SHELL ["echo", “hello"]
3.14 ARG 指令
''''該指令用于在build程序中提供引數,而在命令列使用--build-arg
# 語法:
ARG <name>[=<default value>]
# 示例Dockerfile:
FROM nginx
ARG CONF="/tmp/nginx.conf"
LABEL Author=xm
RUN touch "${CONF}"
# 構建鏡像:
[root@docker ~]# docker build --build-arg CONF='/etc/test.conf' -t nginx:v15.2 ./
Sending build context to Docker daemon 225.6MB
Step 1/4 : FROM nginx
---> f09fe80eb0e7
Step 2/4 : ARG CONF="/tmp/nginx.conf"
---> Using cache
---> ac081589c644
Step 3/4 : LABEL Author=xm
---> Using cache
---> 53b9b0ba4460
Step 4/4 : RUN touch "${CONF}"
---> Running in 50debe96f876
Removing intermediate container 50debe96f876
---> d8680a2433bc
Successfully built d8680a2433bc
Successfully tagged nginx:v15.2
# 運行容器查看:
[root@docker ~]# docker run --rm nginx:v15.2 ls /etc/test.conf -l
-rw-r--r-- 1 root root 0 Feb 27 11:18 /etc/test.conf
3.15 ONBULD
''''用于在Dockerfile中定義一個觸發器,當制作出來的鏡像被別人用于基礎鏡像時候自動觸發,
語法:
ONBUILD [INSTRUCTION]
解釋:
INSTRUCTION: # 指令可以是RUN 、COPY等
注意事項:
- ONBUILD不會觸發FROM指令,
- 在鏡像標簽中應明確指出onbuild關鍵字,以標記使用其基礎鏡像會觸發其他指令
3.16 VOLUME
''''用于在image中創建一個掛載目錄,以掛載宿主機上的目錄
語法:
VOLUME <path>
VOLUME ["path"]
解釋:
path:代表容器中的目錄,與docker run 不同,
Dockerfile中不能指定宿主機目錄,默認使用docker管理的掛載點
示例:
VOLUME ["/var/log/“]
VOLUME /myvol
四、使用multi-stage
''''在構建鏡像程序中,我們可能只需要某些鏡像的產物,比如在運行一個go程式需要先go程式包編譯后才運行,如果在一個鏡像里面完成,先要經過安裝編譯環境,程式編譯完再安裝運行環境,最后運行程式,這樣的鏡像體積往往比較大,不利于我們使用,而真正我們需要的鏡像是只有程式包和運行環境,編譯環境的構建在運行容器時候是不需要的,所以Docker提供了一種解決方案就是multi-stage(多階段構建),
''''Docker允許多個鏡像的構建可以使用同一個Dockerfile,每個鏡像構建程序可以稱之為一個stage,簡單理解就是一個FROM指令到下一個FROM指令,而每個stage可使用上一個stage程序的產物或環境(其實還支持其他鏡像的),這樣一來,最終所得鏡像體積相對較小,不僅如此多階段構建同樣可以很方便地將多個彼此依賴的專案通過一個Dockerfile就可輕松構建出期望的容器鏡像,而不用擔心鏡像太大、專案環境依賴等問題,
''''通過上述介紹,我們可以在第一個stage將go程式編譯得到編譯后程式包,然后在第二個stage中直接拷貝編譯好的go程式包到運行環境中,最后的鏡像中就只有程式包和運行環境,以下作為示例:
FROM golang:1.7.3
WORKDIR /go/src/github.com/alexellis/href-counter/
RUN go get -d -v golang.org/x/net/html
COPY app.go .
RUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app .
FROM alpine:latest
RUN apk --no-cache add ca-certificates
WORKDIR /root/
COPY --from=0 /go/src/github.com/alexellis/href-counter/app .
CMD ["./app"]
''''在以上Dockerfile中存在兩個FROM指令,也就是兩個stage,第一個stage用于構建產物,而在第二個stage中使用COPY --from=0 意思將第一個stage中的/go/src/github.com/alexellis/href-counter/app拷貝到.目錄,第二個stage僅僅相當于執行copy就有了構建產物,不用在安裝編譯環境,鏡像會很縮小,
4.1 命名stage
''''默認情況下,stage未命名,可以通過整數來參考它們,第一個stage表示0,第二個表1以此類推, 但是,當有多個stage時候,這樣會顯得麻煩,Docker提供AS 語法可以為stage命名:
FROM golang:1.7.3 as builder
然后在另一個stage中使用:
COPY --from=builder /go/src/github.com/alexellis/href-counter/app .
4.2 使用本地stage
''''除了可以使用Dockerfile中的stage外,構建鏡像時候還可以直接使用本地已存在的環境和產物,例如:
COPY --from=nginx:latest /etc/nginx/nginx.conf /nginx.conf
五,構建鏡像建議
-
基礎鏡像盡量選擇比體積較小的鏡像,如每個官方發行的alpine鏡像,雖然這版本鏡像比較小,但是與之帶來的是利用該類鏡像運行的容器中排錯的命令很少;
-
使用RUN指令時候,盡量把多個RUN指令合并為一個,通常做法是使用&&符號;
-
通過multi-stage方法減少一些不必要使用的環境來減小鏡像;
-
安裝完成軟體同時洗掉一些不需要的檔案或目錄;
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/248921.html
標籤:其他