记录Dockerfile的编写规则和用法

Dockerfile就是用于构建image的一系列命令和参数构成的脚本，通过 docker build -t <image_name:tag> -f </path/to/Dockerfile> . 来构建。

docker build 命令从名为 Dockerfile 的文件和 context 来构建image，context是 PATH （本地目录）或者 URL （Git repository位置）处的文件。context会以递归方式处理，所以PATH的子目录和git的submodules都会处理，同样这里要小心用于作为PATH的目录最好不要有与镜像无关的文件，通常会新建一个空文件夹做为context的PATH。

PATH下的 .dockerignore 可以用于排除文件和目录。

构建工作由Docker守护进程运行，而不是docker的CLI，其中 -t 参数用于指定镜像的repository和tag，可以有多个 -t ， -f 指定 Dockerfile 的路径，最后的 . 表示上下文件环境为当前目录。

1

docker build -t blueyi/python-3.6:dev -f ~/docker/Dockerfile .

.dockerignore

在docker CLI将上下文发送到docker守护程序之前，它会在上下文的根目录中查找名为.dockerignore的文件。如果此文件存在，CLI将修改上下文以排除匹配其中模式的文件和目录。这有助于避免不必要地向守护程序发送大型或敏感文件和目录，并可能使用ADD或COPY将其添加到映像。

1
2
3
4

# comment
*/temp*
*/*/temp*
temp?

Dockerfile编写规范

Dockerfile文件内容格式如下：

1
2

# Comment
INSTRUCTION arguments

1

docker build --no-cache -t="blueyi/centos" .

解析器指令（Parser directives）

解析器指令为可选的，会影响后续处理Dockerfile行，解析器指令形如：

1

# directive = value

1

# escape=\

1

# escape=`

环境变量（Environment replacement）

环境变量由 ENV 语句声明（ ENV 其实也是一个指令），可以用于其他一些指令中被解释出来，声明之后可以通过类似于shell中变量引用的方式引用： $variable_name 或者 ${variable_name} 。同样支持类似bash的修饰符：

1
2

ENV <key> <value>
ENV <key>=<value> ...

1
2

ENV myName="John Doe" myDog=Rex\ The\ Dog \
    myCat=fluffy

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

ENV myName John Doe
ENV myDog Rex The Dog
ENV myCat fluffy
````

当前前一咱更好，构建的镜像更高效。

可以通过`\`来进行对`$`转义。用例：

```Dockerfile
FROM busybox
ENV foo /bar
WORKDIR ${foo}   # WORKDIR /bar
ADD . $foo       # ADD . /bar
COPY \$foo /quux # COPY $foo /quux

1
2
3

ENV abc=hello
ENV abc=bye def=$abc
ENV ghi=$abc

1
2
3
4
5
6
7

RUN set -ex && apt-get update && apt-get install -y iputils-ping
ENV PATH /usr/local/bin:$PATH
ENV LANG C.UTF-8
ENV TERM xterm
ENV PYTHON_VERSION 3.5.3
ENV name1=ping name2=on_ip
CMD $name1 $name2

Dockerfile指令

FROM

FROM 用于为后续的指令指定其运行所需要的基础镜像（Base Image），所以Dockerfile中 FROM 必须是第一个指令（ARG除外），如果指定的该镜像不在本地，则Docker会自动从远程仓库获取。

1
2
3
4
5

FROM <image> [AS <name>]
# 或者
FROM <image>[:<tag>] [AS <name>]
# 或者
FROM <image>[@<digest>] [AS <name>]

1
2
3
4
5
6

ARG  CODE_VERSION=latest
FROM base:${CODE_VERSION}
CMD  /code/run-app

FROM extras:${CODE_VERSION}
CMD  /code/run-extras

RUN

RUN 用于运行命令。
RUN有2种形式：

1
2

RUN /bin/bash -c 'source $HOME/.bashrc; \




    

echo $HOME'

1

RUN /bin/bash -c 'source $HOME/.bashrc; echo $HOME'

1

RUN ["/bin/bash", "-c", "echo hello"]

CMD

CMD 指令用于指定容器启动时需要运行的程序。例如我们通常运行容器时为了能够执行其中的 /bin/bash 来进入到容器中交互，会如下运行：

1

docker run -it <image> /bin/bash

1

CMD ['/bin/bash']

LABEL

LABEL 指令用于向镜像中添加元数据，可以通过 docker inspect 命令查看，如

1

docker inspect --format='{{.Config.Labels}}' <image>

1

LABEL <key>=<value> <key>=<value> <key>=<value> ...

1
2
3
4
5

LABEL "com.example.vendor"="ACME Incorporated"
LABEL com.example.label-with-value="foo"
LABEL version="1.0"
LABEL description="This text illustrates \
that label-values can span multiple lines."

1
2
3
4
5

LABEL "com.example.vendor"="ACME Incorporated" \ 
       com.example.label-with-value="foo" \
       version="1.0" \
       description="This text illustrates \
that label-values can span multiple lines."

MAINTAINER (deprecated)

该指令已经新废弃，用于指定该镜像的维护者，现在可以使用 LABEL 更好的实现该功能。用法如下：

1

MAINTAINER <name>

1

LABEL maintainer="name"

EXPOSE

用于指定容器运行后容器中监听的端口（也称为私有端口），当运行容器时使用 -P 参数时，容器将自动为监听端口分配宿主主机上相应的映射端口（也称为公共端口）。

1

EXPOSE <port> [<port>/<protocol>...]

1
2
3
4
5
6

# PORT
EXPOSE 8080
EXPOSE 22
EXPOSE 8009
EXPOSE 8005
EXPOSE 8443

ENV

同上面的环境变量部分

ADD

用于从指定目录或者URL拷贝文件到镜像中。
用法如下：

1
2

ADD <src>... <dest>
ADD ["<src>",... "<dest>"] # 用于路径中带有空格的情况

1
2
3
4

ADD http://foo.com/package.tar.bz2 /tmp/
RUN tar -xjf /tmp/package.tar.bz2 \
    && make -C /tmp/package \
    && rm /tmp/package.tar.bz2

1
2
3

RUN curl http://foo.com/package.tar.bz2 \
    | tar -xjC /tmp/package \
    && make -C /tmp/package

COPY

用法与 ADD 几乎完全一样，但更纯粹，不支持URL，不支持自动解压。

ENTRYPOINT

ENTRYPOINT 指令与CMD非常相似，都是指定容器运行后需要运行的命令，不同的是当与 docker run 配合使用时， docker run 后跟的执行内容将做为 ENTRYPOINT 指令指定的运行命令的参数，例如：

1
2
3
4
5
6

FROM centos
MAINTAINER allocator
RUN yum install -y nginx
RUN echo 'hello world' > /usr/share/nginx/html/index.html
EXPOSE 80
ENTRYPOINT ["/usr/sbin/nginx"]

1

docker run --name test -p 1080:80 -it test_nginx -g "daemon off"

1
2

ENTRYPOINT ["/usr/sbin/nginx"]
CMD ["-g daemon off"]

VOLUME

VOLUME 指令为容器创建挂载卷，类似于 docker run 时使用的 -v 命令进行目录映射，只是 -v 可以指定本地目录到容器指定目录的挂载，而Dockerfile中只能指定从该镜像创建容器时容器中的挂载点，具体对应的本地目录将由docker自动分配，可以通过 docker inspect <container> 查看。

1

VOLUME ["/data1", "/data2", ...]

USER

USER 指令用于设置其后的 RUN 、 CMD 、 ENTRYPOINT 命令的运行用户，因为默认docker将以root身份运行这些命令。

1
2

USER <user>[:<group>] or
USER <UID>[:<GID>]

WORKDIR

WORKDIR 用于设定Dockerfile中其命令之后的 RUN 、 CMD 、 ENTRYPOIHNT 、 COPY 和 ADD 命令的执行路径。如果指定的 WORKDIR 不存在，则会自动被创建。该命令可以出现多次，如果使用的是相对目录，则该相对目录将会相对于前一个 WORKDIR 设置的目录。

1

WORKDIR /path/to/workdir

1
2
3
4

WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd

1
2
3

ENV DIRPATH /path
WORKDIR $DIRPATH/$DIRNAME
RUN pwd

ARG

ARG 指令在Docker 1.9版本才引入，该指令用于定义变量，其定义的变量只在build镜像过程中有效，镜像创建完成后消失，并可以通过build命令的 --build-arg <varname>=<value> 来指定其构建过程中varname的值。

1

[Warning] One or more build-args [foo] were not consumed.

1

ARG <name>[=<default value>]

1
2
3
4

FROM ubuntu
ARG CONT_IMG_VER
ENV CONT_IMG_VER ${CONT_IMG_VER:-v1.0.0}
RUN echo $CONT_IMG_VER

1

docker build --build-arg CONT_IMG_VER=v2.0.1 .

1

--build-arg HTTP_PROXY=http://user:pass@proxy.lon.example.com

ONBUILD

ONBUILD 指令用于为镜像添加一个触发器，其参数是任意一个 Dockerfile 指令，该指令不会在当前的build过程中生效，而是会在当 FROM 这个镜像创建新镜像时首先触发执行。

1

ONBUILD [INSTRUCTION]

STOPSIGNAL

STOPSIGNAL 指令用于设置容器退出时所要发送给容器的退出信号，必须是内核系统调用表中的合法值，如 9 或 SIGKILL 。

1

STOPSIGNAL signal

HEALTHCHECK

HEALTHCHECK 指令用于告诉docker如何去检测容器的健康状态。1.12的版本中加入，用法如下：

1
2

HEALTHCHECK [OPTIONS] CMD command # 通过运行一个CMD指令指定的命令来检查容器健康状态
HEALTHCHECK NONE # 禁用从基础镜像（base image）继承来的任何健康检查

1
2

HEALTHCHECK --interval=5m --timeout=3s \
  CMD curl -f http://localhost/ || exit 1

SHELL

SHELL 指令用于覆盖其他指令以及容器中默认运行命令的shell程序，默认情况下Linux的shell为 ["/bin/sh", "-c"] ，Windows为 ["cmd", "/S", "/C"] 。

1

SHELL ["executable", "parameters"]

1

SHELL ["/bin/bash", "-c"]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

FROM microsoft/windowsservercore

# Executed as cmd /S /C echo default
RUN echo default

# Executed as cmd /S /C powershell -command Write-Host default
RUN powershell -command Write-Host default

# Executed as powershell -command Write-Host hello
SHELL ["powershell", "-command"]
RUN Write-Host hello

# Executed as cmd /S /C echo hello
SHELL ["cmd", "/S"", "/C"]
RUN echo hello

Dockerfile最佳实践

官方给出的建议

• 容器应该是短暂的，其中不应该保存数据，让容器更容易创建和销毁
• 使用 .dockerignore 来排除不需要的文件，最好让新建镜像时都从一个空文件夹开始
• 使用多阶段构建（multi-stage build），仅限Docker17.05之后的版本，即使用多个FROM指令，例如：
• 避免安装不必要的包
• 一个容器只干一件事，最好一个进程一个容器
• 最小化镜像的层数，只有 RUN 、 COPY 和 ADD 创建层，其他指令只是创建临时的中间镜像，不会直接增加镜像大小
• 对多行参数排序，特别是安装包的时候，可以有效避免重复包或者重复参数

对于多阶段构建的一个例子：

1 2 3 4 5 6 7 8 9 10 11

FROM golang:1.7.3 as builder WORKDIR /go/src/github.com/alexellis/href-counter/ RUN go get -d -v golang.org/x/net/html COPY app.go . RUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app . FROM alpine:latest RUN apk --no-cache add ca-certificates WORKDIR /root/ COPY --from=builder /go/src/github.com/alexellis/href-counter/app . CMD ["./app"]

对于参数排序的一例子，该例子基于debian配置一个带有很多依赖的镜像：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

FROM buildpack-deps:jessie-scm RUN set -ex; \ apt-get update; \ apt-get install -y --no-install-recommends \ autoconf \ automake \ bzip2 \ dpkg-dev \ file \ g++ \ gcc \ imagemagick \ libbz2-dev \ libc6-dev \ libcurl4-openssl-dev \ libdb-dev \ libevent-dev \ libffi-dev \ libgdbm-dev \ libgeoip-dev \ libglib2.0-dev \ libjpeg-dev \ libkrb5-dev \ liblzma-dev \ libmagickcore-dev \ libmagickwand-dev \ libncurses5-dev \ libncursesw5-dev \ libpng-dev \ libpq-dev \ libreadline-dev \ libsqlite3-dev \ libssl-dev \ libtool \ libwebp-dev \ libxml2-dev \ libxslt-dev \ libyaml-dev \ make \ patch \ xz-utils \ zlib1g-dev \ \ # https://lists.debian.org/debian-devel-announce/2016/09/msg00000.html $( \ # if we use just "apt-cache show" here, it returns zero because "Can't select versions from package 'libmysqlclient-dev' as it is purely virtual", hence the pipe to grep if apt-cache show 'default-libmysqlclient-dev' 2>/dev/null | grep -q '^Version:'; then \ echo 'default-libmysqlclient-dev'; \ else \ echo 'libmysqlclient-dev'; \ fi \ ) \ ; \ rm -rf /var/lib/apt/lists/*

命令的建议

FROM

最好使用官方源中的镜像做为基础镜像，推荐使用 Alpine镜像 ，因为它只有5mb

LABEL

为了更好地组织镜像，最好使用容易理解的LABEL内容，并且值都用双引号（”），多个键值对应该放在同一行，如下：

1 2 3 4 5 6

# Set multiple labels at once, using line-continuation characters to break long lines LABEL vendor=ACME\ Incorporated \ com.example.is-beta= \ com.example.is-production="" \ com.example.version="0.0.1-beta" \ com.example.release-date="2015-02-12"

为了提高可读性，应该使用续行符（ \ ）将命令分成多行。并且避免运行如 apt-get upgrade 或 dist-upgrade 等命令来升级整个系统，记得删除临时文件。
如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14

RUN apt-get update && apt-get install -y \ aufs-tools \ automake \ build-essential \ curl \ dpkg-sig \ libcap-dev \ libsqlite3-dev \ mercurial \ reprepro \ ruby1.9.1 \ ruby1.9.1-dev \ s3cmd=1.1.* \ && rm -rf /var/lib/apt/lists/*

因为Ubuntu和Debian官方镜像会自动运行 apt-get clean ，所以不需要再在命令中添加。

RUN中使用管道符要注意

由于Docker只关注最好一个命令执行是否正确，所以当管道前面错误时，后面依然可能成功，所以应该设置 set -o pipefail && 来使执行过程中任何产生的错误都失败。
如下：

1	RUN ["/bin/bash", "-c", "set -o pipefail && wget -O - https://some.site | wc -l > /number"]

通过将CMD指令用于交互模式，如 CMD ["python"] ， docker run -it python 将会进入python的交互环境。除非你很了解CMD与ENTRYPOINT协同工作的方式，否则不要与ENTRYPOINT一起使用。

EXPOSE

指定容器的监听端口时，尽量使用通用的端口，如Apache web服务器的 EXPOSE 80 。

该指令通常用于应用程序提供必要的环境变量和版本号等设置：

1 2 3 4

ENV PG_MAJOR 9.3 ENV PG_VERSION 9.3.4 RUN curl -SL http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress && … ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH

ADD or COPY

推荐能用 COPY 的地方就用它，而不是 ADD

不需要保存压缩包的情况下尽量使用管道替代：

1 2 3 4

RUN mkdir -p /usr/src/things \ && curl -SL http://example.com/big.tar.xz \ | tar -xJC /usr/src/things \ && make -C /usr/src/things all

ENTRYPOINT

其与 CMD 一起使用时可以使镜像像命令一样运行：

1 2	ENTRYPOINT ["s3cmd"] CMD ["--help"]

运行命令：

1	docker run s3cmd

也可以覆盖其默认命令：

1	docker run s3cmd ls s3://mybucket

其也可以与脚本结合，让脚本成为其命令，组成更强大的功能。

VOLUME

VOLUME 指令应该用于如下内容：任何类型的数据库存储区域、配置存储、容器创建的文件或目录。
推荐 VOLUME 用于挂载镜像中那些经常变化（易变化的）或者用户可维护的部分。

如果不需要root权限，可以通过USER切换成非root用户，在Dockerfile中如下方式创建：

1	RUN groupadd -r postgres && useradd --no-log-init -r -g postgres postgres

尽量避免安装和使用 sudo，如果一定要使用类似 sudo 功能，可以使用 gosu 替代它，为了减少层数和复杂度，避免频繁使用 USER 进行用户切换。

WORKDIR

为了清楚可靠，应该使用绝对路径作为 WORKDIR ，而不是增加指令，如 RUN cd ..

ONBUILD

ONBUILD 指令在当前 Dockerfile 构建完成后执行，存储到镜像 的manifest 清单中，我们可以通过 docker inspect 查看 OnBuild 的信息。

当我们使用带有 ONBUILD 触发器的镜像作为基础镜像来创建新镜像时，当 Dockerfile 执行到 FROM 时会自动查找 OnBuild 信息并执行这个触发器命令。成功后继续向下执行下一条指令，失败的话就停止向下执行并中止创建过程。如果成功创建了新的镜像后，这个新镜像中不会继承基础镜像中的 ONBUILD 触发器内容。

建立的带有 ONBUILD 的镜像时应该有一个单独的标签，例如：ruby:1.9-onbuild 或 ruby:2.0-onbuild。

当把 ADD 或 COPY 加入 ONBUILD 中时要小心，如果新创建镜像的上下文缺少这些要添加的资源时，会导致创建镜像失败。因而添加单独的标签可以帮助我们减小这种情况发生的可能， 让 Dockerfile 作者来做决定。

Dockerfile举例

通过VNC从容器中运行Firefox

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

# Firefox over VNC # # VERSION 0.3 FROM ubuntu # Install vnc, xvfb in order to create a 'fake' display and firefox RUN apt-get update && apt-get install -y x11vnc xvfb firefox RUN mkdir ~/.vnc # Setup a password RUN x11vnc -storepasswd 1234 ~/.vnc/passwd # Autostart firefox (might not be the best way, but it does the trick) RUN bash -c 'echo "firefox" >> /.bashrc' EXPOSE 5900 CMD ["x11vnc", "-forever", "-usepw", "-create"]

一次创建多个镜像

1 2 3 4 5 6 7 8 9 10 11 12 13 14

# Multiple images example # # VERSION 0.1 FROM ubuntu RUN echo foo > bar # Will output something like ===> 907ad6c2736f FROM ubuntu RUN echo moo > oink # Will output something like ===> 695d7793cbe4 # You'll now have two images, 907ad6c2736f with /bar, and 695d7793cbe4 with # /oink.

• Dockerfile reference
• Best practices for writing Dockerfiles
• 其他大量互联网资料
1. 1. .dockerignore
2. 2. Dockerfile编写规范
   1. 2.1. 解析器指令（Parser directives）
   2. 2.2. 环境变量（Environment replacement）
3. 3. Dockerfile指令
   1. 3.1. FROM
   2. 3.2. RUN
   3. 3.3. CMD
   4. 3.4. LABEL
   5. 3.5. MAINTAINER (deprecated)
   6. 3.6. EXPOSE
   7. 3.7. ENV
   8. 3.8. ADD
   9. 3.9. COPY
   10. 3.10. ENTRYPOINT
   11. 3.11. VOLUME
   12. 3.12. USER
   13. 3.13. WORKDIR
   14. 3.14. ARG
   15. 3.15. ONBUILD
   16. 3.16. STOPSIGNAL
   17. 3.17. HEALTHCHECK
   18. 3.18. SHELL
4. 4. Dockerfile最佳实践
   1. 4.1. 官方给出的建议
   2. 4.2. 命令的建议
5. 5. Dockerfile举例
6. 6. 参考