Dockerfile詳解（三）

1.概述

建立Docker鏡像的方式有三種

docker commit指令：由容器生成鏡像；

Dockerfile檔案+docker build指令；

從本地檔案系統導入：OpenVZ的模闆。

關于這三種方式的大緻說明請參考yeasy/docker_practice的建立鏡像。

最近學習了Dockerfile檔案的相關配置，這裡做一下簡單的總結，并對之前一直感到有些迷惑的CMD和ENTRYPOINT指令做個差異對比。

2.Dockerfile檔案總結

Dockerfile 由一行行指令語句組成，并且支援以 # 開頭的注釋行。

一般地，Dockerfile 分為四部分：基礎鏡像資訊、維護者資訊、鏡像操作指令和容器啟動時執行指令。

四部分

指令

基礎鏡像資訊

FROM

維護者資訊

MAINTAINER

鏡像操作指令

RUN、COPY、ADD、EXPOSE等

容器啟動時執行指令

CMD、ENTRYPOINT

Dockerfile檔案的第一條指令必須是FROM，其後可以是各種鏡像的操作指令，最後是CMD或ENTRYPOINT指定容器啟動時執行的指令。

下面引用yeasy/docker_practice對Dockerfile中各個指令的介紹，

指令的一般格式為 INSTRUCTION arguments，指令包括 FROM、MAINTAINER、RUN 等。 格式為 FROM <image>或FROM <image>:<tag>。 第一條指令必須為 FROM 指令。并且，如果在同一個Dockerfile中建立多個鏡像時，可以使用多個 FROM 指令（每個鏡像一次）。 格式為 MAINTAINER <name>，指定維護者資訊。 RUN 格式為 RUN <command> 或 RUN ["executable", "param1", "param2"]。 前者将在 shell 終端中運作指令，即 /bin/sh -c；後者則使用 exec 執行。指定使用其它終端可以通過第二種方式實作，例如 RUN ["/bin/bash", "-c", "echo hello"]。 每條 RUN 指令将在目前鏡像基礎上執行指定指令，并送出為新的鏡像。當指令較長時可以使用 \ 來換行。 CMD 支援三種格式     CMD ["executable","param1","param2"] 使用 exec 執行，推薦方式；     CMD command param1 param2 在 /bin/sh 中執行，提供給需要互動的應用；     CMD ["param1","param2"] 提供給 ENTRYPOINT 的預設參數； 指定啟動容器時執行的指令，每個 Dockerfile 隻能有一條 CMD 指令。如果指定了多條指令，隻有最後一條會被執行。 如果使用者啟動容器時候指定了運作的指令，則會覆寫掉 CMD 指定的指令。 EXPOSE 格式為 EXPOSE <port> [<port>...]。 告訴 Docker 服務端容器暴露的端口号，供互聯系統使用。在啟動容器時需要通過 -P，Docker 主機會自動配置設定一個端口轉發到指定的端口。 ENV 格式為 ENV <key> <value>。 指定一個環境變量，會被後續 RUN 指令使用，并在容器運作時保持。 例如 ENV PG_MAJOR 9.3 ENV PG_VERSION 9.3.4 RUN curl -SL http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress && … ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH ADD 格式為 ADD <src> <dest>。 該指令将複制指定的 <src> 到容器中的 <dest>。 其中 <src> 可以是Dockerfile所在目錄的一個相對路徑；也可以是一個 URL；還可以是一個 tar 檔案（自動解壓為目錄）。 COPY 格式為 COPY <src> <dest>。 複制本地主機的 <src>（為 Dockerfile 所在目錄的相對路徑）到容器中的 <dest>。 當使用本地目錄為源目錄時，推薦使用 COPY。 ENTRYPOINT 兩種格式：     ENTRYPOINT ["executable", "param1", "param2"]     ENTRYPOINT command param1 param2（shell中執行）。 配置容器啟動後執行的指令，并且不可被 docker run 提供的參數覆寫。 每個 Dockerfile 中隻能有一個 ENTRYPOINT，當指定多個時，隻有最後一個起效。 VOLUME 格式為 VOLUME ["/data"]。 建立一個可以從本地主機或其他容器挂載的挂載點，一般用來存放資料庫和需要保持的資料等。 USER 格式為 USER daemon。 指定運作容器時的使用者名或 UID，後續的 RUN 也會使用指定使用者。 當服務不需要管理者權限時，可以通過該指令指定運作使用者。并且可以在之前建立所需要的使用者，例如：RUN groupadd -r postgres && useradd -r -g postgres postgres。要臨時擷取管理者權限可以使用 gosu，而不推薦 sudo。 WORKDIR 格式為 WORKDIR /path/to/workdir。 為後續的 RUN、CMD、ENTRYPOINT 指令配置工作目錄。 可以使用多個 WORKDIR 指令，後續指令如果參數是相對路徑，則會基于之前指令指定的路徑。例如 WORKDIR /a WORKDIR b WORKDIR c RUN pwd 則最終路徑為 /a/b/c。 ONBUILD 格式為 ONBUILD [INSTRUCTION]。 配置當所建立的鏡像作為其它新建立鏡像的基礎鏡像時，所執行的操作指令。 例如，Dockerfile 使用如下的内容建立了鏡像 image-A。 [...] ONBUILD ADD . /app/src ONBUILD RUN /usr/local/bin/python-build --dir /app/src 如果基于 image-A 建立新的鏡像時，新的Dockerfile中使用 FROM image-A指定基礎鏡像時，會自動執行 ONBUILD 指令内容，等價于在後面添加了兩條指令。 FROM image-A #Automatically run the followingADD . /app/srcRUN /usr/local/bin/python-build --dir /app/src 使用 ONBUILD 指令的鏡像，推薦在标簽中注明，例如 ruby:1.9-onbuild。

3.建立鏡像

編寫完Dockerfile檔案後，通過運作docker build指令來建立自定義的鏡像。Docker build指令格式如下：

docker build [options] <path> 該指令将讀取指定路徑下（包括子目錄）的 Dockerfile，并将該路徑下所有内容發送給 Docker 服務端，由服務端來建立鏡像。是以一般建議放置 Dockerfile 的目錄為空目錄。也可以通過 .dockerignore 檔案（每一行添加一條比對模式）來讓 Docker 忽略路徑下的目錄和檔案。

例如下面使用Dockerfile樣例來建立了鏡像test:0.0.1，其中-t選項用來指定鏡像的tag。Dockerfile檔案内容如下：

下面運作docker build指令生成鏡像test:0.0.1，

然後啟動該鏡像的容器來檢視結果，

Dockerfile檔案的每條指令生成鏡像的一層（注：一個鏡像不能超過127層）。Dockerfile中的指令被一條條地執行。每一步都建立一個新的容器，在容器中執行指令并送出修改。當所有指令執行完畢後，傳回最終的鏡像id。

4.Dockerfile檔案中的CMD和ENTRYPOINT指令差異對比

CMD指令和ENTRYPOINT指令的作用都是為鏡像指定容器啟動後的指令，那麼它們兩者之間有什麼各自的優點呢？

為了更好地對比CMD指令和ENTRYPOINT指令的差異，我們這裡再列一下這兩個指令的說明，

從上面的說明，我們可以看到有兩個共同點：

都可以指定shell或exec函數調用的方式執行指令；

當存在多個CMD指令或ENTRYPOINT指令時，隻有最後一個生效；

而它們有如下差異：

       差異1：CMD指令指定的容器啟動時指令可以被docker run指定的指令覆寫，而ENTRYPOINT指令指定的指令不能被覆寫，而是将docker run指定的參數當做ENTRYPOINT指定指令的參數。

       差異2：CMD指令可以為ENTRYPOINT指令設定預設參數，而且可以被docker run指定的參數覆寫；

下面分别對上面兩個差異點進行詳細說明，

CMD指令指定的容器啟動時指令可以被docker run指定的指令覆寫；而ENTRYPOINT指令指定的指令不能被覆寫，而是将docker run指定的參數當做ENTRYPOINT指定指令的參數。

下面有個命名為startup的可執行shell腳本，其功能就是輸出指令行參數而已。内容如下所示，

現在我們建立一個Dockerfile檔案，其将startup腳本拷貝到容器的/opt目錄下，并通過CMD指令指定容器啟動時運作該startup腳本。其内容如下，

然後我們通過運作docker build指令生成test:latest鏡像，

然後使用docker run啟動兩個test:latest鏡像的容器，第一個docker run指令沒有指定容器啟動時指令，第二個docker run指令指定了容器啟動時的指令為“/bin/bash -c 'echo Hello'”，

從上面運作結果可以看到，docker run指令啟動容器時指定的運作指令覆寫了Dockerfile檔案中CMD指令指定的指令。

将上面的Dockerfile中的CMD替換成ENTRYPOINT，内容如下所示，

同樣，通過運作docker build生成test:latest鏡像，

通過上面的運作結果可以看出，docker run指令指定的容器運作指令不能覆寫Dockerfile檔案中ENTRYPOINT指令指定的指令，反而被當做參數傳遞給ENTRYPOINT指令指定的指令。

CMD指令可以為ENTRYPOINT指令設定預設參數，而且可以被docker run指定的參數覆寫；

同樣使用上面的startup腳本。編寫Dockerfile，内容如下所示，

運作docker build指令生成test:latest鏡像，

下面運作docker run啟動兩個test:latest鏡像的容器，第一條docker run指令沒有指定參數，第二條docker run指令指定了參數arg3，其運作結果如下，

從上面第一個容器的運作結果可以看出CMD指令為ENTRYPOINT指令設定了預設參數；從第二個容器的運作結果看出，docker run指令指定的參數覆寫了CMD指令指定的參數。

CMD指令為ENTRYPOINT指令提供預設參數是基于鏡像層次結構生效的，而不是基于是否在同個Dockerfile檔案中。意思就是說，如果Dockerfile指定基礎鏡像中是ENTRYPOINT指定的啟動指令，則該Dockerfile中的CMD依然是為基礎鏡像中的ENTRYPOINT設定預設參數。

例如，我們有如下一個Dockerfile檔案，

通過運作docker build指令生成test:0.0.1鏡像，然後建立該鏡像的一個容器，檢視運作結果，

下面建立一個Dockerfile檔案，基礎鏡像是剛生成的test:0.0.1，通過CMD指定要通過echo列印字元串“in test:0.0.2”。檔案内容如下所示，

運作docker build指令生成test:0.0.2鏡像，然後通過運作docker run啟動一個test:0.0.2鏡像的容器來檢視結果，

從上面結果可以看到，鏡像test:0.0.2啟動的容器運作時并不是列印字元串”in test:0.0.2”，而是将CMD指令指定的指令當做基礎鏡像test:0.0.1中ENTRYPOINT指定的運作腳本startup的參數。