前言：近年来 Docker 非常火，想要玩好 Docker 的话 Dockerfile 是绕不开的，这就好比想要玩好 Linux 服务器绕不开 shell 道理是一样的。

今天我们就来聊一聊 Dockerfile 怎么写，那些指令到底是什么意思。

一、先来看一个简单的 Dockerfile

#这个Dockerfile作用是打一个python3项目环境
FROM python:3-alpine
WORKDIR /app
ADD . /app
RUN pip3 install -r requirements.txt -i https://pypi.douban.com/simple
CMD ["python3", "main.py"]#这个Dockerfile作用Dockerfile部署django项目
FROM centos:7
MAINTAINER haili
ADD requeriments.txt /home
WORKDIR /home
RUN yum update && yum -y install mysql && yum -y install python3-pip && pip3 install -r requirements.txt 
ADD autoTest /home/
WORKDIR /home/autoTest
EXPOSE 8000
ENTRYPOINT uwsgi --ini uwsgi.ini

二、Dockerfile 编写规则

1. 指令大小写不敏感，为了区分习惯上用大写
2. Dockerfile 非注释行第一行必须是 FROM
3. 文件名必须是 Dockerfile
4. Dockerfile 指定一个专门的目录为工作空间
5. 所有引入映射的文件必须在这个工作空间目录下
6. Dockerfile 工作空间目录下支持隐藏文件(.dockeringore)
7. (.dockeringore)作用是用于存放不需要打包导入镜像的文件，根目录就是工作空间目录
8. 每一条指令都会生成一个镜像层，镜像层多了执行效率就慢，能写成一条指定的就写成一条

三、Dockerfile 指令详解

1.FROM：基础镜像

 1.1、FROM是Dockerfile文件开篇第一个非注释行代码1.2、用于为镜像文件构建过程指定基础镜像，后续的指令都基于该基础镜像环境运行1.3、基础镜像可以是任何一个镜像文件1.4、docker build 会在docker宿主机上查找指定的文件，如未找到会自动去Docker Hub Registry上拉取1.5、如果没找到对应的镜像就会返回错误信息

2.MAINTAINER：镜像作者信息

2.1、废弃了，使用LABLE替代

3.LABLE：镜像描述信息

3.1、LABLE author="haili"

4.COPY：从 Docker 宿主机复制文件至创建的新镜像文件

4.1、COPY <src> <dest>
4.2、COPY ["<src>",.... "<dest>"]
4.3、<src>：要复制的源文件或目录，支持使用通配符1、<src>必须是build上下文中的路径，不能是其父目录路径2、如果<src>是目录，则其内部文件和子目录都会被递归复制，但是<src>目录本身不会被复制3、如果指定了多个<src>,或者<src>中使用了通配符，则<dest>必须是一个目录，且必须以/结尾
4.4、<dest>：目标路径，即正在创建的images的文件系统路径1、建议使用绝对路径，否则COPY指定以WORKDIR为其实路径2、如果<dest>不存在，将会被自动创建，包括其父目录路径一起创建
4.5、复制文件COPY testFile /mnt
4.6、复制目录COPY testDir /mnt/testDir1、testDir下所有文件和目录都会被递归复制2、目标路径要写testDir，否则会复制到/mnt下

5.ADD：类似于 COPY 指令，ADD 支持 tar 文件和 URL 路径

5.1、ADD <src> <dest>
5.2、ADD ["<src>",.... "<dest>"]
5.3、如果<src>为URL切<dest>不以/结尾，则<src>指定的文件将被下载并直接被创建为<fimename>，如果<dest>以/结尾，则文件名URL指定的文件将被下载并保存为<dest>/fimename
5.4、如果<src>是一个压缩文件(tar),会被解压为一个目录，但是通过URL下载的tar文件不会被解压
5.5、如果是多个<src>，或者是同一个<src>使用了通配符，则<dest>必须是以/结尾的目录，如果<dest>不以/结尾，则<src>会被作为一个普通文件,<src>内容讲被写入到<dest>

6.WORKDIR：用于为 Dockerfile 中所有的 RUN、CMD、ENTRYPOINT、COPY、ADD 指定设定工作目录

6.1、WORKDIR /mnt，如果目录不存在会自动创建，包括他的父目录
6.2、一个Dockerfile中WORKDIR可以出现多次，其路径也可以为相对路径,相对路径是基于前一个WORKDIR路径
6.3、WORKDIR也可以调用ENV指定的变量
6.4：举例from python:latestworkdir /mntrun touch a.txtworkdir /usrrun touch b.txt

7.VOLUME：数据卷，用于在 image 中创建挂载点目录，以挂载 Docker host 上的卷或者其他容器上的卷

7.1、VOLUM mount_point
7.2、VOLUM ["mount_point1","mount_point2"]
7.3、如果挂载点目录下有文件存在，docker run命令会在卷挂载完成后将所有文件复制到容器中

8.EXPOSE：为容器打开指定的监听端口以实现与外部通信

8.1、EXPOSE <port> </portocol>1、<port>：端口号2、</portocol>：协议类型，默认为TCP协议EXPOSE 8080/tcp 8081/udp
8.2、不会直接对外暴露这里的端口，只有在run的时候加上-P(大写)才会将EXPOSE的端口暴露出去

9.ENV：用于为镜像定义所需的环境变量，可以被 Dockerfile 文件中其他命令调用(ENV、ADD、COPY、RUN、CMD)

9.1、ENV key value1、key之后的所有内容都会被视为value,因此，一次只能设置一个变量 
9.2、ENV key=value1、可以设置多个变量，每个key=value键值对为一个变量2、如果value中包含空格需要用反斜杠转义，也可以对value加引号进行标识，反斜杠也可以用于续行
9.3、调用格式：$variable_name 或 ${variable_name}
9.4、定义多个变量建议使用第二种方式，以便在同一层中完成
9.5、举例ENV DOC_DIR=/mnt/docCOPY index.html ${DOC_DIR:-/mnt/doc} #-：如果DOC_DIR不存在则使用-后面的默认值#+：如果DOC_DIR存在则使用+后面的值

10.RUN：docker build 镜像构建的时候需要执行的 shell 命令默认"/bin/sh -c"运行

10.1、docker build过程中需要执行的命令
10.2、RUN是在镜像构建完成之后运行结束
10.3、RUN执行的命令只能基于基础镜像的命令，执行之前先要确定基础镜像是否有该命令
10.4、一个Dockerfile可以写多个RUN语法一、RUN command1 && command2....  1、通常是shell命令且以"/bin/sh -c"来运行它，此时运行为shell的子进程2、进程在容器中的PID!=1，不能接收unix信号，当使用docker stop 将无法接收到3、RUN echo "test_demo" > a.txt 此时可以使用shell特性语法二、RUN ["executable","param1"，"param2"]1、executable为要运行的命令2、param1为命令运行的参数3、不会以"/bin/sh -c"运行(非shell子进程)，因此不支持shell操作符如变量替换和通配符(?,*等)4、如果运行命令需要依赖shell特性可以增加参数，手动启动为shell的子进程RUN ["/bin/bash","-c","executable","param1"]5、list中的参数要使用双引号

11.CMD：启动容器指定默认要运行的程序或命令，默认"/bin/sh -c"运行

11.1、docker run过程中需要执行的命令
11.2、CMD运行结束后容器就将终止
11.3、CMD指定的命令将可以被 docker run 最后面的命令覆盖
11.4、一个Dockerfile写多个CMD只有最后一个CMD会生效语法一、CMD command1、通常是shell命令且以"/bin/sh -c"来运行它，此时运行为shell的子进程，能使用shell操作符2、进程在容器中的PID!=1，不能接收unix信号，当使用docker stop 将无法接收到3、CMD /bin/httpd -f -h ${httpd}此时在运行容器的时候加-it参数无法进入交互式模式，需要使用docker exec进入交互模式语法二、CMD ["executable","param1","param2"]1、不会以"/bin/sh -c"运行(非shell子进程)，因此不支持shell操作符如变量替换和通配符(?,*等)2、如果运行命令需要依赖shell特性可以增加参数，手动启动为shell的子进程CMD ["/bin/bash","-c","executable","param1","param2"](有问题，不能启动容器)语法三、CMD ["param1","param2"]1、需要结合ENTRYPOINT指令提供默认参数使用

12.ENTRYPOINT：类型 CMD 指令的功能，用于为容器指定默认运行程序或命令

1、与CMD不同的是，由ENTRYPOINT启动的程序不会被docker run命令行指定的参数覆盖，这些命令行参数会被当做参数传递给ENTRYPOINT指定的程序
2、docker run命令的 --entrypoint选项参数可以覆盖ENTRYPOINT指令指定的程序
3、一个Dockerfile中可以有多个ENTRYPOINT，但是只有最后一个会生效
4、ENTRYPOINT主要用于shell作为启动其他进程的父进程，后面跟的参数被当成子进程来启动语法一：ENTRYPOINT command语法二：ENTRYPOINT  ["/bin/bash","param1","param2"]

13.CMD 和 ENTRYPOINT 同时存在 Dockerfile 中

1、CMD的值会当做参数传递给ENTRYPOINT
2、实现使用shell子进程启动httpd
3、如果docker run再传入参数，是传给ENTRYPOINT的，因为ENTRYPOINT有自己的参数，此时CMD参数会被ducker run后面跟的参数覆盖，并不是覆盖ENTRYPOINT的参数，要覆盖ENTRYPOINT的参数需要使用--entrypoint选项CMD ["/bin/httpd/","-f"]ENTRYPOINT /bin/bash -c -h通过传参启动容器FROM python:latestLABLE auth="haili"ENV NGX_DOC_ROOT='/data/web/html'ADD entrypoint.sh /bin/CMD ['/usr/sbin/nginx','-g','daemon off;']ENTRYPOINT ['/bin/sh','-c','/bin/entrypoint.sh']1、先执行ENTRYPOINT，然后讲CMD的值当做参数传给ENTRYPOINT进行执行

14.USER：指定运行 image 时和 Dockerfile 中任何 RUN、CMD、ENTRYPOINT 指令指定的程序的用户

1、使用用户名或者UID
2、默认情况下container的运行身份为root用户
3、USER UID | user_name
4、UID 和 user_name必须存在/etc/passwd当中，否则会报错

15.HEALTHCHECK：健康检查，定义一个命令用于检查主进程工作状态是否健康

15.1、HEALTHCHECK参数1、--interval=DURATION(default 30s) 健康检查间隔时间2、--timeout=DURATION(default 30s) 超时时间3、--start-period=DURATION(default 0s) 容器启动多久后执行健康检查4、--retries=N(default 30s) 检测次数
15.2、检查结果0：成功1：失败2：预留字段15.3、举例HEALTHCHECK --interval=5m --timeout=5s CMD curl -f http://localhost:8080 ||exit1

16.SHELL：指定运行 RUN、CMD、ENTRYPOINT 的 shell 程序

17.OPSIGNAL：给主进程发送信号

18.ARG：docker build 过程中的参数

 18.1、定义pyton镜像作者，通过参数传入FROM pythonARG author="latest"LABLE author="${author}"18.2、使用docker build --build-arg author="haili"18.3、常用在docker build 过程中替换参数

19.ONBUILD：用于在 Dockerfile 中定义一个触发器

19.1、Dockerfile1中加一个ONBUILD add file，当docker build -t=testpython Dockerfile1的时候ONBUILD指令不会被执行,Dockerfile2中FROM testpython(Dockerfile1构建后生成的镜像)，当运行docker build -t=test Dockerfile2的时候Dockerfile1中的ONBUILD add file会被执行
19.2、Dockerfile用于build镜像文件，此镜像文件可以作为base image被另外一个Dockerfile作为FROM参数使用，并以之构建新的镜像文件
19.3、在后面这个Dockerfile中的FROM指令在build过程中被执行时，将触发创建其base image的Dockerfile中ONBUILD指定定义的触发器
19.4、尽管任何指令都可以注册为触发器指令，但是ONBUILD不能自我嵌套，且不会触发FROM和MAINTAINER指令
19.5、使用包含ONBUILD指令的Dockerfile构建镜像应该使用特殊标签如，python:1.0-onbuild
19.6、ONBUILD指令中使用ADD COPY指令要格外小心