玩转dockerfile

镜像的缓存特性

Docker 会缓存已有镜像的镜像层，构建新镜像时，如果某镜像层已经存在，就直接使用，无需重新创建。

举例说明。
在前面的 Dockerfile 中添加一点新内容，往镜像中复制一个文件：

① 确保 testfile 已存在。

② 重点在这里：之前已经运行过相同的 RUN 指令，这次直接使用缓存中的镜像层 35ca89798937。

③ 执行 COPY 指令。
其过程是启动临时容器，复制 testfile，提交新的镜像层 8d02784a78f4，删除临时容器。

在 ubuntu-with-vi-dockerfile 镜像上直接添加一层就得到了新的镜像 ubuntu-with-vi-dockerfile-2。

如果我们希望在构建镜像时不使用缓存，可以在 docker build 命令中加上 --no-cache 参数。

Dockerfile 中每一个指令都会创建一个镜像层，上层是依赖于下层的。无论什么时候，只要某一层发生变化，其上面所有层的缓存都会失效。

也就是说，如果我们改变 Dockerfile 指令的执行顺序，或者修改或添加指令，都会使缓存失效。

举例说明，比如交换前面 RUN 和 COPY 的顺序：

虽然在逻辑上这种改动对镜像的内容没有影响，但由于分层的结构特性，Docker 必须重建受影响的镜像层。

从上面的输出可以看到生成了新的镜像层 bc87c9710f40，缓存已经失效。

除了构建时使用缓存，Docker 在下载镜像时也会使用。例如我们下载 httpd 镜像。

docker pull 命令输出显示第一层（base 镜像）已经存在，不需要下载。

由 Dockerfile 可知 httpd 的 base 镜像为 debian，正好之前已经下载过 debian 镜像，所以有缓存可用。通过 docker history 可以进一步验证。

调试 Dockerfile

包括 Dockerfile 在内的任何脚本和程序都会出错。有错并不可怕，但必须有办法排查，所以本节讨论如何 debug Dockerfile。

先回顾一下通过 Dockerfile 构建镜像的过程：

1. 从 base 镜像运行一个容器。
2. 执行一条指令，对容器做修改。
3. 执行类似 docker commit 的操作，生成一个新的镜像层。
4. Docker 再基于刚刚提交的镜像运行一个新容器。
5. 重复 2-4 步，直到 Dockerfile 中的所有指令执行完毕。

从这个过程可以看出，如果 Dockerfile 由于某种原因执行到某个指令失败了，我们也将能够得到前一个指令成功执行构建出的镜像，这对调试 Dockerfile 非常有帮助。我们可以运行最新的这个镜像定位指令失败的原因。

我们来看一个调试的例子。Dockerfile 内容如下：

执行 docker build：

Dockerfile 在执行第三步 RUN 指令时失败。我们可以利用第二步创建的镜像 22d31cc52b3e 进行调试，方式是通过 docker run -it 启动镜像的一个容器。

手工执行 RUN 指令很容易定位失败的原因是 busybox 镜像中没有 bash。虽然这是个极其简单的例子，但它很好地展示了调试 Dockerfile 的方法。

到这里相信大家对 Dockerfile 的功能和使用流程有了比较完整的印象，但还没有系统学习 Dockerfile 的各种指令和实际用法，下节会开始这个主题。

Dockerfile 常用指令

是时候系统学习 Dockerfile 了。

下面列出了 Dockerfile 中最常用的指令，完整列表和说明可参看官方文档。

FROM

指定 base 镜像。

MAINTAINER

设置镜像的作者，可以是任意字符串。

COPY

将文件从 build context 复制到镜像。

COPY 支持两种形式：

1. COPY src dest
2. COPY ["src", "dest"]

注意：src 只能指定 build context 中的文件或目录。

ADD

与 COPY 类似，从 build context 复制文件到镜像。不同的是，如果 src 是归档文件（tar, zip, tgz, xz 等），文件会被自动解压到 dest。

ENV

设置环境变量，环境变量可被后面的指令使用。例如：

...

ENV MY_VERSION 1.3

RUN apt-get install -y mypackage=$MY_VERSION

...

EXPOSE

指定容器中的进程会监听某个端口，Docker 可以将该端口暴露出来。我们会在容器网络部分详细讨论。

VOLUME

将文件或目录声明为 volume。我们会在容器存储部分详细讨论。

WORKDIR

为后面的 RUN, CMD, ENTRYPOINT, ADD 或 COPY 指令设置镜像中的当前工作目录。

RUN

在容器中运行指定的命令。

CMD

容器启动时运行指定的命令。

Dockerfile 中可以有多个 CMD 指令，但只有最后一个生效。CMD 可以被 docker run 之后的参数替换。

ENTRYPOINT

设置容器启动时运行的命令。

Dockerfile 中可以有多个 ENTRYPOINT 指令，但只有最后一个生效。CMD 或 docker run 之后的参数会被当做参数传递给 ENTRYPOINT。

下面我们来看一个较为全面的 Dockerfile：

注：Dockerfile 支持以“#”开头的注释。

构建镜像：

① 构建前确保 build context 中存在需要的文件。

② 依次执行 Dockerfile 指令，完成构建。

运行容器，验证镜像内容：

① 进入容器，当前目录即为 WORKDIR。

如果 WORKDIR 不存在，Docker 会自动为我们创建。

② WORKDIR 中保存了我们希望的文件和目录：

目录 bunch：由 ADD 指令从 build context 复制的归档文件 bunch.tar.gz，已经自动解压。

文件 tmpfile1：由 RUN 指令创建。

文件 tmpfile2：由 COPY 指令从 build context 复制。

③ ENV 指令定义的环境变量已经生效。

在上面这些指令中，RUN、CMD、ENTRYPOINT 很重要且容易混淆，下节专门讨论。

RUN vs CMD vs ENTRYPOINT

RUN、CMD 和 ENTRYPOINT 这三个 Dockerfile 指令看上去很类似很容易混淆。本节将通过实践详细讨论它们的区别。

简单的说

1. RUN 执行命令并创建新的镜像层RUN 经常用于安装软件包。
2. CMD 设置容器启动后默认执行的命令及其参数但 CMD 能够被 docker run 后面跟的命令行参数替换。
3. ENTRYPOINT 配置容器启动时运行的命令。

下面我们详细分析。

Shell 和 Exec 格式

我们可用两种方式指定 RUN、CMD 和 ENTRYPOINT 要运行的命令Shell 格式和 Exec 格式二者在使用上有细微的区别。

例如

当指令执行时shell 格式底层会调用 /bin/sh -c <command> 。

例如下面的 Dockerfile 片段

执行 docker run <image> 将输出

Hello, Cloud Man

注意环境变量 name 已经被值 Cloud Man 替换。

下面来看 Exec 格式。

例如

当指令执行时会直接调用 <command>不会被 shell 解析。

例如下面的 Dockerfile 片段

运行容器将输出

Hello, $name

注意环境变量“name”没有被替换。

如果希望使用环境变量照如下修改

运行容器将输出

Hello, Cloud Man

CMD 和 ENTRYPOINT 推荐使用 Exec 格式因为指令可读性更强更容易理解。RUN 则两种格式都可以。

RUN

RUN 指令通常用于安装应用和软件包。

RUN 在当前镜像的顶部执行命令并通过创建新的镜像层。Dockerfile 中常常包含多个 RUN 指令。

RUN 有两种格式

1. Shell 格式RUN
2. Exec 格式RUN ["executable", "param1", "param2"]

下面是使用 RUN 安装多个包的例子

注意apt-get update 和 apt-get install 被放在一个 RUN 指令中执行这样能够保证每次安装的是最新的包。如果 apt-get install 在单独的 RUN 中执行则会使用 apt-get update 创建的镜像层而这一层可能是很久以前缓存的。

CMD

CMD 指令允许用户指定容器的默认执行的命令。

此命令会在容器启动且 docker run 没有指定其他命令时运行。

1. 如果 docker run 指定了其他命令CMD 指定的默认命令将被忽略。
2. 如果 Dockerfile 中有多个 CMD 指令只有最后一个 CMD 有效。

CMD 有三种格式

1. Exec 格式CMD ["executable","param1","param2"]
   这是 CMD 的推荐格式。
2. CMD ["param1","param2"] 为 ENTRYPOINT 提供额外的参数此时 ENTRYPOINT 必须使用 Exec 格式。
3. Shell 格式CMD command param1 param2

Exec 和 Shell 格式前面已经介绍过了。
第二种格式 CMD ["param1","param2"] 要与 Exec 格式 的 ENTRYPOINT 指令配合使用其用途是为 ENTRYPOINT 设置默认的参数。我们将在后面讨论 ENTRYPOINT 时举例说明。

下面看看 CMD 是如何工作的。Dockerfile 片段如下

CMD echo "Hello world"

运行容器 docker run -it [image] 将输出

Hello world

但当后面加上一个命令比如 docker run -it [image] /bin/bashCMD 会被忽略掉命令 bash 将被执行

root@10a32dc7d3d3:/#

ENTRYPOINT

ENTRYPOINT 指令可让容器以应用程序或者服务的形式运行。

ENTRYPOINT 看上去与 CMD 很像它们都可以指定要执行的命令及其参数。不同的地方在于 ENTRYPOINT 不会被忽略一定会被执行即使运行 docker run 时指定了其他命令。

ENTRYPOINT 有两种格式

1. Exec 格式ENTRYPOINT ["executable", "param1", "param2"] 这是 ENTRYPOINT 的推荐格式。
2. Shell 格式ENTRYPOINT command param1 param2

在为 ENTRYPOINT 选择格式时必须小心因为这两种格式的效果差别很大。

Exec 格式

ENTRYPOINT 的 Exec 格式用于设置要执行的命令及其参数同时可通过 CMD 提供额外的参数。

ENTRYPOINT 中的参数始终会被使用而 CMD 的额外参数可以在容器启动时动态替换掉。

比如下面的 Dockerfile 片段

当容器通过 docker run -it [image] 启动时输出为

Hello world

而如果通过 docker run -it [image] CloudMan 启动则输出为

Hello CloudMan

Shell 格式

ENTRYPOINT 的 Shell 格式会忽略任何 CMD 或 docker run 提供的参数。

最佳实践

1. 使用 RUN 指令安装应用和软件包构建镜像。
2. 如果 Docker 镜像的用途是运行应用程序或服务比如运行一个 MySQL应该优先使用 Exec 格式的 ENTRYPOINT 指令。CMD 可为 ENTRYPOINT 提供额外的默认参数同时可利用 docker run 命令行替换默认参数。
3. 如果想为容器设置默认的启动命令可使用 CMD 指令。用户可在 docker run 命令行中替换此默认命令。

到这里我们已经具备编写 Dockerfile 的能力了。如果大家还觉得没把握推荐一个快速掌握 Dockerfile 的方法去 dockerhub.com 上参考那些官方镜像的 Dockerfile。

调试Dockerfile

dockerfile编写的过程中，不可避免会遇到运行构建新镜像错误的问题，那么我们应该怎样调试dockerfile呢。其实，当我们遇到某个指令失败时，我们也能够得到前一个指令构建的镜像。因此，我们可以进入到前一个临时镜像，调试下一个指令。

比如运行Dockerfile后，报错信息如下，在step3，即 RUN cp tmpfile tmpdir/ 时出现了错误。

[root@localhost debug-dockerfile]# docker build -t debug-dockerfile .
Sending build context to Docker daemon   2.56kB
Step 1/3 : FROM centos:7.4.1708
 ---> 295a0b2bd8ea
Step 2/3 : RUN touch tmpfile
 ---> Running in 7530981ccd45
Removing intermediate container 7530981ccd45
 ---> 8408a48380c2
Step 3/3 : RUN cp tmpfile tmpdir/
 ---> Running in a50d0a45ce94
cp: cannot create regular file 'tmpdir/': Not a directory
The command '/bin/sh -c cp tmpfile tmpdir/' returned a non-zero code: 1

这时，我们可以进入到前面一个指令中获取到的临时镜像8408a48380c2，调试下一个指令。

[root@localhost debug-dockerfile]# docker run -it 8408a48380c2

通过ll命令，我们可以看到上一个命令创建的文件tmpfile

注意事项

1. COPY/ADD文件夹时默认复制文件来中的文件

ADD go /usr/local/

将您的本地目录的内容复制到docker镜像go的/usr/local/目录中。

要复制go正在/usr/local/使用的目录：

ADD go /usr/local/go

要么

COPY go /usr/local/go