使用Dockerfile构建容器Dockfile 是一种被 Docker 程序解释的脚本,Dockerfile 由一条一条的指令组成,每条指令对 应 Linux 下面的一条命令。Docker 程序将这些 Dockerfile 指令翻译真正的 Linux 命令。Dockerfile 有自己书写格式和支持的命令,Docker 程序解决这些命令间的依赖关系,类似于 Makefile。 Docker 程序将读取 Dockerfile,根据指令生成定制的 image。相比 image 这种黑盒子,Dockerfile 这种显而易见的脚本更容易被使用者接受,它明确的表明 image 是怎么产生的。有了 Dockerfile,当我们需要定制自己额外的需求时,只需在 Dockerfile 上添加或者修改指令,重 新生成 image 即可,省去了敲命令的麻烦。
Dockerfile 由一行行命令语句组成,并且支持以#开头的注释行。
Dockerfile 的指令是忽略大小写的,建议使用大写,每一行只支持一条指令,每条指令可以 携带多个参数。
Dockerfile 的指令根据作用可以分为两种,构建指令和设置指令。构建指令用于构建 image, 其指定的操作不会在运行 image 的容器上执行;设置指令用于设置 image 的属性,其指定的 操作将在运行 image 的容器中执行。
一般的,Dockerfile 分为四部分:基础镜像信息、维护者信息、镜像操作指令和容器启动时 执行指令。
# Thisdockerfile uses the ubuntu image
# VERSION 2 - EDITION 1
# Author: docker_user
# Command format: Instruction [arguments / command] ..
# Base image to use, this must be set as the first line FROM ubuntu
# Maintainer: docker_user<docker_user at email.com> (@docker_user) MAINTAINER docker_user [email protected]
# Commands to update the image
RUNecho"debhttp://archive.ubuntu.com/ubuntu/raringmainuniverse">> /etc/apt/sources.list
RUN apt-get update && apt-get install -y nginx
RUN echo "\ndaemon off;" >> /etc/nginx/nginx.conf
# Commands when creating a new container CMD /usr/sbin/nginx
其中,一开始必须指明所基于的镜像名称,接下来推荐说明维护者信息。
后面则是镜像操作指令,例如RUN指令, RUN指令将对镜像执行跟随的命令。每运 行一条RUN指令,镜像添加新的一层,并提交。
最后是CMD指令,来指定运行容器时的操作命令。
dockerfile 指令
指令的一般格式为INSTRUCTION arguments,指令包括FROM、 MAINTAINER、 RUN
等。
(1)FROM(指定基础 image)
构建指令,必须指定且需要在 Dockerfile 其他指令的前面。后续的指令都依赖于该指令指定 的 image。FROM 指令指定的基础 image 可以是官方远程仓库中的,也可以位于本地仓库。
该指令有两种格式:
FROM <image>
指定基础 image 为该 image 的最后修改的版本。
或者:
FROM <image>:<tag>
(2)MAINTAINER(用来指定镜像创建者信息)
构建指令,用于将 image 的制作者相关的信息写入到 image 中。当我们对该 image 执行 docker inspect 命令时,输出中有相应的字段记录该信息。
格式:
MAINTAINER <name>
(3)RUN(安装软件用)
构建指令,RUN 可以运行任何被基础 image 支持的命令。如基础 image 选择了 ubuntu,那 么软件管理部分只能使用 ubuntu 的命令。
该指令有两种格式:
RUN <command> (the command is run in a shell - `/bin/sh -c`) RUN ["executable", "param1", "param2" ... ] (exec form)
(4)CMD(设置 container 启动时执行的操作)
该指令有三种格式:
设置指令,用于 container 启动时指定的操作。该操作可以是执行自定义脚本,也可以是执 行系统命令。
CMD ["executable","param1","param2"] 使用exec执行,推荐方式; CMD command param1 param2 在/bin/sh 中执行,提供给需要交互的应用;
当 Dockerfile 指定了 ENTRYPOINT,那么使用下面的格式:
CMD ["param1","param2"] 提供给ENTRYPOINT的默认参数;
ENTRYPOINT 指定的是一个可执行的脚本或者程序的路径,该指定的脚本或者程序 将会以 param1 和 param2 作为参数执行。所以如果 CMD 指令使用上面的形式,那 么 Dockerfile 中必须要有配套的 ENTRYPOINT。
指定启动容器时执行的命令,每个 Dockerfile 只能有一条CMD命令。如果指定了多条 命令,只有最后一条会被执行。
如果用户启动容器时候指定了运行的命令,则会覆盖掉CMD指定的命令。
(5)ENTRYPOINT(设置 container 启动时执行的操作) 设置指令,指定容器启动时执行的命令,可以多次设置,但是只有最后一个有效。
两种格式:
ENTRYPOINT ["executable", "param1", "param2"] ENTRYPOINT command param1 param2
每个 Dockerfile 中只能有一个ENTRYPOINT,当指定多个时,只有最后一个起效。
该指令的使用分为两种情况,一种是独自使用,另一种和 CMD 指令配合使用。 当独自使用时,如果你还使用了 CMD 命令且 CMD 是一个完整的可执行的命令,那 么 CMD 指令和 ENTRYPOINT 会互相覆盖只有最后一个 CMD 或者 ENTRYPOINT 有效。
例如: CMD 指令将不会被执行,只有 ENTRYPOINT 指令被执行
CMD echo “Hello, World!”
ENTRYPOINT ls -l
另一种用法和 CMD 指令配合使用来指定 ENTRYPOINT 的默认参数,这时 CMD 指 令不是一个完整的可执行命令,仅仅是参数部分;ENTRYPOINT 指令只能使用 JSON 方式指定执行命令,而不能指定参数。
例如:
FROM ubuntu CMD ["-l"]
ENTRYPOINT ["/usr/bin/ls"]
(6)USER(设置 container 容器的用户,默认是 root 用户) 格式为USER daemon
指定运行容器时的用户名或 UID,后续的RUN也会使用指定用户。 当服务不需要管理员权限时,可以通过该命令指定运行用户。并且可以在之前创建所需要的 用户,例
如: RUN groupadd -r postgres&&useradd -r -g postgrespostgres
例如: 指定 memcached 的运行用户
ENTRYPOINT ["memcached"] USER daemon
或
ENTRYPOINT ["memcached", "-u", "daemon"]
(7)EXPOSE(指定容器需要映射到宿主机器的端口)
格式为
EXPOSE <port>[<port>...]
设置指令,该指令会将容器中的端口映射成宿主机器中的某个端口。当你需要访问容器的时 候,可以不是用容器的 IP 地址而是使用宿主机器的 IP 地址和映射后的端口。 要完成整个操作需要两个步骤,首先在 Dockerfile 使用 EXPOSE 设置需要映射的容器端口, 然后在运行容器的时候指定-p 选项加上 EXPOSE 设置的端口,这样 EXPOSE 设置的端口号会 被随机映射成宿主机器中的一个端口号。也可以指定需要映射到宿主机器的那个端口,这时 要确保宿主机器上的端口号没有被使用。EXPOSE 指令可以一次设置多个端口号,相应的运 行容器的时候,可以配套的多次使用-p 选项。
例如: 映射一个端口
EXPOSE port1
# 相应的运行容器使用的命令
docker run -p port1 image
例如: 映射多个端口
EXPOSE port1 port2 port3
# 相应的运行容器使用的命令
docker run -p port1 -p port2 -p port3 image
# 还可以指定需要映射到宿主机器上的某个端口号
docker run -p host_port1:port1 -p host_port2:port2 -p host_port3:port3 image
端口映射是 docker 比较重要的一个功能,原因在于我们每次运行容器的时候容器的 IP 地址不能指定而是在桥接网卡的地址范围内随机生成的。宿主机器的 IP 地址是固 定的,我们可以将容器的端口的映射到宿主机器上的一个端口,免去每次访问容器 中的某个服务时都要查看容器的 IP 的地址。
对于一个运行的容器,可以使用 docker port 加上容器中需要映射的端口和容器的 ID
来查看该端口号在宿主机器上的映射端口。
(8)ENV(用于设置环境变量)
构建指令,指定一个环境变量,会被后续RUN指令使用,并在容器运行时保持。
格式:
ENV <key> <value>
设置了后,后续的 RUN 命令都可以使用,container 启动后,可以通过 docker inspect 查看这个环境变量,也可以通过在 docker run --env key=value 时设置或修改环境变量。 假如你安装了 JAVA 程序,需要设置 JAVA_HOME,那么可以在 Dockerfile 中这样写:
ENV JAVA_HOME /path/to/java/dirent
再例如:
ENV PG_MAJOR 9.3
ENV PG_VERSION 9.3.4
RUN curl http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress
ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH
(9)ADD(从 src 复制文件到 container 的 dest 路径)
构建指令,所有拷贝到 container 中的文件和文件夹权限为 0755,uid 和 gid 为 0; 如果是一个目录,那么会将该目录下的所有文件添加到 container 中,不包括目录; 如果文件是可识别的压缩格式,则 docker 会帮忙解压缩(注意压缩格式); 如果<src>是文件且<dest>中不使用斜杠结束,则会将<dest>视为文件,<src>的内容会写入
<dest>; 如果<src>是文件且<dest>中使用斜杠结束,则会<src>文件拷贝到<dest>目录下。
格式:
ADD <src> <dest>
该命令将复制指定的<src>到容器中的<dest>。
其中<src>可以是 Dockerfile 所在目录的一个相对路径;也可以是一个 URL;还可以 是一个 tar 文件(自动解压为目录)
<dest>是 container 中的绝对路径
(10)COPY
格式为
COPY <src><dest>
复制本地主机的<src>(为 Dockerfile 所在目录的相对路径)到容器中的<dest>。
(11)VOLUME(指定挂载点) 设置指令,使容器中的一个目录具有持久化存储数据的功能,该目录可以被容器本身使用, 也可以共享给其他容器使用。我们知道容器使用的是 AUFS,这种文件系统不能持久化数据, 当容器关闭后,所有的更改都会丢失。当容器中的应用有持久化数据的需求时可以在 Dockerfile 中使用该指令。
格式:
VOLUME ["<mountpoint>"]
例如:FROM base VOLUME ["/tmp/data"]
运行通过该 Dockerfile 生成 image 的容器,/tmp/data 目录中的数据在容器关闭后,
里面的数据还存在。例如另一个容器也有持久化数据的需求,且想使用上面容器共 享的/tmp/data 目录,那么可以运行下面的命令启动一个容器:
docker run -t -i -rm -volumes-from container1 image2 bash
container1 为第一个容器的 ID,image2 为第二个容器运行 image 的名字。
(12)WORKDIR(切换目录)
设置指令,可以多次切换(相当于 cd 命令),对 RUN,CMD,ENTRYPOINT 生效。为后续的RUN、 CMD、ENTRYPOINT指令配置工作目录。
格式:
WORKDIR /path/to/workdir
例如: 在 /p1/p2 下执行 vim a.txt
WORKDIR /p1
WORKDIR p2
RUN vim a.txt
可以使用多个WORKDIR指令,后续命令如果参数是相对路径,则会基于之前命令指定的 路径。
例如
WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd
则最终路径为/a/b/c。
(13)ONBUILD(在子镜像中执行)
ONBUILD <Dockerfile关键字>
ONBUILD 指定的命令在构建镜像时并不执行,而是在它的子镜像中执行。
格式为
ONBUILD[INSTRUCTION] 。
配置当所创建的镜像作为其它新创建镜像的基础镜像时,所执行的操作指令。 例如,Dockerfile 使用如下的内容创建了镜像image-A。
[...]
ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src
[...]
如果基于 image-A 创建新的镜像时,新的 Dockerfile 中使用FROM image-A指定基础镜像 时,会自动执行 ONBUILD指令内容。
等价于在后面添加了两条指令。
FROM image-A
#Automatically run the following ADD . /app/src
RUN /usr/local/bin/python-build --dir /app/src
使用 ONBUILD 指令的镜像,推荐在标签中注明,例如 ruby:1.9-onbuild 。
编写完成 Dockerfile 之后,可以通过 docker build 命令来创建镜像。
基本的格式为 docker build [选项] 路径,该命令将读取指定路径下的 Dockerfile,并将该路径 下所有内容发送给 Docker 服务端,由服务端来创建镜像。因此一般建议放置 Dockerfile 的 目录为空目录。
要指定镜像的标签信息,可以通过 -t 选项,例如
$ sudodocker build –tmyrepo/myapp/tmp/test1/
docker 应用案例:使用 dockerfile 创建 sshd 镜像模板并提供 http 访问应用
1) 创建一个 sshd_dockerfile 工作目录
编辑 run.sh 文件
在主机上生成 ssh 秘钥对,并创建 authorized_keys 文件
2) 编写 Dockerfile
FROM docker.io/centos:centos6 MAINTAINER from [email protected] RUN yum install -q -y httpd openssh-server sudo RUN useradd admin RUN echo "admin:admin" | chpasswd RUN echo "adminALL=(ALL)ALL" >> /etc/sudoers RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key RUN mkdir -p /var/run/sshd RUN mkdir -p /home/admin/.ssh RUNsed-ri‘s/#ServerNamewww.example.com:80/ServerNamewww.benet.com/g‘/etc/httpd/conf/httpd.conf ADD authorized_keys /home/admin/.ssh/authorized_keys ADD run.sh /run.sh RUN chmod 775 /run.sh EXPOSE 22 80 CMD ["/run.sh"]
以上选项的含义解释:
FROM centos:centos6 选择一个已有的 os 镜像作为基础
MAINTAINER 镜像的作者
RUN yum install -y openssh-server sudo 安装 openssh-server 和 sudo 软件包 添加测试用户 admin,密码 admin,并且将此用户添加到 sudoers 里
RUN useradd admin
RUN echo "admin:admin" | chpasswd
RUN echo "adminALL=(ALL)ALL" >> /etc/sudoers 下面这两句比较特殊,在 centos6 上必须要有,否则创建出来的容器 sshd 不能登录 RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
注意:centos7 上必须要有,否则创建出来的容器 sshd 不能登录 RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
RUN ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key RUN ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key
将公钥信息上传到远程连接用户的宿主目录的.ssh 下
ADDauthorized_keys /home/admin/.ssh/authorized_keys
启动 sshd 服务并且暴露 22 端口 RUN mkdir /var/run/sshd EXPOSE 22 80
CMD ["/run.sh"]也可以写成这种方式 CMD ["/usr/sbin/sshd", "-D"]
在 sshd_dockerfile 目录下,使用 dockerbuild 命令来创建镜像,注意:在最后还有一个”.”,
表示使用当前目录中的 dockerfile
[[email protected] dockerfile_ssh]# docker build --no-cache -t "centos:httpdv1" . Sending build context to Docker daemon 4.608 kB
Step 1 : FROM docker.io/centos:centos6
---> cf2c3ece5e41
Step 2 : MAINTAINER from duyuheng@example.com
---> Running in 962adaf5a8b0
---> 2416081be985
Removing intermediate container 962adaf5a8b0
Step 3 : RUN yum install -q -y httpd openssh-server sudo
---> Running in 5b4b7e914655
install-info: No such file or directory for /usr/share/info/ipc.info
---> 7abdeb066bf4
Removing intermediate container 5b4b7e914655 Step 4 : RUN useradd admin
---> Running in 81e1134d2c7d
---> 30f2ed6c873b
Removing intermediate container 81e1134d2c7d Step 5 : RUN echo "admin:admin" | chpasswd
---> Running in bda78320ad94
---> a3aac233977f
Removing intermediate container bda78320ad94
Step 6 : RUN echo "adminALL=(ALL)ALL" >> /etc/sudoers
---> Running in 9e853acfc5df
---> 1ba01e3e2117
Removing intermediate container 9e853acfc5df
Step 7 : RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
---> Running in 42e7bac12b28
Enter passphrase (empty for no passphrase): Enter same passphrase again: Generating public/private dsa key pair.
Your identification has been saved in /etc/ssh/ssh_host_dsa_key. Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub. The key fingerprint is: 27:57:3a:2b:b0:d7:f3:bf:c6:fc:39:25:b4:1b:1a:7a [email protected] The key‘s randomart image is:
+--[ DSA 1024]----+
|
| |
| |
|
|
| |
| |
|
|
| |
. |
| |
|
| |
o. |
| |
|
| |
. S =. . | |
|
|
| |
o = o. + .| |
|
|
| |
. o +. = +.| |
|
|
| |
. ..oE =..| |
|..oo+o|
+-----------------+
---> bbf7c221f794
Removing intermediate container 42e7bac12b28
Step 8 : RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
---> Running in b346460ed4f5
Enter passphrase (empty for no passphrase): Enter same passphrase again: Generating public/private rsa key pair.
Your identification has been saved in /etc/ssh/ssh_host_rsa_key. Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub. The key fingerprint is: a6:81:7b:97:b3:f7:2f:1a:6a:32:3b:28:ac:1b:5a:3f [email protected] The key‘s randomart image is:
+--[ RSA 2048]----+
||
||
||
|.|
|. . S|
|. + .|
|... ..o + .|
|.oo.E.+..+...|
|+o ....*o..o.o.|
+-----------------+
---> 3d0ee1a85ad4
Removing intermediate container b346460ed4f5 Step 9 : RUN mkdir -p /var/run/sshd
---> Running in e76b1bd2b7ce
---> d2482b5b8204
Removing intermediate container e76b1bd2b7ce Step 10 : RUN mkdir -p /home/admin/.ssh
---> Running in 1cba3065e3cd
---> 3e60cb91df1a
Removing intermediate container 1cba3065e3cd
Step 11 : RUN sed -ri ‘s/#ServerName www.example.com:80/ServerName www.benet.com/g‘
/etc/httpd/conf/httpd.conf
---> Running in 161721de2db1
---> cb7843f0357e
Removing intermediate container 161721de2db1
Step 12 : ADD authorized_keys /home/admin/.ssh/authorized_keys
---> 534b860aba71
Removing intermediate container 9bd6136efd04 Step 13 : ADD run.sh /run.sh
---> b4520cec52f8
Removing intermediate container f7b6656a0059 Step 14 : RUN chmod 775 /run.sh
---> Running in 8b0435e93a8a
---> e7056ebb998a
Removing intermediate container 8b0435e93a8a Step 15 : EXPOSE 22 80
---> Running in cf75f349472a
---> ced8aebce0ff
Removing intermediate container cf75f349472a Step 16 : CMD /run.sh
---> Running in a615e199e7c5
---> 4bb560917dd0
Removing intermediate container a615e199e7c5 Successfully built 4bb560917dd0
执行 docker images 查看新生成的镜像
[[email protected] ~]# docker images
REPOSITORYTAGIMAGE IDCREATEDSIZE
centoshttpdv14bb560917dd06 minutes ago301.3 MB centoshttpd204f2669758a18 minutes ago301.3 MB centossshecc0972a6319About an hour ago301.3 MB docker.io/centoscentos6cf2c3ece5e414 months ago194.6 MB
使用刚才建好的镜像运行一个容器,将容器的端口映射到主机的 10122
[[email protected] ~]# docker run -dit --name webserver1 -p 10122:22 -p 80:80 --restart=always centos:httpdv1
5ce147618a564f499450e14613cc2933ad2336a0eaba9e0941f6140999e4771c
[[email protected] ~]# docker ps
CONTAINER IDIMAGECOMMANDCREATEDSTATUSPORTSNAMES
5ce147618a56centos:httpdv1"/run.sh"5 seconds agoUp 4 seconds 0.0.0.0:80->80/tcp, 0.0.0.0:10122->22/tcpwebserver1 在宿主主机打开一个终端,连接刚才新建的容器
注:admin 用户是容器中的用户,192.168.1.102 地址是宿主机的地址。 测试 sudo 执行授权命令:
或
用 dockerinspect 查看容器的 ip 地址,在宿主机上直接 ssh 连接容器
