2. 程式人生 > >Docker技術入門與實戰 第8章 使用Dockerfile建立映象

Docker技術入門與實戰 第8章 使用Dockerfile建立映象

阿新 發佈:2018-12-26

Dockerfile是一個文字格式的配置檔案,使用者可以使用Dockerfile來快速建立自定義映象。

本章首先介紹Dockerfile典型的基本結構和它支援的眾多指令,並具體講解通過這些指令來編寫定製映象的Dockerfile,以及如何生成映象。最後介紹使用Dockerfile的一些最佳實踐經驗。

8.1 基本結構

下在是Docker Hub 上兩個熱門映象的Dockerfile的例子,可以幫助讀者對Dockerfile結構有個基本的認識:

第一個例子是在debian:stretch基礎映象上安裝Nginx環境,從而建立一個新的nginx 映象

FROM debian:stretch-slim

LABEL maintainer="NGINX Docker Maintainers <
 
[email protected]>"

ENV NGINX_VERSION 1.13.12-1~stretch
ENV NJS_VERSION   1.13.12.0.2.0-1~stretch

RUN set -x \
	&& apt-get update \
	&& apt-get install --no-install-recommends --no-install-suggests -y gnupg1 apt-transport-https ca-certificates \
	&& \
	NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62; \
	found=''; \
	for server in \
		ha.pool.sks-keyservers.net \
		hkp://keyserver.ubuntu.com:80 \
		hkp://p80.pool.sks-keyservers.net:80 \
		pgp.mit.edu \
	; do \
		echo "Fetching GPG key $NGINX_GPGKEY from $server"; \
		apt-key adv --keyserver "$server" --keyserver-options timeout=10 --recv-keys "$NGINX_GPGKEY" && found=yes && break; \
	done; \
	test -z "$found" && echo >&2 "error: failed to fetch GPG key $NGINX_GPGKEY" && exit 1; \
	apt-get remove --purge --auto-remove -y gnupg1 && rm -rf /var/lib/apt/lists/* \
	&& dpkgArch="$(dpkg --print-architecture)" \
	&& nginxPackages=" \
		nginx=${NGINX_VERSION} \
		nginx-module-xslt=${NGINX_VERSION} \
		nginx-module-geoip=${NGINX_VERSION} \
		nginx-module-image-filter=${NGINX_VERSION} \
		nginx-module-njs=${NJS_VERSION} \
	" \
	&& case "$dpkgArch" in \
		amd64|i386) \
# arches officialy built by upstream
			echo "deb https://nginx.org/packages/mainline/debian/ stretch nginx" >> /etc/apt/sources.list.d/nginx.list \
			&& apt-get update \
			;; \
		*) \
# we're on an architecture upstream doesn't officially build for
# let's build binaries from the published source packages
			echo "deb-src https://nginx.org/packages/mainline/debian/ stretch nginx" >> /etc/apt/sources.list.d/nginx.list \
			\
# new directory for storing sources and .deb files
			&& tempDir="$(mktemp -d)" \
			&& chmod 777 "$tempDir" \
# (777 to ensure APT's "_apt" user can access it too)
			\
# save list of currently-installed packages so build dependencies can be cleanly removed later
			&& savedAptMark="$(apt-mark showmanual)" \
			\
# build .deb files from upstream's source packages (which are verified by apt-get)
			&& apt-get update \
			&& apt-get build-dep -y $nginxPackages \
			&& ( \
				cd "$tempDir" \
				&& DEB_BUILD_OPTIONS="nocheck parallel=$(nproc)" \
					apt-get source --compile $nginxPackages \
			) \
# we don't remove APT lists here because they get re-downloaded and removed later
			\
# reset apt-mark's "manual" list so that "purge --auto-remove" will remove all build dependencies
# (which is done after we install the built packages so we don't have to redownload any overlapping dependencies)
			&& apt-mark showmanual | xargs apt-mark auto > /dev/null \
			&& { [ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; } \
			\
# create a temporary local APT repo to install from (so that dependency resolution can be handled by APT, as it should be)
			&& ls -lAFh "$tempDir" \
			&& ( cd "$tempDir" && dpkg-scanpackages . > Packages ) \
			&& grep '^Package: ' "$tempDir/Packages" \
			&& echo "deb [ trusted=yes ] file://$tempDir ./" > /etc/apt/sources.list.d/temp.list \
# work around the following APT issue by using "Acquire::GzipIndexes=false" (overriding "/etc/apt/apt.conf.d/docker-gzip-indexes")
#   Could not open file /var/lib/apt/lists/partial/_tmp_tmp.ODWljpQfkE_._Packages - open (13: Permission denied)
#   ...
#   E: Failed to fetch store:/var/lib/apt/lists/partial/_tmp_tmp.ODWljpQfkE_._Packages  Could not open file /var/lib/apt/lists/partial/_tmp_tmp.ODWljpQfkE_._Packages - open (13: Permission denied)
			&& apt-get -o Acquire::GzipIndexes=false update \
			;; \
	esac \
	\
	&& apt-get install --no-install-recommends --no-install-suggests -y \
						$nginxPackages \
						gettext-base \
	&& apt-get remove --purge --auto-remove -y apt-transport-https ca-certificates && rm -rf /var/lib/apt/lists/* /etc/apt/sources.list.d/nginx.list \
	\
# if we have leftovers from building, let's purge them (including extra, unnecessary build deps)
	&& if [ -n "$tempDir" ]; then \
		apt-get purge -y --auto-remove \
		&& rm -rf "$tempDir" /etc/apt/sources.list.d/temp.list; \
	fi

# forward request and error logs to docker log collector
RUN ln -sf /dev/stdout /var/log/nginx/access.log \
	&& ln -sf /dev/stderr /var/log/nginx/error.log

EXPOSE 80

STOPSIGNAL SIGTERM

CMD ["nginx", "-g", "daemon off;"]

第二個例子是基於buildpack-deps:stretch-scm基礎映象,安裝Golang相關環境,製作一個GO語言的執行環境映象:

FROM buildpack-deps:stretch-scm

# gcc for cgo
RUN apt-get update && apt-get install -y --no-install-recommends \
		g++ \
		gcc \
		libc6-dev \
		make \
		pkg-config \
	&& rm -rf /var/lib/apt/lists/*

ENV GOLANG_VERSION 1.10.2

RUN set -eux; \
	\
# this "case" statement is generated via "update.sh"
	dpkgArch="$(dpkg --print-architecture)"; \
	case "${dpkgArch##*-}" in \
		amd64) goRelArch='linux-amd64'; goRelSha256='4b677d698c65370afa33757b6954ade60347aaca310ea92a63ed717d7cb0c2ff' ;; \
		armhf) goRelArch='linux-armv6l'; goRelSha256='529a16b531d4561572db6ba9d357215b58a1953437a63e76dc0c597be9e25dd2' ;; \
		arm64) goRelArch='linux-arm64'; goRelSha256='d6af66c71b12d63c754d5bf49c3007dc1c9821eb1a945118bfd5a539a327c4c8' ;; \
		i386) goRelArch='linux-386'; goRelSha256='ea4caddf76b86ed5d101a61bc9a273be5b24d81f0567270bb4d5beaaded9b567' ;; \
		ppc64el) goRelArch='linux-ppc64le'; goRelSha256='f0748502c90e9784b6368937f1d157913d18acdae72ac75add50e5c0c9efc85c' ;; \
		s390x) goRelArch='linux-s390x'; goRelSha256='2266b7ebdbca13c21a1f6039c9f6887cd2c01617d1e2716ff4595307a0da1d46' ;; \
		*) goRelArch='src'; goRelSha256='6264609c6b9cd8ed8e02ca84605d727ce1898d74efa79841660b2e3e985a98bd'; \
			echo >&2; echo >&2 "warning: current architecture ($dpkgArch) does not have a corresponding Go binary release; will be building from source"; echo >&2 ;; \
	esac; \
	\
	url="https://golang.org/dl/go${GOLANG_VERSION}.${goRelArch}.tar.gz"; \
	wget -O go.tgz "$url"; \
	echo "${goRelSha256} *go.tgz" | sha256sum -c -; \
	tar -C /usr/local -xzf go.tgz; \
	rm go.tgz; \
	\
	if [ "$goRelArch" = 'src' ]; then \
		echo >&2; \
		echo >&2 'error: UNIMPLEMENTED'; \
		echo >&2 'TODO install golang-any from jessie-backports for GOROOT_BOOTSTRAP (and uninstall after build)'; \
		echo >&2; \
		exit 1; \
	fi; \
	\
	export PATH="/usr/local/go/bin:$PATH"; \
	go version

ENV GOPATH /go
ENV PATH $GOPATH/bin:/usr/local/go/bin:$PATH

RUN mkdir -p "$GOPATH/src" "$GOPATH/bin" && chmod -R 777 "$GOPATH"
WORKDIR $GOPATH

下面講解Dockerfile中各種指令的應用。

8.2 指令說明

    指令的一般格式為INSTRUCTION argument,指令包括FROM、MAINTAINER、RUn等,參見表8-1

    表8-1 Dokcerfile指令說明


下面分別進行介紹。

1.FROM

指定所建立映象的基礎映象,如果本地不存在,則預設會去Docker Hub下載指定映象。

格式為 FROM<image>,或FROM<image><tag>,或FROM<image>@<digest>。

2. MAINTAINER

指定維護者資訊,格式為MAINTAINER<name>。例如:

MAINTAINER [email protected]

該資訊會寫入生成映象的Author屬性域中。

3. RUN

執行指定命令。

格式為RUN<command>或RUN["executable","parame1","param2"]。注意,後一個指令會被解析為Json陣列,因此必須用雙引號。

前者預設將在shell終端中執行命令,即/bin/sh -c;後者則使用exec執行,不會啟動shell環境。

指定使用其他終端型別可以通過第二種方式來實現,例如RUN["/bin/bash","-c","ehco hello"]。

每條RUN指令將在當前映象的基礎上執行指定命令,並提交為新的映象。當命令較長時可以使用\來換行。例如:

RUN set -x \
	&& apt-get update \
	&& apt-get install --no-install-recommends --no-install-suggests -y gnupg1 apt-transport-https ca-certificates \
	&& \
	NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62; \
	found=''; \

4.CMD 

CMD指令用來指定啟動容器時預設執行的命令。它支援三種格式:

        CMD ["executable","param1","param2"]使用exec執行,是推薦使用的方式;

        CMD command param1 param2 在/bin/sh中執行,提供給需要互動的應用;

        CMD["param1","parma2"]提供給ENTRYPOINT的預設引數。

每個Dockerfile只能有一條CMD命令。如果指定了多條命令,只有最後一條會被執行。

如果使用者啟動容器時手動指定了執行的命令(作為run的引數),則會覆蓋掉CMD指定的命令。

5.LABEL

LABEL指令用來指定生成映象的元資料標籤資訊。

格式為LABEL <key>=<value> <key>=<value> <key>=<value>...。

例如:

LABEL version="1.0"
LABEL description="This text illustrates \ that label -v alues can span multiple lines."

6. EXPOSE

    宣告映象內服務所監聽埠。

    格式為EXPOSE <port>[<port>...]。

    例如:

EXPOSE 22 80 443

注意,該指令只是起到宣告作用,並不會自動完成埠對映。

         在啟動容器時需要使用-P,Docker主機會自動分配一個宿主主機的臨時埠轉發到指定埠;使用-p,則可以具體指定哪個個宿主主機的本地埠會對映過來。

7.ENV 

指定環境變數,在映象生成過程中會被後續RUN指令使用,在映象啟動的容器中也會存在。

格式為ENV<key><value> 或ENV<key>=<value>...

例如:

ENV NGINX_VERSION 1.13.12-1~stretch
ENV NJS_VERSION   1.13.12.0.2.0-1~stretch

8. ADD

該命令將複製指定的<src>路徑下的內容到容器中的<dest>路徑下。

    格式為ADD<src><dest>。

其中<src>可以是Dockerfile所在目錄的一個相對路徑(檔案或目錄),也可以是一個URL,還可以是一個tar檔案(如果為tar檔案,會自動解壓到<dest>路徑下)。<dest>可以是映象內的絕對路徑,或者相對於工作目錄(WORKDIR)的相對路徑。

路徑支援正則格式,例如:

ADD *.c /code/

9.COPY

    格式為COPY<src><dest>。

    複製本地主機的<src>(為Dockerfile所在目錄的相對路徑、檔案或目錄)下的內容到映象中的<dest>下。目標路徑不存在時,會自動建立。

    路徑同樣支援正則格式。

    當使用本地目錄為源目錄時,推薦使用COPY。

10.ENTRYPOINT

指定映象的預設入口命令,該入口命令會在啟動容器時作為根命令執行,所有傳入值作為該命令的引數。

支援兩種格式:

ENTRYPOINT ["executable","param1","param2"] (exec呼叫執行);

ENTRYPOINT command param1 param2 (shell中執行)。

此時,CMD指令指定值將作為根命令的引數。

每個Dockerfile中只能有一個ENTRYPOINT,當指定多個時,只有最後一個有效。

在執行時,可以被--entrypoint引數覆蓋掉,如docker run --entrypoint。

 11.VOLUME

建立一個數據卷掛載點。

格式為VOLUME["/data"]

可以從本地主機或其它容器掛載資料卷,一般使用者來存放資料庫和需要儲存的資料等。

12.USER

指定執行容器時的使用者名稱或UID,後續的RUN等指令也會使用指定的使用者身份。

RUN groupadd -r postgres && useradd -r -g postgres postgres

格式人USER daemon。

當服務不需要管理員許可權時,可以通過命令指定執行使用者,並且可以在之前建立所需要的使用者。例如:

要臨時獲取管理員許可權可以使用gosu或sudo。

13.WORKDIR

為後續的RUN、 CMD和ENTRYPOINT指令配置工作目錄。

格式為WORKDIR /path /to / wrokdir。

可以使用多個WORKDIR指令,後續命令如果引數是相對路徑,則會基於之前命令指定的路徑。例如:

WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd

則最終路徑為/a/b/c。

14.ARG 

指定一些映象內使用的引數(例如版本號資訊等),這些引數在執行docker build命令時才以--build-arg<varname>=<value>格式傳入。

格式為ARG<name>[default valus>]。

則可以用docker build --build arg <name>=<value>,來指定引數值。

15.ONBUILD

配置當所建立的映象作為其他映象的基礎映象時,所執行的建立操作指令。

格式為ONBUILD[INSTRUCTION]。

例如,Dockerfile使用如下的內容建立了映象image-A:

[...]
ONBUILD ADD ./app/src
ONBUILD RUN /usr/local/bin/python-build --dir /ap/src
[...]

如果基於image-A 建立新的映象時,新的Dockerfile中使用FROM image-A 指定基礎映象,會自動執行ON-BUILD指令內容,等價與在後面添加了兩條指令:

FROM image-A
#Automatically run the following
ADD ./app/src
RUN /usr/local/bin/python-build --dir /app/src

使用ONBUILD指令的映象,推薦在標籤中註明,例如ruby:1.9-onbuild。

16. STOPSIGNAL

    指定所建立映象啟動的容器接收退出的資訊值。例如:

STOPSIGNAL signal

17.HEALTHCHECK

配置所啟動容器如何進行鍵康檢查(如何判斷健康與否),自Docker 1.12開始。

格式有兩種:

        HEALTHCHECK [OPTIONS] CMD command:根據所執行命令返回值是否為0來判斷;

        HEALTHCHECK NONE:禁止基礎映象中的健康檢查。

         -- interval=DURATION(預設為:30s):過多久檢查一次;

        --timeout=DURATION(預設為30s):每次檢查等待結果的超時;

        --retries=N(預設為:3):如果失敗了,重試幾次才最終確定失敗。

18. SHELL

    指定其他命令使用shell時的預設shell型別。

SHELL ["executable","parametres"]

注意:

    對於Window系統,建議在Docker開頭新增#escapt=`來指定轉義資訊。

8.3 建立映象

    編寫完成Dockerfile之後,可以通過docker build命令建立映象

    基本的格式為docker build[選項][內容路徑]該命令將讀取指定路徑下,(包括子目錄)的Dockerfile,並將該路徑下的所有內容傳送給Docker服務端,由服務端來建立映象。因此除非生成映象需要,否則一般建議放置Dockerfile的目錄為空目錄。

例如,指定Dockerfilel所在路徑為/tmp/docker_builder/,並且希望生成映象標籤為build_repo/first_image,可以使用下面的命令:

$docker build -t build_repo/first_image /tmp/docker_builder/

8.4 使用.dockerignore檔案

8.5 最佳實踐

        精簡映象用途:

        選用合適的基礎映象

        提供足夠清晰的命令註釋和維護者資訊:

        正確使用版本號

        減少映象層數

        及時刪除臨時檔案和快取檔案

        提高生成速度

    調整合理的指令順序

    減少外部源的干擾

8.6 本章小結

    本章主要介紹了圍繞Dockerfile檔案構建映象的過程,包括Dockerfile的基本結構、所支援的內部指令,使用它建立映象的基本過程,以及合理構建映象的最佳實踐。在使用Dockerfile構建映象的過程中,讀者會體會到Docker "一點修改代替大量更新"的靈活之處。

    當然,編寫一個高質量的Dockerfile並不是一件容易的事情,需要一定時間的學習和實踐,在本書的第二部分中,筆者也給出了大量熱門映象的Dockerfile,供大家學習參考。

相關推薦

Docker技術入門實戰 8 使用Dockerfile建立映象

Dockerfile是一個文字格式的配置檔案,使用者可以使用Dockerfile來快速建立自定義映象。本章首先介紹Dockerfile典型的基本結構和它支援的眾多指令,並具體講解通過這些指令來編寫定製映象的Dockerfile,以及如何生成映象。最後介紹使用Dockerfil

Kubernetes權威指南2版 和 Docker技術入門實戰2版 兩本容器的書下載地址

Docker技術入門與實戰第2版目錄[0第0]2版前言[0第0]1版前言[0第0]一部分 基礎入門[0第0]1章 初識容器與Docker 31.1 什麼是Docker 31.2 為什麼要使用Docker 51.3 Docker與虛擬化 71.4 本章小結 9[0第0]2章 核心概念與安裝配置 102.1 核心

Docker技術入門實戰3版2018版》高清中文PDF下載

ESS 特性 安裝 騰訊雲 映射 oracl war 分享 alt 《Docker技術入門與實戰第3版2018版》高清中文PDF下載資料簡介:本書從Docker基本原理開始,深入淺出地講解Docker的構建與操作,內容系統全面,可幫助開發人員、運維人員快速部署Docker應

Docker技術入門實戰 第二版-學習筆記-8-網路功能network-1-單個host上的容器網路

Docker 中的網路功能介紹 Docker 允許通過外部訪問容器或容器互聯的方式來提供網路服務   1) 外部訪問容器

Docker技術入門實戰 第二版-學習筆記-8-網路功能network-2-相應配置

1) 快速配置指南(詳細使用下面會講) 其中有些命令選項只有在 Docker 服務啟動的時候才能配置,而且不能馬上生效 下面2個命令選項既可以在啟動服務時指定,也可以 Docker 容器啟動(doc

Docker技術入門實戰 第二版-學習筆記-8-網路功能network-3-容器訪問控制和自定義網橋

1)容器訪問控制 容器的訪問控制,主要通過 Linux 上的 iptables防火牆來進行管理和實現。 iptables是 Linux 上預設的防火牆軟體,在大部分發行版中都自帶。   容器訪問外部網路 容器要想訪問

Docker技術入門實戰 第二版-學習筆記-9-Docker Compose 專案-1-舉例說明

Docker Compose 是 Docker 官方編排(Orchestration)專案之一,負責快速在叢集中部署分散式應用 Compose 通過一個配置檔案來管理多個Docker容器,在配置檔案中,所有的容器通過services來定義,然後使用docker-compose

Docker技術入門實戰 第二版-學習筆記-10-Docker Machine 專案-1-cli

Docker Machine 是 Docker 官方編排(Orchestration)專案之一,負責在多種平臺上快速安裝 Docker 環境 Docker Machine是一種工具,它允許你在虛擬主機上安裝Docker引擎,並使用docker-machine命令管理主機。

Docker 技術入門實戰 》讀書筆記 ( CentOS 安裝 Docker )

PS :個人所有讀書筆記只記錄個人想要的內容,很可能原書大量內容沒有納入筆記中... ...  1. Docker 映象:一個只讀模板,是建立容器的基礎 。 2. Docker 容器:從映象建立執行的例項 ,可以看作是一個簡易版本的 Linux 系統環境 。 3. Do

Docker技術入門實戰》pdf

序一 序二 前言 作者簡介 第一部分 Docker入門 第1章 初識Docker 3 1.1 什麼是Docker 3 1.2 為什麼要使用Docker 5 1.3 虛擬化與Docker 7 1.4 本章小結 8 第2章 Docker的核心概念和安裝 9 2.1 核心概念 9 2.2 安裝Docker 11

docker技術入門實戰-映象、容器、倉庫

1.如果出現Cannot connect to the Docker daemon. Is the docker daemon running on this host? 解決辦法在控制檯輸入:>$ service docker start即可 2.hub.docke

李嘉璇 TensorFlow技術解析實戰 筆記 TensorFlow基礎知識

系統架構 最下層是網路通訊層和裝置管理層。網路通訊層包括 gRPC(google Remote Procedure Call Protocol)和遠端直接資料存取(Remote DirectMemory Access, RDMA),這都是在分散式計算時需要用到的。裝置管理層包

Docker技術入門實戰筆記

開發十年,就只剩下這套架構體系了! >>>   

機器學習實戰8預測數值型數據:回歸

矩陣 向量 from his sca ima 用戶 targe 不可 1.簡單的線性回歸 假定輸入數據存放在矩陣X中,而回歸系數存放在向量W中,則對於給定的數據X1,預測結果將會是                  這裏的向量都默認為列向量 現在的問題是手裏有一些x

Django入門實踐-12:復用模板(完結)

b- htm lin name color lock tar 現在 set http://127.0.0.1:8000/ http://127.0.0.1:8000/boards/1/ http://127.0.0.1:8000/boards/2/ http://127.

Django入門實踐-21:遷移(完結)

ast spa rfi django入門 () pic posit object HERE http://127.0.0.1:8000/boards/1/ python manage.py migrate #boards/models.py class Topic(

Django入門實踐-19:主題回復(完結)

borde comm object created ade tro blank type temp http://127.0.0.1:8000/boards/1/topics/1/reply/ http://127.0.0.1:8000/boards/1/topics/1

python入門實戰--

第三章  列表簡介 列表 由一系列按特定順序排列的元素組成。 在Python中, 用方括號([] ) 來表示列表, 並用逗號來分隔其中的元素。 可以將任何東西加入列表中, 其中的元素之間可以沒有任何關係 。msg = ['abc',123,'erfgg']訪問列表元素:只需要將元素位置或所引告訴p

易學筆記-Java入門語言總結-8 多型

前期繫結還是後期繫結:第8章 多型/8.2 轉機/8.2.1 方法呼叫繫結 對於C語言,沒有方法過載,所以所有的C語言都是前期繫結的; 對於Java,除了final和static方法,都是動態繫結的 因為final方法只能在本類使用,static方法只能屬

連結裝載8 linux共享庫的組織

由於動態連結的優點,大量的程式使用動態連結機制,導致系統裡面存在數量極為龐大的共享物件。必須得有很好的機制來管理這些共享庫,否則這些共享物件散落在各個目錄下,長期的維護,升級,都有會很大的問題。 8.1 共享庫版本 8.1.1 共享庫的相容性 共享庫的版本會不斷的更新,以修正原有