Docker筆記(十一):Dockerfile詳解與最佳實踐
Dockerfile是一個文字檔案,包含了一條條指令,每條指令對應構建一層映象,Docker基於它來構建一個完整映象。本文介紹Dockerfile的常用指令及相應的最佳實踐建議。
1. 理解構建上下文(build context)
Docker映象通過docker build
指令構建,該指令執行時當前的工作目錄就是docker構建的上下文,即build context,上下文中的檔案及目錄都會作為構建上下文內容傳送給Docker Daemon。
docker build --no-cache -t helloapp:v2 -f dockerfiles/Dockerfile context |
如上 –no-cache 表示映象構建時不使用快取,-f 指定Dockerfile檔案位置, context 指定build context目錄。
將一些非必要的檔案包含到build context中,會導致build context過大,從而導致映象過大,會增加映象構建、推送及拉取的時間,以及容器執行時的大小。
執行docker build時會顯示build context的大小,
Sending build context to Docker daemon 187.8MB |
最佳實踐建議
-
使用.dockerignore來排除不需要加入到build context中的檔案,類似於.gitignore
-
不要安裝不必要的包,所有包含的東西都是映象必須的,非必須的不要包含。
-
解耦應用,如果應用有分層,解耦應用到多個容器,便於橫向擴充套件,如web應用程式棧包含web服務應用,資料庫,快取等。
-
最少化映象層數:只有RUN、COPY、ADD指令會建立映象層,其它指令建立臨時的中間映象,不會增大映象構建的大小
-
如果可能,儘可能使用多階段構建,只複製你需要的元件到最終映象,這使得你可以在中間構建階段包含工具與debug資訊,同時又不會增大最終映象的大小。
-
排序多行引數:將引數按字母排序,有利於避免包重複,及後續的維護與提高易讀性
2. FROM
作用
FROM指定基礎映象,每一個定製映象,必須以一個現有映象為基礎。因此一個Dockerfile中FROM是必須的指令,並且必須是第一條。使用格式,
FROM <image>:<tag> |
最佳實踐建議
-
如果不想以任何映象為基礎,則可以使用
FROM scratch
-
儘量使用官方映象作為基礎映象
-
推薦使用Alpine映象,因為它足夠輕量級(小於5MB),但麻雀雖小五臟俱全,基本具有Linux的基礎功能
3. RUN
作用
用來執行命令列命令,是最常用的指令之一。使用格式,
# shell格式,跟直接在命令列輸入命令一行 |
RUN指令建立的中間映象會被快取,並會在下次構建中使用。如果不想使用這些快取映象,可以在構建指令中指定–no-cache引數,如:docker build --no-cache
最佳實踐建議
-
將比較長的複雜的指令通過 \ 分為多行,讓Dockerfile檔案可讀性、可理解性、可維護性更高,將多個指令通過 && 連線,減少映象的層數
-
確保每一層只新增必需的東西,任何無關的東西都應該清理掉,如所有下載、展開的檔案,apt 快取檔案等,以儘可能減少映象各層的大小
-
將
RUN apt-get update
與RUN apt-get install
組合成一條RUN指令(將apt-get update單獨作為一條指令會因為快取問題導致後續的apt-get install 指令失敗)
比如先按如下Dockerfile建立了一個映象
FROM ubuntu:18.04 |
一段時間後,再按以下Dockerfile建立另一個映象
FROM ubuntu:18.04 |
因為RUN指令建立的映象層會被快取,所以下面映象的RUN apt-get update
並不會執行,直接使用了前面構建的映象層,這樣,curl、nginx就可能安裝已經過時的版本。
因此 在 apt-get update
之後立即接 && apt-get install -y
,這叫做“ cache busting”(快取破壞),也可以通過指定包的版本,來達到同樣的目的,這叫“ version pinning” (版本指定)示例:
RUN apt-get update && apt-get install -y \ |
-
使用管道(pipes)。一些RUN指令依賴於從一個指令管道輸出到另一個,如
RUN wget -O - https://some.site | wc -l > /number
Docker使用/bin/sh -c 直譯器來執行這些指令,只會評估管道最後一條命令的退出碼來確定是否成功,如上例中只要wc -l成功了就算wget失敗,也會認為是成功的。
如果要使管道命令的任何一步報錯都導致指令失敗,則可通過加 set -o pipefile &&
來實現,如
RUN set -o pipefail && wget -O - https://some.site | wc -l > /number |
不是所有的shell都支援-o pipefail
選項,如果不支援的話可以使用如下形式,顯式地指定一個支援的shell
RUN ["/bin/bash", "-c", "set -o pipefail && wget -O - https://some.site | wc -l > /number"] |
4. COPY | ADD
作用
COPY從構建上下文的目錄中複製檔案/目錄到映象層的目標路徑。使用格式,
COPY [--chown=<user>:<group>] <源路徑>... <目標路徑> |
同RUN一樣,也有兩種格式。原始檔可以多個,甚至可以是萬用字元,目標路徑是容器的絕對路徑,可以是相對工作目錄(WORKDIR指定)的相對路徑,目標路徑不存在時會自動建立。使用--chown=<user>:<group>
來改變檔案的所屬使用者與組。
ADD與COPY的使用格式與性質差不多,但功能更豐富,如源路徑可以是URL(下載後放到目標路徑下,檔案許可權為600),也可以為tar壓縮包,壓縮格式為gzip,bzip2及xz的情況下,ADD 指令將會自動解壓縮這個壓縮檔案到目標路徑去
最佳實踐建議
-
如果在Dockerfile中有多處需要使用不同的檔案,分別使用COPY,而不是一次性COPY所有的,這可以保證每一步的構建快取只會在對應檔案改變時,才會失效。比如
COPY requirements.txt /tmp/
RUN pip install --requirement /tmp/requirements.txt
COPY . /tmp/
如果把COPY . /tmp/
放在RUN上面,將使RUN層映象快取失效的場景更多——因為 . 目錄(當前目錄)中任何一個檔案的改變都會導致快取失效。
-
因為映象大小的原因, 使用ADD來獲取遠端包是非常不推薦的,應該使用curl或wget,這種方式可以在不再需要使用時刪除對應檔案,而不需要增加額外的層,如,應避免如下用法
ADD http://example.com/big.tar.xz /usr/src/things/
RUN tar -xJf /usr/src/things/big.tar.xz -C /usr/src/things
RUN make -C /usr/src/things all
而應使用
RUN mkdir -p /usr/src/things \ |
-
如果不需要使用ADD的自動解壓特性,儘量使用COPY(語義更清晰)
5. CMD
作用
CMD指定容器的啟動命令。容器實質就是程序,程序就需要啟動命令及引數,CMD指令就是用於指定預設的容器主程序的啟動命令的。使用格式
# shell格式 |
在容器執行時可以指定新的命令來覆蓋Dockerfile中設定的這個預設命令
最佳實踐建議
-
服務類映象建議:
CMD ["apache2","-DFOREGROUND"]
,CMD ["nginx", "-g", "daemon off;"]
容器程序都應以前臺執行,不能以後臺服務的形式執行,否則啟動就退出了。 -
其它映象,建議給一個互動式的shell,如bash,python,perl等:
CMD ["python"]
,CMD ["php", "-a"]
6. ENTRYPOINT
作用
ENTRYPOINT的目的和CMD一樣,都是在指定容器啟動時要執行的程式及引數。ENTRYPOINT在執行時也可以替代,不過比CMD要略顯繁瑣,需要通過docker run的引數 –entrypoint 來指定。如果指定了ENTRYPOINT,則CMD將只是提供引數,傳遞給ENTRYPOINT。使用ENTRYPOINT可以在容器執行時直接為預設啟動程式新增引數。與RUN指令格式一樣,ENTRYPOINT也分為exec格式和shell格式。
最佳實踐建議
-
ENTRYPOINT可用來指定映象的主命令,允許映象能像命令一樣執行,可以使用CMD來作為預設的標誌(引數),如
ENTRYPOINT ["s3cmd"]
CMD ["--help"]
直接run時,相當於執行了s3cmd --help
。也可以使用shell指令碼,在指令碼中做一些預處理的工作,如
COPY ./docker-entrypoint.sh / |
7. LABEL
作用
為映象新增label以方便組織映象,記錄licensce資訊,幫助自動化實現等等。字串中包含空格需要轉義或包含在引號中, 如
# Set one or more individual labels |
8. ENV
作用
ENV設定環境變數,無論是後面的其它指令,如 RUN(使用 $環境變數key 的形式) ,還是執行時的應用,都可以直接使用這裡定義的環境變數。使用格式有兩種,
#只能設定一個key value |
除了RUN,還有這些指令可以引用環境變數:ADD 、 COPY 、 ENV 、 EXPOSE 、 LABEL 、 USER 、 WORKDIR 、 VOLUME 、STOPSIGNAL 、 ONBUILD
最佳實踐建議
-
定義環境變數,更新PATH環境變數,如要使 CMD [“nginx”] 執行,可設定環境變數
ENV PATH /usr/local/nginx/bin:$PATH
-
ENV也可以用於定義常量,便於維護
9. ARG
作用
ARG設定構建引數,即docker build命令時傳入的引數。和ENV的效果差不多,都是設定環境變數,不同的是,ARG設定的是構建環境的環境變數,在容器執行時是不會存在這些環境變數的。
Dockerfile中的ARG指令是定義引數名稱,以及預設值(可選)。該預設值可以在執行構建命令docker build時用 –build-arg <引數名>=<值> 來覆蓋。使用格式,
ARG <引數名>[=<預設值>] |
如 VOLUME /data
, 任何向/data目錄寫入的資料都會寫入匿名卷。可以執行容器時覆蓋這個掛載設定 docker run -d -v host-path:/data xxxx
最佳實踐建議
-
VOLUME應該被用來暴露所有的資料儲存,配置儲存,或者被容器建立的檔案、目錄
-
如果資料動態變化,強烈建議使用VOLUME
12. EXPOSE
作用
EXPOSE指令是宣告執行時容器提供的服務埠,也只是一個宣告,在容器執行時並不會因為這個宣告應用就一定會開啟這個埠的服務,容器啟動時,還是需要通過 -p host-port:container-port
來實現對映。EXPOSE主要是幫助映象使用者瞭解這個映象服務的監聽埠,以方便進行對映配置,另一個用處是在執行時如果是使用隨機埠對映,也就是通過 docker run -P
的形式時,會自動隨機對映EXPOSE宣告的埠。使用格式,
EXPOSE <埠1> [<埠2>...] |
最佳實踐建議
-
如果一個服務不需要許可權也能執行,則使用USER來切換到非root使用者,如
RUN groupadd -r postgres && useradd --no-log-init -r -g postgres postgres
-
避免使用sudo,因為可能存在一些不可預見的TTY與訊號轉發行為導致問題,如果實在需要,考慮使用“gosu”。為了減少映象層數,應避免不斷切換USER
使用gosu示例# 建立 redis 使用者,並使用 gosu 換另一個使用者執行命令
RUN groupadd -r redis && useradd -r -g redis redis
# 下載 gosu
RUN wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/
releases/download/1.7/gosu-amd64" \
&& chmod +x /usr/local/bin/gosu \
&& gosu nobody true
# 設定 CMD,並以另外的使用者執行
CMD [ "exec", "gosu", "redis", "redis-server" ]
14. HEALTHCHECK
作用
HEALTHCHECK用於檢查容器的健康狀態,Docker可通過健康狀態來決定是否對容器進行重新排程。使用格式
HEALTHCHECK [選項] CMD <命令> |
支援的選項為
-
–interval=<間隔> :兩次健康檢查的間隔,預設為30秒
-
–timeout=<時長> :執行健康檢查命令的超時時間,如果超時,則本次健康檢查就被視為失敗,預設30秒
-
–retries=<次數> :當連續失敗指定的次數後,將容器狀態置為unhealthy ,預設3次
命令的返回值決定了該次健康檢查的成功與否—— 0 :成功;1 :失敗;2 :保留(不要使用這個值),如:
FROM nginx |
它後面跟的是其它指令,比如 RUN , COPY 等,這些指令在當前映象構建時並不會被執行。
ONBUILD命令在本映象的子映象中執行,把ONBUILD想象為父映象為子映象宣告的一條指令,Docker會在子映象所有命令之前執行ONBUILD指令。
最佳實踐建議
-
當在ONBUILD指令中使用ADD或COPY時要注意,如果build context中沒有指定的資源,可能導致災難性的錯誤。
16. 用快取映象提高效率
Docker在構建映象時會複用快取中已經存在的映象,如果明確不使用快取,則可加引數docker build --no-cache=true
使用快取映象的規則
-
從一個已存在於快取的父映象開始構建,則會將當前映象的下一行指令與所有繼承於那個父映象的子映象比較,如果其中沒有一個是使用相同的指令構建的,則快取失效
-
大部分情況下,將Dockerfile中的指令與其中一個子映象簡單比較就夠了,但是某些指令需要更多的檢查與說明:對於ADD,COPY指令,檔案內容會被檢查,會計算每一個檔案的checksum,checksum中不會考慮最後修改及最後訪問時間,在快取中查詢時,checksum會與已經存在的映象進行比較,如果檔案中有修改,則快取失效。除了ADD,COPY命令,快取檢查不會檢視容器中的檔案來決定快取匹配,如處理
RUN apt-get -y update
命令時,容器中檔案的更新不會進行檢查來確定快取是否命中, 這種情況下, 只會檢查指令字串本身是否匹配。 -
一旦快取失效,所有後續的指令都會產生新的映象,不會再使用快取。
17. 其它映象構建方式
-
通過標準輸入來生成Dockerfile構建,不會發送build context(從stdin讀取build context,只包含Dockerfile),適用於一次性構建,不需要寫Dockerfile
# 將會構建一個名稱與tag均為none的映象
echo -e 'FROM busybox\nRUN echo "hello world"' | docker build -
#或
docker build - <<EOF
FROM busybox
RUN echo "hello world"
EOF
# 構建一個命名的映象
docker build -t myimage:latest - <<EOF
FROM busybox
RUN echo "hello world"
EOF
連字元 - 作為檔名告訴Docker從stdin讀取Dockerfile
-
使用stdin來生成Dockerfile, 但是使用當前目錄作為build context
# build an image using the current directory as context, and a Dockerfile passed through stdin
docker build -t myimage:latest -f- . <<EOF
FROM busybox
COPY somefile.txt .
RUN cat /somefile.txt
EOF -
使用遠端git倉庫構建映象,從stdin生成Dockerfile
docker build -t myimage:latest -f - https://github.com/docker-library/hello-world.git <<EOF
FROM busybox
COPY hello.c .
EOF
END
相關閱讀
Docker筆記(一):什麼是DockerDocker筆記(二):Docker管理的物件
Docker筆記(三):Docker安裝與配置
Docker筆記(四):Docker映象管理
Docker筆記(五):整一個自己的映象
Docker筆記(六):容器管理Docker筆記(七):常用服務安裝——Nginx、MySql、Redis
Docker筆記(八):資料管理
Docker筆記(九):網路管理
Docker筆記(十):使用Docker來搭建一套ELK日誌分析系統
作者:空山新雨
歡迎關注我的微信公眾號:jboost-ksxy
&n