一、Dockerfile 指令详解

Dockerfile是一个用于编写docker镜像生成过程的文件，其有特定的语法。Dockerfile的基本指令有十三个，分别是：FROM、MAINTAINER、RUN、CMD、EXPOSE、ENV、ADD、COPY、ENTRYPOINT、VOLUME、USER、WORKDIR、ONBUILD。

1. FROM：用于指定基础镜像。
2. MAINTAINER：用于指定维护者信息。
3. RUN：用于执行命令。
4. CMD：用于执行特定的命令。
5. EXPOSE：用于标明这个镜像中的应用将会监听某个端口，并且希望能将这个端口映射到主机的网络界面上，使容器内的应用可以通过端口和外界交互。
6. ENV：用于设置环境变量。
7. ADD：用于从指定的URL地址下载内容复制到容器的文件系统中，还可以将压缩打包格式的文件解压后复制到指定位置。
8. COPY：用于将文件复制到容器中。
9. ENTRYPOINT：用于指定容器启动后执行的命令。
10. USER：用于设置运行容器时的用户。
11. WORKDIR：用于设置工作目录。
12. VOLUME：用于设置卷。
13. ONBUILD：用于设置当此镜像作为其他镜像的基础镜像时，所执行的构建操作。

1）FROM （指定基础image）

构建指令，必须指定且需要在Dockerfile其他指令的前面。后续的指令都依赖于该指定的image。FROM指令指定的基础image可以是官方远程仓库中的，也可以位于本地仓库。

该指令有两种格式：

FROM <image>
指定基础image为该image的最后修改的版本。或者：FROM <image>:<tag>
指定基础image为该image的一个tag版本。

2）MAINTAINER（用来指定镜像创建者信息）

构建指令，用于将image的制作者相关的信息写入到image中。当我们对该image执行docker inspect命令时，输出中有相应的字段记录该信息。

格式：
MAINTAINER <name>

3）RUN（安装软件用）

RUN指令用于在镜像构建过程中执行命令。这些命令可以是安装软件包、创建文件、设置环境变量等，用于定制镜像的功能。

RUN指令有两种格式：

1. RUN ：这种格式将在shell终端中运行命令，就像在Linux终端中执行命令一样。默认情况下，Linux上使用/bin/sh -c来执行命令，而Windows上使用cmd /S /C。例如，RUN echo “Hello, World!” 将在镜像中输出"Hello, World!"。

2. RUN [“executable”, “param1”, “param2”]：这种格式使用exec执行命令，是更推荐的方式，因为它可以避免shell注入攻击，并提供更清晰的命令参数分离。例如，RUN [“apt-get”, “install”, “-y”, “nginx”] 将在镜像中安装nginx软件包。

需要注意的是，每条RUN指令都会在当前镜像基础上执行指定命令，并提交为新的镜像层。因此，为了减少镜像大小和层数，建议将多个相关的命令合并到一条RUN指令中，并使用&&来连接它们。这样做可以减少镜像的构建时间和存储空间。

RUN指令在Dockerfile中非常常用，它使得我们可以在构建镜像的过程中自动化执行一系列命令，从而实现自定义和配置化的镜像构建过程。通过合理使用RUN指令，我们可以构建出功能完善、安全可靠且高效的Docker镜像。

使用示例

RUN apt-get update
RUN apt-get install -y curl

4）CMD（设置container启动时执行的操作）

CMD指令主要用于为执行的容器提供默认行为，即容器默认的启动命令。当运行容器时，如果声明了command，则不再使用image中的CMD默认所定义的命令。

CMD定义的三种方式包括：

CMD ["executable","param1","param2"]：运行一个可执行的文件并提供参数，这是首选形式。
CMD ["param1","param2"]：为ENTRYPOINT指定参数。
CMD command param1 param2：以“/bin/sh -c”的方法执行的命令。

需要注意的是，一个Dockerfile中只能有一个有效的CMD，当定义多个CMD的时候，只有最后一个才会起作用。CMD会被docker run之后的参数替换，如果我们在Dockerfile中指定了CMD指令，通过在docker run命令行中也指定了要运行的命令，命令行中的指令会覆盖Dockerfile中的CMD指令。

5）ENTRYPOINT（设置container启动时执行的操作）

设置指令，指定容器启动时执行的命令，可以多次设置，但是只有最后一个有效。

#两种格式：
ENTRYPOINT ["executable", "param1", "param2"] (like an exec, the preferred form)  
ENTRYPOINT command param1 param2 (as a shell)\

该指令的使用分为两种情况，一种是独自使用，另一种和CMD指令配合使用。

当独自使用时，如果你还使用了CMD命令且CMD是一个完整的可执行的命令，那么CMD指令和ENTRYPOINT会互相覆盖只有最后一个CMD或者ENTRYPOINT有效。

比如：

# CMD指令将不会被执行，只有ENTRYPOINT指令被执行  
CMD echo “Hello, World!”  
ENTRYPOINT ls -l

另一种用法和CMD指令配合使用来指定ENTRYPOINT的默认参数，这时CMD指令不是一个完整的可执行命令，仅仅是参数部分。ENTRYPOINT指令只能使用JSON方式指定执行命令，而不能指定参数。

FROM centos7  
CMD ["-l"]  
ENTRYPOINT ["/usr/bin/ls"]

6）USER(设置container容器的用户)

设置指令，设置启动容器的用户，默认是root用户

# 指定memcached的运行用户  
ENTRYPOINT ["memcached"]  
USER daemon  
或  
ENTRYPOINT ["memcached", "-u", "daemon"]

7）EXPOSE（指定容器需要映射到宿主机器的端口）

设置指令，该指令会将容器中的端口映射成宿主机器中的某个端口。

当你需要访问容器的时候，可以不是用容器的IP地址而是使用宿主机器的IP地址和映射后的端口。

要完成整个操作需要两个步骤：

• 首先在Dockerfile使用EXPOSE设置需要映射的容器端口
• 然后在运行容器的时候指定-p选项加上EXPOSE设置的端口，

这样EXPOSE设置的端口号会被随机映射成宿主机器中的一个端口号。

也可以指定需要映射到宿主机器的那个端口，这时要确保宿主机器上的端口号没有被使用。

EXPOSE指令可以一次设置多个端口号，相应的运行容器的时候， 可以配套的多次使用-p选项。

格式：
EXPOSE <port> [<port>...]# 映射一个端口
EXPOSE port1  # 相应的运行容器使用的命令  
docker run -p port1 image   # 映射多个端口  
EXPOSE port1 port2 port3  # 相应的运行容器使用的命令  
docker run -p port1 -p port2 -p port3 image  # 还可以指定需要映射到宿主机器上的某个端口号  
docker run -p host_port1:port1 -p host_port2:port2 -p host_port3:port3 image

端口映射是docker比较重要的一个功能，原因在于我们每次运行容器的时候容器的IP地址不能指定而是在桥接网卡的地址范围内随机生成的。宿主机器的IP地址是固定的，我们可以将容器的端口的映射到宿主机上的一个端口，免去每次访问容器中的某个服务时都要查看容器的IP的地址，对于一个运行的容器，可以使用docker port加上容器中需要映射的端口和容器的ID来查看该端口号在宿主机器上的映射端口。

8）ENV（用于设置环境变量）

构建指令，在image中设置一个环境变量

格式：

ENV <key> <value>

设置了后，后续的RUN命令都可以使用，container启动后，可以通过docker inspect查看这个环境变量，也可以通过在docker run --env key=value实时设置或修改环境变量。

假如你安装了JAVA程序，需要设置JAVA_HOME，那么可以在Dockerfile中这样写：

ENV JAVA_HOME /path/to/java/dirent

9）ADD （复制文件或目录到镜像中，支持远程 URL 和解压缩功能）

Dockerfile的ADD指令用于将主机构建环境（上下文）目录中的文件和目录，或者一个URL标记的文件，拷贝到镜像中。

格式：

ADD <src> <dest>

以下是ADD指令的一些关键点和行为：

1. 源文件/目录与目标路径：

   • 如果源路径是一个文件，并且目标路径以/结尾，那么Docker会将目标路径视为一个目录，并将源文件拷贝到该目录下。如果目标路径不存在，Docker会自动创建它。
   • 如果源路径是一个文件，并且目标路径不是以/结尾，那么Docker会将目标路径视为一个文件。如果目标路径不存在，Docker会创建一个新文件，其内容来自源文件。如果目标路径是一个已存在的文件，那么Docker会用源文件的内容覆盖它（仅覆盖内容，文件名保持不变）。
   • 如果目标路径实际上是一个已存在的目录，那么源文件会被拷贝到该目录下（这可能会导致混淆，所以最好显式地以/结尾目标路径）。

2. URL文件：除了本地文件或目录，ADD指令还支持从URL添加文件。但是，这种功能并不常见，因为它可能导致构建过程的不确定性和不可重复性（例如，如果URL内容发生变化）。

3. 自动解压：ADD指令有一个独特的功能，就是可以自动解压识别的压缩格式（如tar）。如果源文件是一个可识别的压缩格式，并且目标路径是一个目录，那么Docker会自动解压文件到目标目录中。

4. 权限和所有权：添加到镜像中的文件和目录将继承Dockerfile中USER和WORKDIR指令所指定的权限和所有权。

5. 与COPY指令的区别：ADD指令和COPY指令在功能上非常相似，都是用于将文件或目录从构建上下文拷贝到镜像中。然而，ADD指令提供了额外的功能，比如自动解压和URL支持，而这些功能在COPY指令中不可用。通常建议，如果不需要ADD的额外功能，最好使用COPY指令，因为它的语义更清晰。

6. 构建缓存：每次使用ADD指令时，Docker都会为该指令创建一个新的镜像层，并缓存该层。如果源文件没有发生变化，Docker将重用之前的缓存层，这可以加速构建过程。

ADD 命令可以使用以下选项：

• -from ：指定要复制的文件或目录的镜像。
• -chown ：指定要复制的文件或目录的所有者和组。
• -chmod ：指定要复制的文件或目录的权限。

以下是 ADD 命令的一些示例：

# 将当前上下文中的test.txt文件添加到镜像的/app目录中  
ADD test.txt /app/  # 从URL添加一个文件（尽管这不太常见）  
ADD https://example.com/remote-file.txt /app/remote-file.txtADD src/ /app
ADD src/index.html /app/index.html
ADD src/ /app/ -from my-image
ADD src/ /app/ -chown root:root
ADD src/ /app/ -chmod 755

请注意，由于ADD指令的某些行为可能会导致混淆，尤其是当目标路径是文件还是目录时，因此在撰写Dockerfile时务必小心。同时，考虑到构建的可重复性和清晰度，很多Docker开发者更倾向于使用COPY指令而不是ADD指令，除非确实需要ADD提供的特殊功能。

10）COPY（复制文件或目录到镜像中）

COPY 命令用于将本地文件或目录复制到容器中。语法如下：

COPY <src> <dest>

其中， src 是本地文件或目录的路径， dest 是容器中文件或目录的路径。

如果 src 是目录，则 dest 可以是目录或文件。如果 dest 是目录，则 src 中的所有文件和子目录都会被复制到 dest 中。如果 dest 是文件，则 src 中的所有文件都会被复制到 dest 中，并重命名为 dest 的文件名。

如果 src 是文件，则 dest 必须是文件。如果 dest 是目录，则 src 中的文件会被复制到 dest 中，并重命名为 dest 的文件名。

COPY 命令可以使用以下选项：

• -from ：指定要复制的文件或目录的镜像。
• -chown ：指定要复制的文件或目录的所有者和组。
• -chmod ：指定要复制的文件或目录的权限。

以下是 COPY 命令的一些示例：

COPY src/ /app
COPY src/index.html /app/index.html
COPY src/ /app/ -from my-image
COPY src/ /app/ -chown root:root
COPY src/ /app/ -chmod 755

COPY 命令是 Dockerfile 中非常常用的命令，它可以用于将应用程序的源代码、配置文件、数据库文件等复制到容器中。

11）VOLUME（指定挂载点）

设置指令，使容器中的一个目录具有持久化存储数据的功能，该目录可以被容器本身使用，也可以共享给其他容器使用。我们指定容器使用的是AUFS,这种文件系统不能持久化数据，当容器关闭后所有的更改都会丢失。当容器中的应用有持久化数据的需求时可以在Dockerfile中使用该指令。

格式：

VOLUME ["<mountpoint>"]
VOLUME /data
VOLUME /data1 /data2

使用VOLUME指令后，Docker会在容器中创建一个或多个匿名卷（anonymous volume），这些匿名卷将持久化存储容器中的数据。当容器删除时，这些匿名卷不会被自动删除，您需要手动删除它们。

您还可以使用docker run命令的-v选项将宿主机的目录或文件挂载到容器的挂载点上，实现宿主机与容器之间的数据共享。

需要注意的是，VOLUME指令只能在Dockerfile中使用，不能在容器运行时使用。如果您需要在容器运行时创建挂载点，可以使用docker run命令的-v选项。

RUN mkdir /myvol
RUN echo "hello wolrd" > /myvol/greeting
VOLUME ["/myvol"]

运行通过该Dockerfile生成image的容器，/myvol 目录中的数据在容器关闭后，里面的数据还存在。

该指令会创建匿名数据卷，可以通过docker volume ls指令查看目录位置

[root@localhost data]# docker volume ls
DRIVER    VOLUME NAME
local     5a89f86a6926edb5cac07e7b11fdde89f0dfa7284ca6add8bf09274bc1afea62
[root@localhost data]#

然后再通过docker volume inspect查看具体路径

[root@localhost data]# docker volume inspect 5a89f86a6926edb5cac07e7b11fdde89f0dfa7284ca6add8bf09274bc1afea62
[{"CreatedAt": "2024-01-04T04:36:33-05:00","Driver": "local","Labels": {"com.docker.volume.anonymous": ""},"Mountpoint": "/var/lib/docker/volumes/5a89f86a6926edb5cac07e7b11fdde89f0dfa7284ca6add8bf09274bc1afea62/_data","Name": "5a89f86a6926edb5cac07e7b11fdde89f0dfa7284ca6add8bf09274bc1afea62","Options": null,"Scope": "local"}
]
[root@localhost data]# 

12）WORKDIR（切换目录）

设置指令，可以多次切换（相当于cd命令），对RUN ,CMD,ENTRYPOINT生效。

格式：
WORKDIR /path/to/workdir# 在 /p1/p2 下执行 vim a.txt  
WORKDIR /p1 WORKDIR p2 RUN vim a.txt

13）ONBUILD（在子镜像中执行）

ONBUILD <Dockerfile关键字>ONBUILD指定的命令在构建镜像时并不执行，而是在它的子镜像中执行。

完整Dockerfile参考

# pull base image
#FROM 127.0.0.1:5000/centos6.7:latest
FROM hub.c.163.com/public/centos:6.7# maintainer
MAINTAINER      wlddhj "wlddhj@163.com"# update source
# pass# install req pkgs
#RUN yum update -y
RUN yum install -y bzip2# deploy jdk1.7.0_80
RUN mkdir -p /data/tmp
WORKDIR /data/tmp
RUN wget http://7mnldi.com1.z0.glb.clouddn.com/jdk-7u80-linux-x64.rpm\
&& yum install -y jdk-7u80-linux-x64.rpm# set jdk env
ENV JAVA_HOME=/usr/java/jdk1.7.0_80
ENV CLASSPATH=.:$JAVA_HOME/jre/lib/rt.jar:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
ENV PATH=$PATH:$JAVA_HOME/lib# deploy tomcat 7.0.33.0
RUN useradd tomcat\
&& mkdir -p /data/product/deploy#RUN mkdir /opt/apache-tomcat
WORKDIR /data/tmp#RUN wget http://7mnldi.com1.z0.glb.clouddn.com/apache-tomcat_7.0.33.0.tar.bz2
RUN wget http://7mnldi.com1.z0.glb.clouddn.com/apache-tomcat-7.0.72.tar.gz\
&& cd /data/tmp\
&& tar -xf apache-tomcat-7.0.72.tar.gz\
&& mv apache-tomcat-7.0.72 /opt/apache-tomcat\
&& chown -R tomcat.tomcat /opt/apache-tomcat# add tomcat's startup script
ADD ./tomcat /etc/init.d/tomcat
RUN chmod 755 /etc/init.d/tomcat# dir mapping
# pass# set tomcat env
# pass# deploy zabbix agent
# pass# clean yum cache
RUN yum clean all# clean wget cache
RUN rm -rf /data/tmp# expose ports
EXPOSE 8080# start tomcat
#ENTRYPOINT service tomcat start && tail -f /opt/apache-tomcat/logs/catalina.`date +'%Y-%m-%d'`.out
ENTRYPOINT service tomcat start && tail -f /opt/apache-tomcat/logs/catalina.out
#ENTRYPOINT service tomcat start

使用docker build 打包镜像

docker build 是 Docker 中用于从 Dockerfile 和上下文构建镜像的命令。以下是该命令的详细解释和常用选项：

基本用法

docker build [OPTIONS] PATH | URL | -

• PATH：本地文件系统上的一个目录路径，该目录包含 Dockerfile 和构建上下文。
• URL：Git 仓库的 URL，Docker 将从该仓库获取构建上下文和 Dockerfile。
• -：表示通过 STDIN 给出 Dockerfile 或上下文。

常用选项（OPTIONS）

• --build-arg：设置构建时的变量，这些变量可以在 Dockerfile 中通过 ARG 指令使用。
• --no-cache：不使用缓存，总是重新构建镜像。
• --compress：使用 gzip 压缩构建的上下文，然后再发送给 Docker 守护进程。注意：该选项在新版本的 Docker 中可能已被弃用或替换，具体请查阅官方文档。
• --disable-content-trust：默认值为 true，表示不对镜像进行内容信任验证。如果设置为 false，则会对镜像进行签名和验证。
• --file, -f：指定 Dockerfile 的完整路径，默认值为 PATH/Dockerfile。
• --isolation：设置容器的隔离技术，默认值为 default，表示使用宿主机的默认隔离技术。其他可选值包括 process 或 hyperv（Windows 平台）。
• --label：为生成的镜像设置元数据标签。
• --squash：将新构建出的多个层压缩为一个新层，但这样会使得镜像失去层之间的历史记录和可重用性。注意：在新版本的 Docker 中，该选项可能已被弃用或替换为其他功能。
• --tag, -t：设置镜像的名字和标签，格式为 name:tag 或 name。可以在一次构建中为一个镜像设置多个标签。
• --network：设置构建过程中容器使用的网络模式，默认值为 default。

注意事项

1. 构建上下文：构建上下文是 Docker 在构建镜像时所需的一组文件和目录。在执行 docker build 命令时，指定的 PATH 或 URL 实际上就是构建上下文的根目录。Dockerfile 中的指令（如 COPY）可以引用构建上下文中的文件或目录。需要注意的是，构建上下文中的所有文件和目录都会被发送到 Docker 守护进程，因此请确保不要包含不必要的大文件或敏感信息。
2. 缓存机制：为了提高构建效率，Docker 会缓存已经执行过的指令和结果。如果 Dockerfile 或构建上下文没有发生变化，那么 Docker 会直接使用缓存的结果而不是重新执行指令。可以通过 --no-cache 选项禁用缓存机制。
3. 内容信任：Docker 提供了一种内容信任机制来确保镜像的完整性和安全性。可以通过 --disable-content-trust 选项来禁用该功能（默认值为 true），但在生产环境中建议启用该功能并对镜像进行签名和验证。

更多参数说明

--build-arg=[] :设置镜像创建时的变量；
--cpu-shares :设置 cpu 使用权重；
--cpu-period :限制 CPU CFS周期；
--cpu-quota :限制 CPU CFS配额；
--cpuset-cpus :指定使用的CPU id；
--cpuset-mems :指定使用的内存 id；
--disable-content-trust :忽略校验，默认开启；
-f :指定要使用的Dockerfile路径；
--force-rm :设置镜像过程中删除中间容器；
--isolation :使用容器隔离技术；
--label=[] :设置镜像使用的元数据；
-m :设置内存最大值；
--memory-swap :设置Swap的最大值为内存+swap，"-1"表示不限swap；
--no-cache :创建镜像的过程不使用缓存；
--pull :尝试去更新镜像的新版本；
--quiet, -q :安静模式，成功后只输出镜像 ID；
--rm :设置镜像成功后删除中间容器；
--shm-size :设置/dev/shm的大小，默认值是64M；
--ulimit :Ulimit配置。
--tag, -t: 镜像的名字及标签，通常 name:tag 或者 name 格式；可以在一次构建中为一个镜像设置多个标签。
--network: 默认 default。在构建期间设置RUN指令的网络模式

常用命令示例

docker build .  #默认使用当前目录下Dockerfile
docker build . -f centosdockerfile  #其他名称dockerfile，需要指定
docker build -f /path/to/a/Dockerfile . #递归目录下的dockerfile
docker build -t ghostwritten/app . #指定镜像名
docker build -t ghostwritten/app:1.0.2 -t ghostwritten/app:latest . #指定多个tag#Dockerfile文件中的每条指令会被独立执行，并会创建一个新镜像，Docker 会重用已生成的中间镜像，以加速docker build的构建速度，也可以通过--cache-from指定
docker build -t ghostwritten/app --cache-from 31f630c65071 . 
docker build -t ghostwritten/app --no-cache . #不使用缓存#通过 --build-arg 选项设置了两个构建时变量 USERNAME 和 PASSWORD。这些变量可以在 Dockerfile 中通过 ARG 指令使用，以定制镜像的构建过程。
docker build --build-arg USERNAME=myuser --build-arg PASSWORD=mypassword -t my-app:with-args .

docker build命令会根据Dockerfile文件及上下文构建新Docker镜像

## 创建新镜像，.为Dockerfile所在目录，
docker build -t mynginx:v2 .
docker run -d --name web -p 80:80 mynginx:v2

参考

Docker 官方文档：https://docs.docker.com/engine/reference/builder/