dockerfile

一、根据Dockerfile 构建出一个容器

Dockfile是一种被Docker程序解释的脚本，Dockerfile由一条一条的指令组成，每条指令对应Linux下面的一条命令。Docker程序将这些Dockerfile指令翻译真正的Linux命令。Dockerfile有自己书写格式和支持的命令，Docker程序解决这些命令间的依赖关系，类似于Makefile。Docker程序将读取Dockerfile，根据指令生成定制的image。相比image这种黑盒子，Dockerfile这种显而易见的脚本更容易被使用者接受，它明确的表明image是怎么产生的。有了Dockerfile，当我们需要定制自己额外的需求时，只需在Dockerfile上添加或者修改指令，重新生成image即可，省去了敲命令的麻烦。

• Dockerfile 由一行行命令语句组成，并且支持以 # 开头的注释行。

• Dockerfile的指令是忽略大小写的，建议使用大写，每一行只支持一条指令，每条指令可以携带多个参数。

Dockerfile的指令根据作用可以分为两种，构建指令和设置指令。

• 构建指令用于构建image，其指定的操作不会在运行image的容器上执行；
• 设置指令用于设置image的属性，其指定的操作将在运行image的容器中执行。

一般的，Dockerfile 分为四部分：

• 基础镜像信息
• 维护者信息
• 镜像操作指令
• 容器启动时执行指令

# This dockerfile uses the ubuntu image 
# VERSION 2 - EDITION 1 
# Author: docker_ user 
# Command format: Instruction [arguments / command] .. 
# 第一行必须指定基于的基础镜像 
FROM ubuntu 
# 维护者信息 
MAINTAINER docker_ user docker_ user@ email. com 
# 镜像的操作指令 (构建指令)
RUN echo "deb http:// archive. ubuntu. com/ ubuntu/ raring main universe" >> /etc/ apt/ sources. list 
RUN apt- get update && apt- get install -y nginx 
RUN echo "\ndaemon off;" >> /etc/ nginx/ nginx. conf 
# 容器启动时执行指令 （设置指令）
CMD /usr/ sbin/ nginx

其中，一开始必须指明所基于的镜像名称，接下来推荐说明维护者信息。

后面则是镜像操作指令，例如 RUN 指令， RUN 指令将对镜像执行跟随的命令。

每运行一条 RUN 指令，镜像添加新的一层，并提交。

最后是 CMD 指令，来指定运行容器时的操作命令。

二、dockerfile指令

指令的一般格式为 INSTRUCTION arguments ，指令包括 FROM 、 MAINTAINER 、 RUN 等。

1、FROM（指定基础image）

构建指令，必须指定且需要在Dockerfile其他指令的前面。后续的指令都依赖于该指令指定的image。FROM指令指定的基础image可以是官方远程仓库中的，也可以位于本地仓库。

该指令有两种格式：

FROM <image>

指定基础image为该image的最后修改的版本。

或者：

FROM <image>:<tag>

指定基础image为该image的一个tag版本。

2、MAINTAINER（用来指定镜像创建者信息）

构建指令，用于将image的制作者相关的信息写入到image中。当我们对该image执行docker inspect命令时，输出中有相应的字段记录该信息。 格式：

MAINTAINER <name>

3、RUN（安装软件用）

构建指令，RUN可以运行任何被基础image支持的命令。如基础image选择了ubuntu，那么软件管理部分只能使用ubuntu的命令。

该指令有两种格式：

RUN <command> (the command is run in a shell - `/bin/sh -c`)

RUN ["executable", "param1", "param2" ... ] (exec form)

前者将在 shell 终端中运行命令，即 /bin/sh -c ；后者则使用 exec 执行。

指定使用其它终端可以通过第二种方式实现，例如 RUN ["/bin/bash", "-c", "echo hello"] 。 每条 RUN 指令将在当前镜像基础上执行指定命令，并提交为新的镜像。当命令较长时可以使用 \ 来换行。

4、CMD（设置container启动时执行的操作）

该指令有三种格式：

设置指令，用于container启动时指定的操作。该操作可以是执行自定义脚本，也可以是执行系统命令。

格式1

CMD ["executable","param1","param2"] 使用 exec 执行，推荐方式；

例如

cmd ["ls", "-l", "/etc/"]

格式2

CMD command param1 param2 在 /bin/sh 中执行，提供给需要交互的应用；

例如

cmd ls -l /etc/

当Dockerfile指定了ENTRYPOINT，那么使用下面的格式：

格式3

CMD ["param1","param2"] 提供给 ENTRYPOINT 的默认参数；

ENTRYPOINT指定的是一个可执行的脚本或者程序的路径，该指定的脚本或者程序将会以param1和param2作为参数执行。所以如果CMD指令使用上面的形式，那么Dockerfile中必须要有配套的ENTRYPOINT。

指定启动容器时执行的命令，*每个 Dockerfile 只能有一条 CMD 命令。如果指定了多条命令，只有最后一条会被执行。

如果用户启动容器时候指定了运行的命令，则会覆盖掉 CMD 指定的命令。

覆盖的例子

docker run -itd centos:centos6 /bin/bash

不覆盖的例子

docker run -itd centos:centos6

5、ENTRYPOINT（设置container启动时执行的操作）

The difference between ENTRYPOINT and CMD often confuses people. The key point to understand is that an entrypoint will always be run when the image is started, even if a command is supplied to the docker run invocation. If you try to supply a command, it will add that as an argument to the entrypoint, replacing the default defined in the CMD instruction. You can only override the entrypoint if you explicitly pass in an --entrypoint flag to the docker run command.

This means that running the image with a /bin/bash command will not give you a shell; rather it will supply /bin/bash as an argument to the clean_log script.

设置指令，指定容器启动时执行的命令，可以多次设置，但是只有最后一个有效。

实现执行多条ENTRYPOINT

• &&
• 编写脚本

两种格式:

ENTRYPOINT ["executable", "param1", "param2"]

ENTRYPOINT command param1 param2 （shell中执行）。

配置容器启动后执行的命令，并且不可被 docker run 提供的参数覆盖。

每个 Dockerfile 中只能有一个 ENTRYPOINT ，当指定多个时，只有最后一个起效。

该指令的使用分为两种情况，一种是独自使用，另一种和CMD指令配合使用。 当独自使用时，如果你还使用了CMD命令且CMD是一个完整的可执行的命令，那么CMD指令和ENTRYPOINT会互相覆盖只有最后一个CMD或者ENTRYPOINT有效。

例如： CMD指令将不会被执行，只有ENTRYPOINT指令被执行

CMD echo “Hello, World!”
ENTRYPOINT ls -l

另一种用法和CMD指令配合使用来指定ENTRYPOINT的默认参数，这时CMD指令不是一个完整的可执行命令，仅仅是参数部分；

ENTRYPOINT指令只能使用JSON方式指定执行命令，而不能指定参数。

例如：

FROM ubuntu
CMD ["-l"]
ENTRYPOINT ["/usr/bin/ls"]

6、USER（设置container容器的用户，默认是root用户）

格式为

USER daemon

指定运行容器时的用户名或 UID，后续的 RUN 也会使用指定用户。

当服务不需要管理员权限时，可以通过该命令指定运行用户。并且可以在之前创建所需要的用户，例 如：

RUN groupadd -r postgres && useradd -r -g postgres postgres

例如： 指定memcached的运行用户

ENTRYPOINT ["memcached"]
USER daemon

或

ENTRYPOINT ["memcached", "-u", "daemon"]

7、EXPOSE（指定容器需要映射到宿主机器的端口）

格式为

EXPOSE <port> [<port>...]

设置指令，该指令会将容器中的端口映射成宿主机器中的某个端口。当你需要访问容器的时候，可以不是用容器的IP地址而是使用宿主机器的IP地址和映射后的端口。

要完成整个操作需要两个步骤，首先在Dockerfile使用EXPOSE设置需要映射的容器端口，然后在运行容器的时候指定-p选项加上EXPOSE设置的端口，这样EXPOSE设置的端口号会被随机映射成宿主机器中的一个端口号。也可以指定需要映射到宿主机器的那个端口，这时要确保宿主机器上的端口号没有被使用。EXPOSE指令可以一次设置多个端口号，相应的运行容器的时候，可以配套的多次使用-p选项。

例如： 映射一个端口

EXPOSE port1
# 相应的运行容器使用的命令
docker run -p port1 image

例如： 映射多个端口

EXPOSE port1 port2 port3
# 相应的运行容器使用的命令
docker run -p port1 -p port2 -p port3 image
# 还可以指定需要映射到宿主机器上的某个端口号
docker run -p host_port1:port1 -p host_port2:port2 -p host_port3:port3 image

端口映射是docker比较重要的一个功能，原因在于我们每次运行容器的时候容器的IP地址不能指定而是在桥接网卡的地址范围内随机生成的。宿主机器的IP地址是固定的，我们可以将容器的端口的映射到宿主机器上的一个端口，免去每次访问容器中的某个服务时都要查看容器的IP的地址。

对于一个运行的容器，可以使用docker port加上容器中需要映射的端口和容器的ID来查看该端口号在宿主机器上的映射端口。

8、ENV（用于设置环境变量）

构建指令，指定一个环境变量，会被后续 RUN 指令使用，并在容器运行时保持。

格式:

ENV <key> <value>

设置了后，后续的RUN命令都可以使用，container启动后，

可以通过

docker inspect

查看这个环境变量，

也可以通过在

docker run --env key=value

时设置或修改环境变量。

假如你安装了JAVA程序，需要设置JAVA_HOME，那么可以在Dockerfile中这样写：

ENV JAVA_HOME /path/to/java/dirent

再例如：

ENV PG_MAJOR 9.3
ENV PG_VERSION 9.3.4
RUN curl http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress
ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH

9、ADD（从src复制文件到container的dest路径）

构建指令，所有拷贝到container中的文件和文件夹权限为0755，uid和gid为0(root)；

如果是一个目录，那么会将该目录下的所有文件添加到container中，不包括目录；

如果文件是可识别的压缩格式，则docker会帮忙解压缩（注意压缩格式）；

如果<src>是文件且<dest>中不使用斜杠结束，则会将<dest>视为文件，<src>的内容会写入<dest>；

例如

 add /etc/ hosts /hosts

此时会把hosts认为是文件，而不是目录

如果<src>是文件且<dest>中使用斜杠结束，则会<src>文件拷贝到<dest>目录下。

格式:

ADD <src> <dest>

该命令将复制指定的<src>到容器中的<dest>。

其中<src>可以是Dockerfile所在目录的一个相对路径；也可以是一个 URL；还可以是一个 tar 文件（自动解压为目录） <dest>是container中的绝对路径

10、COPY

格式为

COPY <src><dest>

复制本地主机的<src>（为 Dockerfile 所在目录的相对路径）到容器中的<dest>。

11、VOLUME（指定挂载点）

设置指令，使容器中的一个目录具有持久化存储数据的功能，该目录可以被容器本身使用，也可以共享给其他容器使用。我们知道容器使用的是AUFS，这种文件系统不能持久化数据，当容器关闭后，所有的更改都会丢失。当容器中的应用有持久化数据的需求时可以在Dockerfile中使用该指令。

格式:

VOLUME ["<mountpoint>"]

例如：FROM base

VOLUME ["/tmp/data"]

运行通过该Dockerfile生成image的容器，/tmp/data目录中的数据在容器关闭后，里面的数据还存在。例如另一个容器也有持久化数据的需求，且想使用上面容器共享的/tmp/data目录，那么可以运行下面的命令启动一个容器：

docker run -t -i -rm -volumes-from container1 image2 bash

container1为第一个容器的ID，image2为第二个容器运行image的名字。

12、WORKDIR（切换目录）

设置指令，可以多次切换(相当于cd命令)，对RUN,CMD,ENTRYPOINT生效。为后续的 RUN、CMD、ENTRYPOINT 指令配置工作目录。

格式:

WORKDIR /path/to/workdir

例如： 在 /p1/p2 下执行 vim a.txt

WORKDIR /p1
WORKDIR p2
RUN vim a.txt

可以使用多个 WORKDIR 指令，后续命令如果参数是相对路径，则会基于之前命令指定的路径。

例如

WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd

则最终路径为 /a/b/c 。

13、ONBUILD（在子镜像中执行）

ONBUILD <Dockerfile关键字>

ONBUILD 指定的命令在构建镜像时并不执行，而是在它的子镜像中执行。

格式为

ONBUILD [INSTRUCTION]

配置当所创建的镜像作为其它新创建镜像的基础镜像时，所执行的操作指令。 例如，Dockerfile 使用如下的内容创建了镜像 image-A 。

[...]
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src
[...]

如果基于 image-A 创建新的镜像时，新的Dockerfile中使用 FROM image-A 指定基础镜像时，会自动执行ONBUILD 指令内容。 等价于在后面添加了两条指令。

FROM image-A
#Automatically run the following
ADD . /app/src
RUN /usr/local/bin/python-build --dir /app/src

使用 ONBUILD 指令的镜像，推荐在标签中注明，例如 ruby:1.9-onbuild 。

三、创建镜像

编写完成 Dockerfile 之后，可以通过 docker build 命令来创建镜像。

基本的格式为 docker build [选项] 路径，该命令将读取指定路径下的 Dockerfile，并将该路径下所有内容发送给 Docker 服务端，由服务端来创建镜像。因此一般建议放置 Dockerfile 的目录为空目录。 要指定镜像的标签信息，可以通过 -t 选项，例如

$ sudo docker build –t myrepo/myapp /tmp/test1/

docker应用案例：使用dockerfile创建sshd镜像模板

1、创建一个sshd_dockerfile工作目录

编辑run.sh文件

在主机上生成ssh秘钥对，并创建authorized_keys文件

2、编写Dockerfile

以上选项的含义解释：

FROM centos:centos6选择一个已有的os镜像作为基础 MAINTAINER 镜像的作者 RUN yum install -y openssh-server sudo安装openssh-server和sudo软件包 添加测试用户admin，密码admin，并且将此用户添加到sudoers里

RUN useradd admin
RUN echo "admin:admin" | chpasswd
RUN echo "admin ALL=(ALL) ALL" >> /etc/sudoers

下面这两句比较特殊，在centos6上必须要有，否则创建出来的容器sshd不能登录

RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key

注意：centos7上必须要有，否则创建出来的容器sshd不能登录

RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
RUN ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key
RUN ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key

将公钥信息上传到远程连接用户的宿主目录的.ssh下

ADD authorized_keys /home/admin/.ssh/authorized_keys

启动sshd服务并且暴露22端口

RUN mkdir /var/run/sshd
EXPOSE 22
CMD ["/run.sh"] 也可以写成这种方式CMD ["/usr/sbin/sshd", "-D"]

在sshd_dockerfile目录下，使用docker build命令来创建镜像，注意：在最后还有一个”.”，表示使用当前目录中的dockerfile

执行docker images查看新生成的镜像

使用刚才建好的镜像运行一个容器，将容器的端口映射到主机的10122

在宿主主机打开一个终端，连接刚才新建的容器

注：admin用户是容器中的用户，192.168.1.102地址是宿主机的地址。

测试sudo执行授权命令：

或

用docker inspect查看容器的ip地址，在宿主机上直接ssh连接容器