摘要：此命令下載測試鏡像并在容器中運行它。國內(nèi)很多云服務(wù)商都提供了加速器服務(wù)，例如阿里云加速器注冊用戶并且申請加速器，會獲得如這樣的地址。獲取鏡像阿里云鏡像庫上有大量的高質(zhì)量的鏡像可以用，這里我們就說一下怎么獲取這些鏡像并運行。

這篇文章是我學(xué)習(xí) Docker 的記錄,大部分內(nèi)容摘抄自 <> 一書,并非本人原創(chuàng).
學(xué)習(xí)過程中整理成適合我自己的筆記,其中也包含了我自己的實踐記錄.

最近工作中遇到項目部署的問題,因為原先舊項目還需要繼續(xù)在線服役,所以生產(chǎn)環(huán)境的一整套東西一直都停留在很低版本的 CentOS 中,很多時候想擴展或想部署一個新功能因為生產(chǎn)環(huán)境的問題而不得不花費更多的時間,有時候還不得不放棄.最要命的是我們新項目的開發(fā)環(huán)境是 Windows 環(huán)境,而且都是用較新的開發(fā)環(huán)境;而測試環(huán)境卻又是較新的 CentOS 環(huán)境,導(dǎo)致很多時候在這個環(huán)境運行沒有問題,在另一個環(huán)境卻無緣無故出問題,期間為了這些事浪費了很多時間.還好發(fā)現(xiàn)有 Docker 能夠解決這些頭痛的問題,當(dāng)然 Docker 不單單只能解決以上問題,它還有很多強大的功能.接下來就從零開始講講 Docker.

Docker 是 Docker 公司的開源項目，使用 Google 公司推出的?Go 語言開發(fā)的,并于 2013 年 3 月以 Apache 2.0 授權(quán)協(xié)議開源，主要項目代碼在 GitHub 上進行維護。

下面的圖片比較了 Docker 和傳統(tǒng)虛擬化方式的不同之處。傳統(tǒng)虛擬機技術(shù)是虛擬出一套硬件后，在其上運行一個完整操作系統(tǒng)，在該系統(tǒng)上再運行所需應(yīng)用進程；而容器內(nèi)的應(yīng)用進程直接運行于宿主的內(nèi)核，容器內(nèi)沒有自己的內(nèi)核，而且也沒有進行硬件虛擬。因此容器要比傳統(tǒng)虛擬機更為輕便。

Docker 跟傳統(tǒng)的虛擬化方式相比具有以下優(yōu)勢:

由于容器不需要進行硬件虛擬以及運行完整操作系統(tǒng)等額外開銷，Docker 對系統(tǒng)資源的利用率更高。無論是應(yīng)用執(zhí)行速度、內(nèi)存損耗或者文件存儲速度，都要比傳統(tǒng)虛擬機技術(shù)更高效。因此，相比虛擬機技術(shù)，一個相同配置的主機，往往可以運行更多數(shù)量的應(yīng)用。

傳統(tǒng)的虛擬機技術(shù)啟動應(yīng)用服務(wù)往往需要數(shù)分鐘，而 Docker 容器應(yīng)用，由于直接運行于宿主內(nèi)核，無需啟動完整的操作系統(tǒng)，因此可以做到秒級、甚至毫秒級的啟動時間。大大的節(jié)約了開發(fā)、測試、部署的時間。

開發(fā)過程中一個常見的問題是環(huán)境一致性問題。由于開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境不一致，導(dǎo)致有些 bug 并未在開發(fā)過程中被發(fā)現(xiàn)。而 Docker 的鏡像提供了除內(nèi)核外完整的運行時環(huán)境，確保了應(yīng)用運行環(huán)境一致性，從而不會再出現(xiàn) “這段代碼在我機器上沒問題啊” 這類問題。

對開發(fā)和運維人員來說，最希望的就是一次創(chuàng)建或配置，可以在任意地方正常運行。

使用 Docker 可以通過定制應(yīng)用鏡像來實現(xiàn)持續(xù)集成、持續(xù)交付、部署。開發(fā)人員可以通過 Dockerfile 來進行鏡像構(gòu)建，并結(jié)合 持續(xù)集成系統(tǒng)進行集成測試，而運維人員則可以直接在生產(chǎn)環(huán)境中快速部署該鏡像，甚至結(jié)合持續(xù)部署系統(tǒng)進行自動部署。

而且使用 Dockerfile 使鏡像構(gòu)建透明化，不僅僅開發(fā)團隊可以理解應(yīng)用運行環(huán)境，也方便運維團隊理解應(yīng)用運行所需條件，幫助更好的生產(chǎn)環(huán)境中部署該鏡像。

由于 Docker 確保了執(zhí)行環(huán)境的一致性，使得應(yīng)用的遷移更加容易。Docker 可以在很多平臺上運行，無論是物理機、虛擬機、公有云、私有云，甚至是筆記本，其運行結(jié)果是一致的。因此用戶可以很輕易的將在一個平臺上運行的應(yīng)用，遷移到另一個平臺上，而不用擔(dān)心運行環(huán)境的變化導(dǎo)致應(yīng)用無法正常運行的情況。

Docker 使用的分層存儲以及鏡像的技術(shù)，使得應(yīng)用重復(fù)部分的復(fù)用更為容易，也使得應(yīng)用的維護更新更加簡單，基于基礎(chǔ)鏡像進一步擴展鏡像也變得非常簡單。此外，Docker 團隊同各個開源項目團隊一起維護了一大批高質(zhì)量的官方鏡像，既可以直接在生產(chǎn)環(huán)境使用，又可以作為基礎(chǔ)進一步定制，大大的降低了應(yīng)用服務(wù)的鏡像制作成本。

Docker 包括三個基本概念

鏡像（Image）

容器（Container）

倉庫（Repository）

理解了這三個概念，就理解了 Docker 的整個生命周期。

我們都知道，操作系統(tǒng)分為內(nèi)核和用戶空間。對于 Linux 而言，內(nèi)核啟動后，會掛載 root 文件系統(tǒng)為其提供用戶空間支持。而 Docker 鏡像，就相當(dāng)于是一個 root 文件系統(tǒng)。比如 Docker 官方鏡像 ubuntu:14.04 就包含了完整的一套 Ubuntu 14.04 最小系統(tǒng)的 root 文件系統(tǒng)。

Docker 鏡像是一個特殊的文件系統(tǒng)，除了提供容器運行時所需的程序、庫、資源、配置等文件外，還包含了一些為運行時準(zhǔn)備的一些配置參數(shù)（如匿名卷、環(huán)境變量、用戶等）。鏡像不包含任何動態(tài)數(shù)據(jù)，其內(nèi)容在構(gòu)建之后也不會被改變。

鏡像和容器的關(guān)系，就像是面向?qū)ο蟪绦蛟O(shè)計中的類和實例一樣，鏡像是靜態(tài)的定義，容器是鏡像運行時的實體。容器可以被創(chuàng)建、啟動、停止、刪除、暫停等。

每一個容器運行時，是以鏡像為基礎(chǔ)層，在其上創(chuàng)建一個當(dāng)前容器的存儲層，我們可以稱這個為容器運行時讀寫而準(zhǔn)備的存儲層為容器存儲層。

容器存儲層的生存周期和容器一樣，容器消亡時，容器存儲層也隨之消亡。因此，任何保存于容器存儲層的信息都會隨容器刪除而丟失。

按照 Docker 最佳實踐的要求，容器不應(yīng)該向其存儲層內(nèi)寫入任何數(shù)據(jù)，容器存儲層要保持無狀態(tài)化。所有的文件寫入操作，都應(yīng)該使用 數(shù)據(jù)卷（Volume）、或者綁定宿主目錄，在這些位置的讀寫會跳過容器存儲層，直接對宿主(或網(wǎng)絡(luò)存儲)發(fā)生讀寫，其性能和穩(wěn)定性更高。

數(shù)據(jù)卷的生存周期獨立于容器，容器消亡，數(shù)據(jù)卷不會消亡。因此，使用數(shù)據(jù)卷后，容器可以隨意刪除、重新 run，數(shù)據(jù)卻不會丟失。

鏡像構(gòu)建完成后，可以很容易的在當(dāng)前宿主上運行，但是，如果需要在其它服務(wù)器上使用這個鏡像，我們就需要一個集中的存儲、分發(fā)鏡像的服務(wù)，Docker Registry 就是這樣的服務(wù)。

官方網(wǎng)站上有各種環(huán)境下的 安裝指南，這里主要介紹下 CentOS 的安裝。

Docker 需要安裝在 CentOS 7 64 位的平臺，并且內(nèi)核版本不低于 3.10. CentOS 7.× 滿足要求的最低內(nèi)核版本要求，但由于 CentOS 7 內(nèi)核版本比較低，部分功能（如 overlay2 存儲層驅(qū)動）無法使用，并且部分功能可能不太穩(wěn)定。所以建議大家升級到最新的 CentOS 版本,并且內(nèi)核也更新到最新的穩(wěn)定版本.更新的方法可以看看我的<>

為了簡化 Docker 安裝流程，我們可以使用阿里云提供的一套安裝腳本，CentOS 系統(tǒng)上可以使用這套腳本安裝 Docker :

curl -sSL http://acs-public-mirror.oss-cn-hangzhou.aliyuncs.com/docker-engine/internet | sh -

執(zhí)行這個命令后，腳本就會自動的將一切準(zhǔn)備工作做好，并且把 Docker 安裝在系統(tǒng)中。

Docker 通過運行 hello-world 映像驗證是否正確安裝。

$ docker run hello-world

> Unable to find image "hello-world:latest" locally
> latest: Pulling from library/hello-world
> b04784fba78d: Pull complete 
> Digest: sha256:f3b3b28a45160805bb16542c9531888519430e9e6d6ffc09d72261b0d26ff74f
> Status: Downloaded newer image for hello-world:latest
 
> Hello from Docker!
> This message shows that your installation appears to be working correctly.

> To generate this message, Docker took the following steps:
>  1. The Docker client contacted the Docker daemon.
>  2. The Docker daemon pulled the "hello-world" image from the Docker Hub.
>  3. The Docker daemon created a new container from that image which runs the
>     executable that produces the output you are currently reading.
>  4. The Docker daemon streamed that output to the Docker client, which sent it
>     to your terminal.

> To try something more ambitious, you can run an Ubuntu container with:
>  $ docker run -it ubuntu bash

> Share images, automate workflows, and more with a free Docker ID:
>  https://cloud.docker.com/

> For more examples and ideas, visit:
>  https://docs.docker.com/engine/userguide/

此命令下載測試鏡像并在容器中運行它。當(dāng)容器運行時，它打印一條信息消息并退出。如果你沒有配置鏡像加速器的話,運行 hello-world 映像驗證也是不會成功的.因為國內(nèi)網(wǎng)絡(luò)的原因,無法下載測試鏡像,更別說運行測試鏡像了,所以這一步可以先跳過,繼續(xù)往下看,等一下配置完鏡像加速器再來驗證.

$ docker -v

> Docker version 17.05.0-ce, build 89658be

可以看出當(dāng)前的 Docker 為 Docker CE 17.05.0 版本,CE 代表 Docker 社區(qū)版,EE 代表 Docker 企業(yè)版.

卸載Docker軟件包：

$ yum remove docker-ce

較老版本的 Docker 被稱為 docker 或 docker-engine。如果這些已安裝，請卸載它們以及關(guān)聯(lián)的依賴關(guān)系。

$ yum remove docker docker-common docker-selinux docker-engine

主機上的圖像，容器，卷或自定義配置文件不會自動刪除。必須手動刪除任何已編輯的配置文件。刪除所有圖像，容器和卷：

$ rm -rf /var/lib/docker

參見 Docker 官方 CentOS 安裝文檔.

國內(nèi)訪問 Docker Hub 有時會遇到困難，此時可以配置鏡像加速器。國內(nèi)很多云服務(wù)商都提供了加速器服務(wù)，例如：

阿里云加速器

注冊用戶并且申請加速器，會獲得如 https://jxus37ad.mirror.aliyuncs.com 這樣的地址。我們需要將其配置給 Docker 引擎。

用 systemctl enable docker 啟用服務(wù)后，編輯 /etc/systemd/system/multi-user.target.wants/docker.service 文件，找到 ExecStart= 這一行，在這行最后添加加速器地址 --registry-mirror=<加速器地址>，如：

ExecStart=/usr/bin/dockerd --registry-mirror=https://jxus37ad.mirror.aliyuncs.com

注：對于 1.12 以前的版本，dockerd 換成 docker daemon。

重新加載配置并且重新啟動。

$ sudo systemctl daemon-reload
$ sudo systemctl restart docker

Linux系統(tǒng)下配置完加速器需要檢查是否生效，在命令行執(zhí)行 ps -ef | grep dockerd，如果從結(jié)果中看到了配置的 --registry-mirror 參數(shù)說明配置成功。

$ sudo ps -ef | grep dockerd

> root      5346     1  0 19:03 ?        00:00:00 /usr/bin/dockerd --registry-mirror=https://jxus37ad.mirror.aliyuncs.com

Docker 運行容器前需要本地存在對應(yīng)的鏡像，如果鏡像不存在本地，Docker 會從鏡像倉庫下載（默認(rèn)是 Docker Hub 公共注冊服務(wù)器中的倉庫）。

阿里云鏡像庫 上有大量的高質(zhì)量的鏡像可以用，這里我們就說一下怎么獲取這些鏡像并運行。

獲取鏡像的命令是 docker pull。其命令格式為：

docker pull [選項] [Docker Registry地址]<倉庫名>:<標(biāo)簽>

具體的選項可以通過 docker pull --help 命令看到，這里我們說一下鏡像名稱的格式。

Docker Registry地址：地址的格式一般是 <域名/IP>[:端口號]。默認(rèn)地址是 Docker Hub。

倉庫名：如之前所說，這里的倉庫名是兩段式名稱，既 <用戶名>/<軟件名>。對于 Docker Hub，如果不給出用戶名，則默認(rèn)為 library，也就是官方鏡像.一定要配置鏡像加速器,不然下載速度很慢。

比如：

$ docker pull ubuntu:14.04

14.04: Pulling from library/ubuntu
bf5d46315322: Pull complete
9f13e0ac480c: Pull complete
e8988b5b3097: Pull complete
40af181810e7: Pull complete
e6f7c7e5c03e: Pull complete
Digest: sha256:147913621d9cdea08853f6ba9116c2e27a3ceffecf3b492983ae97c3d643fbbe
Status: Downloaded newer image for ubuntu:14.04

上面的命令中沒有給出 Docker Registry 地址，因此將會從 Docker Hub 獲取鏡像。而鏡像名稱是 ubuntu:14.04，因此將會獲取官方鏡像 library/ubuntu 倉庫中標(biāo)簽為 14.04 的鏡像。

要想列出已經(jīng)下載下來的鏡像，可以使用 docker images 命令。

$ docker images

REPOSITORY           TAG                 IMAGE ID            CREATED             SIZE
hello-world          latest              1815c82652c0        3 weeks ago         1.84kB
ubuntu               14.04               4a2820e686c4        2 weeks ago         188 MB

列表包含了倉庫名、標(biāo)簽、鏡像 ID、創(chuàng)建時間以及所占用的空間。

有了鏡像后，我們就可以以這個鏡像為基礎(chǔ)啟動一個容器來運行。以上面的 ubuntu:14.04 為例，如果我們打算啟動里面的 bash 并且進行交互式操作的話，可以執(zhí)行下面的命令。

$ docker run -it --rm ubuntu:14.04 bash

root@e7009c6ce357:/# cat /etc/os-release
NAME="Ubuntu"
VERSION="14.04.5 LTS, Trusty Tahr"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 14.04.5 LTS"
VERSION_ID="14.04"
HOME_URL="http://www.ubuntu.com/"
SUPPORT_URL="http://help.ubuntu.com/"
BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/"
root@e7009c6ce357:/# exit
exit

docker run 就是運行容器的命令，具體格式我們會在后面的章節(jié)講解，我們這里簡要的說明一下上面用到的參數(shù)。

-it：這是兩個參數(shù)，一個是 -i：交互式操作，一個是 -t 終端。我們這里打算進入 bash 執(zhí)行一些命令并查看返回結(jié)果，因此我們需要交互式終端。

--rm：這個參數(shù)是說容器退出后隨之將其刪除。默認(rèn)情況下，為了排障需求，退出的容器并不會立即刪除，除非手動 docker rm。我們這里只是隨便執(zhí)行個命令，看看結(jié)果，不需要排障和保留結(jié)果，因此使用 --rm 可以避免浪費空間。

ubuntu:14.04：這是指用 ubuntu:14.04 鏡像為基礎(chǔ)來啟動容器。

bash：放在鏡像名后的是命令，這里我們希望有個交互式 Shell，因此用的是 bash。

進入容器后，我們可以在 Shell 下操作，執(zhí)行任何所需的命令。這里，我們執(zhí)行了 cat /etc/os-release，這是 Linux 常用的查看當(dāng)前系統(tǒng)版本的命令，從返回的結(jié)果可以看到容器內(nèi)是 Ubuntu 14.04.5 LTS 系統(tǒng)。

最后我們通過 exit 退出了這個容器。

現(xiàn)在讓我們以定制一個 Web 服務(wù)器為例子，來講解鏡像是如何構(gòu)建的。

$ docker run --name webserver -d -p 80:80 nginx

這條命令會用 nginx 鏡像啟動一個容器，命名為 webserver，并且映射了 80 端口，這樣我們可以用瀏覽器去訪問這個 nginx 服務(wù)器。

如果是在 Linux 本機運行的 Docker，或者如果使用的是 Docker for Mac、Docker for Windows，那么可以直接訪問：http://localhost；如果使用的是 Docker Toolbox，或者是在虛擬機、云服務(wù)器上安裝的 Docker，則需要將 localhost 換為虛擬機地址或者實際云服務(wù)器地址,還要配置安全組放通對應(yīng)的端口。

直接用瀏覽器訪問的話，我們會看到默認(rèn)的 Nginx 歡迎頁面。

現(xiàn)在，改動這個歡迎頁面，改成Hello, Docker!，我們可以使用 docker exec 命令進入容器，修改其內(nèi)容。

$ docker exec -it webserver bash

root@f532879089c6:/# echo "
Hello, Docker!
" > /usr/share/nginx/html/index.html
root@f532879089c6:/# exit
exit

我們以交互式終端方式進入 webserver 容器，并執(zhí)行了 bash 命令，也就是獲得一個可操作的 Shell。

然后，我們用

Hello, Docker!

現(xiàn)在我們再刷新瀏覽器的話，會發(fā)現(xiàn)內(nèi)容被改變了。

我們修改了容器的文件，也就是改動了容器的存儲層。我們可以通過 docker diff 命令看到具體的改動。

$ docker diff webserver

C /root
A /root/.bash_history
C /run
A /run/nginx.pid
C /usr/share/nginx/html/index.html
C /var/cache/nginx
A /var/cache/nginx/client_temp
A /var/cache/nginx/fastcgi_temp
A /var/cache/nginx/proxy_temp
A /var/cache/nginx/scgi_temp
A /var/cache/nginx/uwsgi_temp

現(xiàn)在已經(jīng)定制好了,那我們?nèi)绾伟阉４嫦聛硇纬社R像?

要知道，當(dāng)我們運行一個容器的時候（如果不使用卷的話），我們做的任何文件修改都會被記錄于容器存儲層里。而 Docker 提供了一個 docker commit 命令，可以將容器的存儲層保存下來成為鏡像。換句話說，就是在原有鏡像的基礎(chǔ)上，再疊加上容器的存儲層，并構(gòu)成新的鏡像。以后我們運行這個新鏡像的時候，就會擁有原有容器最后的文件變化。

docker commit 的語法格式為：

docker commit [選項] <容器ID或容器名> [<倉庫名>[:<標(biāo)簽>]]

我們可以用下面的命令將容器保存為鏡像：

$ docker commit --author "longhui <[email protected]>" --message "修改了Nginx 歡迎頁面"  webserver nginx:v2

> sha256:ed889f9d550dd84d81b58eb9e340d49ecbb012b40f5b6507bd388dc335c0d4f5

其中 --author 是指定修改的作者，而 --message 則是記錄本次修改的內(nèi)容。

可以用 docker images 命令看到這個新定制的鏡像：

$ docker images

  REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
  nginx               v2                  ed889f9d550d        4 minutes ago       108MB
  nginx               latest              2f7f7bce8929        5 days ago          108MB
  hello-world         latest              1815c82652c0        3 weeks ago         1.84kB

我們還可以用 docker history 具體查看鏡像內(nèi)的歷史記錄，如果比較 nginx:latest 的歷史記錄，我們會發(fā)現(xiàn)新增了我們剛剛提交的這一層。

$ docker history nginx:v2

  IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
  ed889f9d550d        20 minutes ago      nginx -g daemon off;                            164B                修改了Nginx 歡迎頁面
  2f7f7bce8929        5 days ago          /bin/sh -c #(nop)  CMD ["nginx" "-g" "daem...   0B
             5 days ago          /bin/sh -c #(nop)  STOPSIGNAL [SIGTERM]         0B
             5 days ago          /bin/sh -c #(nop)  EXPOSE 80/tcp                0B
             5 days ago          /bin/sh -c ln -sf /dev/stdout /var/log/ngi...   22B
             5 days ago          /bin/sh -c apt-get update  && apt-get inst...   52.2MB
             5 days ago          /bin/sh -c #(nop)  ENV NJS_VERSION=1.13.2....   0B
             5 days ago          /bin/sh -c #(nop)  ENV NGINX_VERSION=1.13....   0B
             2 weeks ago         /bin/sh -c #(nop)  MAINTAINER NGINX Docker...   0B
             2 weeks ago         /bin/sh -c #(nop)  CMD ["bash"]                 0B
             2 weeks ago         /bin/sh -c #(nop) ADD file:54d82a3a8fe8d47...   55.3MB

新的鏡像定制好后，我們可以來運行這個鏡像。

docker run --name web2 -d -p 81:80 nginx:v2

這里我們命名為新的服務(wù)為 web2，并且映射到 81 端口。如果是 Docker for Mac/Windows 或 Linux 桌面的話，我們就可以直接訪問 http://localhost:81 看到結(jié)果，其內(nèi)容應(yīng)該和之前修改后的 webserver 一樣。

完成了第一次定制鏡像，使用的是 docker commit 命令，手動操作給舊的鏡像添加了新的一層，形成新的鏡像，對鏡像多層存儲應(yīng)該有了更直觀的感覺。

使用 docker commit 命令雖然可以比較直觀的幫助理解鏡像分層存儲的概念，但是實際環(huán)境中并不會這樣使用。

首先，如果仔細(xì)觀察之前的 docker diff webserver 的結(jié)果，你會發(fā)現(xiàn)除了真正想要修改的 /usr/share/nginx/html/index.html 文件外，由于命令的執(zhí)行，還有很多文件被改動或添加了。這還僅僅是最簡單的操作，如果是安裝軟件包、編譯構(gòu)建，那會有大量的無關(guān)內(nèi)容被添加進來，如果不小心清理，將會導(dǎo)致鏡像極為臃腫。

此外，使用 docker commit 意味著所有對鏡像的操作都是黑箱操作，生成的鏡像也被稱為黑箱鏡像，換句話說，就是除了制作鏡像的人知道執(zhí)行過什么命令、怎么生成的鏡像，別人根本無從得知。而且，即使是這個制作鏡像的人，過一段時間后也無法記清具體在操作的。雖然 docker diff 或許可以告訴得到一些線索，但是遠(yuǎn)遠(yuǎn)不到可以確保生成一致鏡像的地步。這種黑箱鏡像的維護工作是非常痛苦的。

而且，回顧之前提及的鏡像所使用的分層存儲的概念，除當(dāng)前層外，之前的每一層都是不會發(fā)生改變的，換句話說，任何修改的結(jié)果僅僅是在當(dāng)前層進行標(biāo)記、添加、修改，而不會改動上一層。如果使用 docker commit 制作鏡像，以及后期修改的話，每一次修改都會讓鏡像更加臃腫一次，所刪除的上一層的東西并不會丟失，會一直如影隨形的跟著這個鏡像，即使根本無法訪問到。這會讓鏡像更加臃腫。

docker commit 命令除了學(xué)習(xí)之外，還有一些特殊的應(yīng)用場合，比如被入侵后保存現(xiàn)場等。但是，不要使用 docker commit 定制鏡像，定制行為應(yīng)該使用 Dockerfile 來完成。

從剛才的學(xué)習(xí)中，我們可以了解到，鏡像的定制實際上就是定制每一層所添加的配置、文件。如果我們可以把每一層修改、安裝、構(gòu)建、操作的命令都寫入一個腳本，用這個腳本來構(gòu)建、定制鏡像，那么之前提及的無法重復(fù)的問題、鏡像構(gòu)建透明性的問題、體積的問題就都會解決。這個腳本就是 Dockerfile。

Dockerfile 是一個文本文件，其內(nèi)包含了一條條的指令(Instruction)，每一條指令構(gòu)建一層，因此每一條指令的內(nèi)容，就是描述該層應(yīng)當(dāng)如何構(gòu)建。

還以之前定制 nginx 鏡像為例，這次我們使用 Dockerfile 來定制。

在一個空白目錄中，建立一個文本文件，并命名為 Dockerfile：

$ mkdir mynginx
$ cd mynginx/
$ touch Dockerfile

添加以下內(nèi)容：

FROM nginx
RUN echo "
Hello, Docker!
" > /usr/share/nginx/html/index.html

這個 Dockerfile 很簡單，一共就兩行。涉及到了兩條指令，FROM 和 RUN。

所謂定制鏡像，那一定是以一個鏡像為基礎(chǔ)，在其上進行定制。就像我們之前運行了一個 nginx 鏡像的容器，再進行修改一樣，基礎(chǔ)鏡像是必須指定的。而 FROM 就是指定基礎(chǔ)鏡像，因此一個 Dockerfile 中 FROM 是必備的指令，并且必須是第一條指令。

RUN 指令是用來執(zhí)行命令行命令的。由于命令行的強大能力，RUN 指令在定制鏡像時是最常用的指令之一。其格式有兩種：

shell 格式：RUN <命令>，就像直接在命令行中輸入的命令一樣。剛才寫的 Dockrfile 中的 RUN 指令就是這種格式。

RUN echo "
Hello, Docker!
" > /usr/share/nginx/html/index.html

exec 格式：RUN ["可執(zhí)行文件", "參數(shù)1", "參數(shù)2"]，這更像是函數(shù)調(diào)用中的格式。

既然 RUN 就像 Shell 腳本一樣可以執(zhí)行命令，那么我們是否就可以像 Shell 腳本一樣把每一層構(gòu)建需要的命令寫出來,比如這樣：

FROM debian:jessie

RUN buildDeps="gcc libc6-dev make" 
    && apt-get update 
    && apt-get install -y $buildDeps 
    && wget -O redis.tar.gz "http://download.redis.io/releases/redis-3.2.5.tar.gz" 
    && mkdir -p /usr/src/redis 
    && tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 
    && make -C /usr/src/redis 
    && make -C /usr/src/redis install 
    && rm -rf /var/lib/apt/lists/* 
    && rm redis.tar.gz 
    && rm -r /usr/src/redis 
    && apt-get purge -y --auto-remove $buildDeps

僅僅使用一個 RUN 指令，并使用 && 將各個所需命令串聯(lián)起來。在撰寫 Dockerfile 的時候，要經(jīng)常提醒自己，這并不是在寫 Shell 腳本，而是在定義每一層該如何構(gòu)建。

并且，這里為了格式化還進行了換行。Dockerfile 支持 Shell 類的行尾添加 的命令換行方式，以及行首 # 進行注釋的格式。良好的格式，比如換行、縮進、注釋等，會讓維護、排障更為容易，這是一個比較好的習(xí)慣。

此外，還可以看到這一組命令的最后添加了清理工作的命令，刪除了為了編譯構(gòu)建所需要的軟件，清理了所有下載、展開的文件，并且還清理了 apt 緩存文件。這是很重要的一步，我們之前說過，鏡像是多層存儲，每一層的東西并不會在下一層被刪除，會一直跟隨著鏡像。因此鏡像構(gòu)建時，一定要確保每一層只添加真正需要添加的東西，任何無關(guān)的東西都應(yīng)該清理掉。

很多人初學(xué) Docker 制作出了很臃腫的鏡像的原因之一，就是忘記了每一層構(gòu)建的最后一定要清理掉無關(guān)文件。

再回到之前定制的 nginx 鏡像的 Dockerfile 來?，F(xiàn)在我們明白了這個 Dockerfile 的內(nèi)容，那么讓我們來構(gòu)建這個鏡像吧。

在 Dockerfile 文件所在目錄執(zhí)行：

$ docker build -t nginx:v3 .

Sending build context to Docker daemon  2.048kB
Step 1/2 : FROM nginx
 ---> 2f7f7bce8929
Step 2/2 : RUN echo "
Hello, Docker!
" > /usr/share/nginx/html/index.html
 ---> Running in f3f1e0d41576
 ---> e189d22f23b5
Removing intermediate container f3f1e0d41576
Successfully built e189d22f23b5
Successfully tagged nginx:v3

從命令的輸出結(jié)果中，我們可以清晰的看到鏡像的構(gòu)建過程。在 Step 2/2 中，如同我們之前所說的那樣，RUN 指令啟動了一個容器 f3f1e0d41576，執(zhí)行了所要求的命令，并最后提交了這一層 e189d22f23b5，隨后刪除了所用到的這個容器 f3f1e0d41576。

這里我們使用了 docker build 命令進行鏡像構(gòu)建。其格式為：

docker build [選項] <上下文路徑/URL/->

在這里我們指定了最終鏡像的名稱 -t nginx:v3，構(gòu)建成功后，我們可以像之前運行 nginx:v2 那樣來運行這個鏡像，其結(jié)果會和 nginx:v2 一樣。

如果注意，會看到 docker build 命令最后有一個 .。. 表示當(dāng)前目錄，而 Dockerfile 就在當(dāng)前目錄，因此不少初學(xué)者以為這個路徑是在指定 Dockerfile 所在路徑，這么理解其實是不準(zhǔn)確的。如果對應(yīng)上面的命令格式，你可能會發(fā)現(xiàn)，這是在指定上下文路徑。那么什么是上下文呢？

首先我們要理解 docker build 的工作原理。Docker 在運行時分為 Docker 引擎（也就是服務(wù)端守護進程）和客戶端工具。Docker 的引擎提供了一組 REST API，被稱為 Docker Remote API，而如 docker 命令這樣的客戶端工具，則是通過這組 API 與 Docker 引擎交互，從而完成各種功能。因此，雖然表面上我們好像是在本機執(zhí)行各種 docker 功能，但實際上，一切都是使用的遠(yuǎn)程調(diào)用形式在服務(wù)端（Docker 引擎）完成。也因為這種 C/S 設(shè)計，讓我們操作遠(yuǎn)程服務(wù)器的 Docker 引擎變得輕而易舉。

當(dāng)我們進行鏡像構(gòu)建的時候，并非所有定制都會通過 RUN 指令完成，經(jīng)常會需要將一些本地文件復(fù)制進鏡像，比如通過 COPY 指令、ADD 指令等。而 docker build 命令構(gòu)建鏡像，其實并非在本地構(gòu)建，而是在服務(wù)端，也就是 Docker 引擎中構(gòu)建的。那么在這種客戶端/服務(wù)端的架構(gòu)中，如何才能讓服務(wù)端獲得本地文件呢？

這就引入了上下文的概念。當(dāng)構(gòu)建的時候，用戶會指定構(gòu)建鏡像上下文的路徑，docker build 命令得知這個路徑后，會將路徑下的所有內(nèi)容打包，然后上傳給 Docker 引擎。這樣 Docker 引擎收到這個上下文包后，展開就會獲得構(gòu)建鏡像所需的一切文件。

如果在 Dockerfile 中這么寫：

COPY ./package.json /app/

這并不是要復(fù)制執(zhí)行 docker build 命令所在的目錄下的 package.json，也不是復(fù)制 Dockerfile 所在目錄下的 package.json，而是復(fù)制 上下文（context） 目錄下的 package.json。

因此，COPY 這類指令中的源文件的路徑都是相對路徑。這也是初學(xué)者經(jīng)常會問的為什么 COPY ../package.json /app 或者 COPY /opt/xxxx /app 無法工作的原因，因為這些路徑已經(jīng)超出了上下文的范圍，Docker 引擎無法獲得這些位置的文件。如果真的需要那些文件，應(yīng)該將它們復(fù)制到上下文目錄中去。

現(xiàn)在就可以理解剛才的命令 docker build -t nginx:v3 . 中的這個 .，實際上是在指定上下文的目錄，docker build 命令會將該目錄下的內(nèi)容打包交給 Docker 引擎以幫助構(gòu)建鏡像。

如果觀察 docker build 輸出，我們其實已經(jīng)看到了這個發(fā)送上下文的過程：

$ docker build -t nginx:v3 .
Sending build context to Docker daemon 2.048 kB
...

理解構(gòu)建上下文對于鏡像構(gòu)建是很重要的，避免犯一些不應(yīng)該的錯誤。比如有些初學(xué)者在發(fā)現(xiàn) COPY /opt/xxxx /app 不工作后，于是干脆將 Dockerfile 放到了硬盤根目錄去構(gòu)建，結(jié)果發(fā)現(xiàn) docker build 執(zhí)行后，在發(fā)送一個幾十 GB 的東西，極為緩慢而且很容易構(gòu)建失敗。那是因為這種做法是在讓 docker build 打包整個硬盤，這顯然是使用錯誤。

一般來說，應(yīng)該會將 Dockerfile 置于一個空目錄下，或者項目根目錄下。如果該目錄下沒有所需文件，那么應(yīng)該把所需文件復(fù)制一份過來。如果目錄下有些東西確實不希望構(gòu)建時傳給 Docker 引擎，那么可以用 .gitignore 一樣的語法寫一個 .dockerignore，該文件是用于剔除不需要作為上下文傳遞給 Docker 引擎的。

那么為什么會有人誤以為 . 是指定 Dockerfile 所在目錄呢？這是因為在默認(rèn)情況下，如果不額外指定 Dockerfile 的話，會將上下文目錄下的名為 Dockerfile 的文件作為 Dockerfile。

這只是默認(rèn)行為，實際上 Dockerfile 的文件名并不要求必須為 Dockerfile，而且并不要求必須位于上下文目錄中，比如可以用 -f ../Dockerfile.php 參數(shù)指定某個文件作為 Dockerfile。

當(dāng)然，一般大家習(xí)慣性的會使用默認(rèn)的文件名 Dockerfile，以及會將其置于鏡像構(gòu)建上下文目錄中。

格式：

COPY <源路徑>... <目標(biāo)路徑>

COPY ["<源路徑1>",... "<目標(biāo)路徑>"]

和 RUN 指令一樣，也有兩種格式，一種類似于命令行，一種類似于函數(shù)調(diào)用。

COPY 指令將從構(gòu)建上下文目錄中 <源路徑> 的文件/目錄復(fù)制到新的一層的鏡像內(nèi)的 <目標(biāo)路徑> 位置。比如：

COPY package.json /usr/src/app/

<源路徑> 可以是多個，甚至可以是通配符，如：

COPY hom* /mydir/
COPY hom?.txt /mydir/

<目標(biāo)路徑> 可以是容器內(nèi)的絕對路徑，也可以是相對于工作目錄的相對路徑（工作目錄可以用 WORKDIR 指令來指定）。目標(biāo)路徑不需要事先創(chuàng)建，如果目錄不存在會在復(fù)制文件前先行創(chuàng)建缺失目錄。

此外，還需要注意一點，使用 COPY 指令，源文件的各種元數(shù)據(jù)都會保留。比如讀、寫、執(zhí)行權(quán)限、文件變更時間等。這個特性對于鏡像定制很有用。特別是構(gòu)建相關(guān)文件都在使用 Git 進行管理的時候。

ADD 指令和 COPY 的格式和性質(zhì)基本一致。但是在 COPY 基礎(chǔ)上增加了一些功能。

比如 <源路徑> 可以是一個 URL，這種情況下，Docker 引擎會試圖去下載這個鏈接的文件放到 <目標(biāo)路徑> 去。下載后的文件權(quán)限自動設(shè)置為 600，如果這并不是想要的權(quán)限，那么還需要增加額外的一層 RUN 進行權(quán)限調(diào)整，另外，如果下載的是個壓縮包，需要解壓縮，也一樣還需要額外的一層 RUN 指令進行解壓縮。所以不如直接使用 RUN 指令，然后使用 wget 或者 curl 工具下載，處理權(quán)限、解壓縮、然后清理無用文件更合理。因此，這個功能其實并不實用，而且不推薦使用。

如果 <源路徑> 為一個 tar 壓縮文件的話，壓縮格式為 gzip, bzip2 以及 xz 的情況下，ADD 指令將會自動解壓縮這個壓縮文件到 <目標(biāo)路徑> 去。

在某些情況下，這個自動解壓縮的功能非常有用，比如官方鏡像 ubuntu 中：

FROM scratch
ADD ubuntu-xenial-core-cloudimg-amd64-root.tar.gz /
...

但在某些情況下，如果我們真的是希望復(fù)制個壓縮文件進去，而不解壓縮，這時就不可以使用 ADD 命令了。

在 Docker 官方的最佳實踐文檔中要求，盡可能的使用 COPY，因為 COPY 的語義很明確，就是復(fù)制文件而已，而 ADD 則包含了更復(fù)雜的功能，其行為也不一定很清晰。最適合使用 ADD 的場合，就是所提及的需要自動解壓縮的場合。

另外需要注意的是，ADD 指令會令鏡像構(gòu)建緩存失效，從而可能會令鏡像構(gòu)建變得比較緩慢。

因此在 COPY 和 ADD 指令中選擇的時候，可以遵循這樣的原則，所有的文件復(fù)制均使用 COPY 指令，僅在需要自動解壓縮的場合使用 ADD。

Docker 不是虛擬機，容器就是進程。既然是進程，那么在啟動容器的時候，需要指定所運行的程序及參數(shù)。CMD 指令就是用于指定默認(rèn)的容器主進程的啟動命令的。

CMD 指令的格式和 RUN 相似，也是兩種格式：

shell 格式：CMD <命令>

exec 格式：CMD ["可執(zhí)行文件", "參數(shù)1", "參數(shù)2"...]

參數(shù)列表格式：CMD ["參數(shù)1", "參數(shù)2"...]。在指定了 ENTRYPOINT 指令后，用 CMD 指定具體的參數(shù)。

在運行時可以指定新的命令來替代鏡像設(shè)置中的這個默認(rèn)命令，比如，ubuntu 鏡像默認(rèn)的 CMD 是 /bin/bash，如果我們直接 docker run -it ubuntu 的話，會直接進入 bash。我們也可以在運行時指定運行別的命令，如 docker run -it ubuntu cat /etc/os-release。這就是用 cat /etc/os-release 命令替換了默認(rèn)的 /bin/bash 命令了，輸出了系統(tǒng)版本信息。

在指令格式上，一般推薦使用 exec 格式，這類格式在解析時會被解析為 JSON 數(shù)組，因此一定要使用雙引號 "，而不要使用單引號。

如果使用 shell 格式的話，實際的命令會被包裝為 sh -c 的參數(shù)的形式進行執(zhí)行。比如：

CMD echo $HOME

在實際執(zhí)行中，會將其變更為：

CMD [ "sh", "-c", "echo $HOME" ]

這就是為什么我們可以使用環(huán)境變量的原因，因為這些環(huán)境變量會被 shell 進行解析處理。

提到 CMD 就不得不提容器中應(yīng)用在前臺執(zhí)行和后臺執(zhí)行的問題。這是初學(xué)者常出現(xiàn)的一個混淆。

Docker 不是虛擬機，容器中的應(yīng)用都應(yīng)該以前臺執(zhí)行，而不是像虛擬機、物理機里面那樣，用 upstart/systemd 去啟動后臺服務(wù)，容器內(nèi)沒有后臺服務(wù)的概念。

一些初學(xué)者將 CMD 寫為：

CMD service nginx start

然后發(fā)現(xiàn)容器執(zhí)行后就立即退出了。甚至在容器內(nèi)去使用 systemctl 命令結(jié)果卻發(fā)現(xiàn)根本執(zhí)行不了。這就是因為沒有搞明白前臺、后臺的概念，沒有區(qū)分容器和虛擬機的差異，依舊在以傳統(tǒng)虛擬機的角度去理解容器。

對于容器而言，其啟動程序就是容器應(yīng)用進程，容器就是為了主進程而存在的，主進程退出，容器就失去了存在的意義，從而退出，其它輔助進程不是它需要關(guān)心的東西。

而使用 service nginx start 命令，則是希望 upstart 來以后臺守護進程形式啟動 nginx 服務(wù)。而剛才說了 CMD service nginx start 會被理解為 CMD [ "sh", "-c", "service nginx start"]，因此主進程實際上是 sh。那么當(dāng) service nginx start 命令結(jié)束后，sh 也就結(jié)束了，sh 作為主進程退出了，自然就會令容器退出。

正確的做法是直接執(zhí)行 nginx 可執(zhí)行文件，并且要求以前臺形式運行。比如：

CMD ["nginx", "-g", "daemon off;"]

ENTRYPOINT 的格式和 RUN 指令格式一樣，分為 exec 格式和 shell 格式。

ENTRYPOINT 的目的和 CMD 一樣，都是在指定容器啟動程序及參數(shù)。ENTRYPOINT 在運行時也可以替代，不過比 CMD 要略顯繁瑣，需要通過 docker run 的參數(shù) --entrypoint 來指定。

當(dāng)指定了 ENTRYPOINT 后，CMD 的含義就發(fā)生了改變，不再是直接的運行其命令，而是將 CMD 的內(nèi)容作為參數(shù)傳給 ENTRYPOINT 指令，換句話說實際執(zhí)行時，將變?yōu)椋?/p>

 ""

那么有了 CMD 后，為什么還要有 ENTRYPOINT 呢？這種 "" 有什么好處么？讓我們來看幾個場景。

假設(shè)我們需要一個得知自己當(dāng)前公網(wǎng) IP 的鏡像，那么可以先用 CMD 來實現(xiàn)：

FROM ubuntu:16.04
RUN apt-get update 
    && apt-get install -y curl 
    && rm -rf /var/lib/apt/lists/*
CMD [ "curl", "-s", "http://ip.cn" ]

假如我們使用 docker build -t myip . 來構(gòu)建鏡像的話，如果我們需要查詢當(dāng)前公網(wǎng) IP，只需要執(zhí)行：

$ docker run myip
當(dāng)前 IP：61.148.226.66 來自：北京市 聯(lián)通

嗯，這么看起來好像可以直接把鏡像當(dāng)做命令使用了，不過命令總有參數(shù)，如果我們希望加參數(shù)呢？比如從上面的 CMD 中可以看到實質(zhì)的命令是 curl，那么如果我們希望顯示 HTTP 頭信息，就需要加上 -i 參數(shù)。那么我們可以直接加 -i 參數(shù)給 docker run myip 么？

$ docker run myip -i
docker: Error response from daemon: invalid header field value "oci runtime error: container_linux.go:247: starting container process caused "exec: "-i": executable file not found in $PATH"
".

我們可以看到可執(zhí)行文件找不到的報錯，executable file not found。之前我們說過，跟在鏡像名后面的是 command，運行時會替換 CMD 的默認(rèn)值。因此這里的 -i 替換了原來的 CMD，而不是添加在原來的 curl -s http://ip.cn 后面。而 -i 根本不是命令，所以自然找不到。

那么如果我們希望加入 -i 這參數(shù)，我們就必須重新完整的輸入這個命令：

$ docker run myip curl -s http://ip.cn -i

這顯然不是很好的解決方案，而使用 ENTRYPOINT 就可以解決這個問題?，F(xiàn)在我們重新用 ENTRYPOINT 來實現(xiàn)這個鏡像：

FROM ubuntu:16.04
RUN apt-get update 
    && apt-get install -y curl 
    && rm -rf /var/lib/apt/lists/*
ENTRYPOINT [ "curl", "-s", "http://ip.cn" ]

這次我們再來嘗試直接使用 docker run myip -i：

$ docker run myip
當(dāng)前 IP：61.148.226.66 來自：北京市 聯(lián)通

$ docker run myip -i
HTTP/1.1 200 OK
Server: nginx/1.8.0
Date: Tue, 22 Nov 2016 05:12:40 GMT
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
X-Powered-By: PHP/5.6.24-1~dotdeb+7.1
X-Cache: MISS from cache-2
X-Cache-Lookup: MISS from cache-2:80
X-Cache: MISS from proxy-2_6
Transfer-Encoding: chunked
Via: 1.1 cache-2:80, 1.1 proxy-2_6:8006
Connection: keep-alive

當(dāng)前 IP：61.148.226.66 來自：北京市 聯(lián)通

可以看到，這次成功了。這是因為當(dāng)存在 ENTRYPOINT 后，CMD 的內(nèi)容將會作為參數(shù)傳給 ENTRYPOINT，而這里 -i 就是新的 CMD，因此會作為參數(shù)傳給 curl，從而達到了我們預(yù)期的效果。

啟動容器就是啟動主進程，但有些時候，啟動主進程前，需要一些準(zhǔn)備工作。

比如 mysql 類的數(shù)據(jù)庫，可能需要一些數(shù)據(jù)庫配置、初始化的工作，這些工作要在最終的 mysql 服務(wù)器運行之前解決。

此外，可能希望避免使用 root 用戶去啟動服務(wù)，從而提高安全性，而在啟動服務(wù)前還需要以 root 身份執(zhí)行一些必要的準(zhǔn)備工作，最后切換到服務(wù)用戶身份啟動服務(wù)。或者除了服務(wù)外，其它命令依舊可以使用 root 身份執(zhí)行，方便調(diào)試等。

這些準(zhǔn)備工作是和容器 CMD 無關(guān)的，無論 CMD 為什么，都需要事先進行一個預(yù)處理的工作。這種情況下，可以寫一個腳本，然后放入 ENTRYPOINT 中去執(zhí)行，而這個腳本會將接到的參數(shù)（也就是 ）作為命令，在腳本最后執(zhí)行。比如官方鏡像 redis 中就是這么做的：

FROM alpine:3.4
...
RUN addgroup -S redis && adduser -S -G redis redis
...
ENTRYPOINT ["docker-entrypoint.sh"]

EXPOSE 6379
CMD [ "redis-server" ]

可以看到其中為了 redis 服務(wù)創(chuàng)建了 redis 用戶，并在最后指定了 ENTRYPOINT 為 docker-entrypoint.sh 腳本。

#!/bin/sh
...
# allow the container to be started with `--user`
if [ "$1" = "redis-server" -a "$(id -u)" = "0" ]; then
    chown -R redis .
    exec su-exec redis "$0" "$@"
fi

exec "$@"

該腳本的內(nèi)容就是根據(jù) CMD 的內(nèi)容來判斷，如果是 redis-server 的話，則切換到 redis 用戶身份啟動服務(wù)器，否則依舊使用 root 身份執(zhí)行。比如：

$ docker run -it redis id
uid=0(root) gid=0(root) groups=0(root)

格式有兩種：

ENV

ENV = =...

這個指令很簡單，就是設(shè)置環(huán)境變量而已，無論是后面的其它指令，如 RUN，還是運行時的應(yīng)用，都可以直接使用這里定義的環(huán)境變量。

ENV VERSION=1.0 DEBUG=on 
    NAME="Happy Feet"

這個例子中演示了如何換行，以及對含有空格的值用雙引號括起來的辦法，這和 Shell 下的行為是一致的。

定義了環(huán)境變量，那么在后續(xù)的指令中，就可以使用這個環(huán)境變量。比如在官方 node 鏡像 Dockerfile 中，就有類似這樣的代碼：

ENV NODE_VERSION 7.2.0

RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" 
  && curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc" 
  && gpg --batch --decrypt --output SHASUMS256.txt SHASUMS256.txt.asc 
  && grep " node-v$NODE_VERSION-linux-x64.tar.xz$" SHASUMS256.txt | sha256sum -c - 
  && tar -xJf "node-v$NODE_VERSION-linux-x64.tar.xz" -C /usr/local --strip-components=1 
  && rm "node-v$NODE_VERSION-linux-x64.tar.xz" SHASUMS256.txt.asc SHASUMS256.txt 
  && ln -s /usr/local/bin/node /usr/local/bin/nodejs

在這里先定義了環(huán)境變量 NODE_VERSION，其后的 RUN 這層里，多次使用 $NODE_VERSION 來進行操作定制?？梢钥吹剑瑢砩夌R像構(gòu)建版本的時候，只需要更新 7.2.0 即可，Dockerfile 構(gòu)建維護變得更輕松了。

下列指令可以支持環(huán)境變量引用： ADD、COPY、ENV、EXPOSE、LABEL、USER、WORKDIR、VOLUME、STOPSIGNAL、ONBUILD。

可以從這個指令列表里感覺到，環(huán)境變量可以使用的地方很多，很強大。通過環(huán)境變量，我們可以讓一份 Dockerfile 制作更多的鏡像，只需使用不同的環(huán)境變量即可。

格式：ARG <參數(shù)名>[=<默認(rèn)值>]

構(gòu)建參數(shù)和 ENV 的效果一樣，都是設(shè)置環(huán)境變量。所不同的是，ARG 所設(shè)置的構(gòu)建環(huán)境的環(huán)境變量，在將來容器運行時是不會存在這些環(huán)境變量的。但是不要因此就使用 ARG 保存密碼之類的信息，因為 docker history 還是可以看到所有值的。

Dockerfile 中的 ARG 指令是定義參數(shù)名稱，以及定義其默認(rèn)值。該默認(rèn)值可以在構(gòu)建命令 docker build 中用 --build-arg <參數(shù)名>=<值> 來覆蓋。

在 1.13 之前的版本，要求 --build-arg 中的參數(shù)名，必須在 Dockerfile 中用 ARG 定義過了，換句話說，就是 --build-arg 指定的參數(shù)，必須在 Dockerfile 中使用了。如果對應(yīng)參數(shù)沒有被使用，則會報錯退出構(gòu)建。從 1.13 開始，這種嚴(yán)格的限制被放開，不再報錯退出，而是顯示警告信息，并繼續(xù)構(gòu)建。這對于使用 CI 系統(tǒng)，用同樣的構(gòu)建流程構(gòu)建不同的 Dockerfile 的時候比較有幫助，避免構(gòu)建命令必須根據(jù)每個 Dockerfile 的內(nèi)容修改。

格式為：

VOLUME ["<路徑1>", "<路徑2>"...]

VOLUME <路徑>

之前說過，容器運行時應(yīng)該盡量保持容器存儲層不發(fā)生寫操作，對于數(shù)據(jù)庫類需要保存動態(tài)數(shù)據(jù)的應(yīng)用，其數(shù)據(jù)庫文件應(yīng)該保存于卷(volume)中，后面的章節(jié)我們會進一步介紹 Docker 卷的概念。為了防止運行時用戶忘記將動態(tài)文件所保存目錄掛載為卷，在 Dockerfile 中，我們可以事先指定某些目錄掛載為匿名卷，這樣在運行時如果用戶不指定掛載，其應(yīng)用也可以正常運行，不會向容器存儲層寫入大量數(shù)據(jù)。

VOLUME /data

這里的 /data 目錄就會在運行時自動掛載為匿名卷，任何向 /data 中寫入的信息都不會記錄進容器存儲層，從而保證了容器存儲層的無狀態(tài)化。當(dāng)然，運行時可以覆蓋這個掛載設(shè)置。比如：

docker run -d -v mydata:/data xxxx

在這行命令中，就使用了 mydata 這個命名卷掛載到了 /data 這個位置，替代了 Dockerfile 中定義的匿名卷的掛載配置。

格式為 EXPOSE <端口1> [<端口2>...]。

EXPOSE 指令是聲明運行時容器提供服務(wù)端口，這只是一個聲明，在運行時并不會因為這個聲明應(yīng)用就會開啟這個端口的服務(wù)。在 Dockerfile 中寫入這樣的聲明有兩個好處，一個是幫助鏡像使用者理解這個鏡像服務(wù)的守護端口，以方便配置映射；另一個用處則是在運行時使用隨機端口映射時，也就是 docker run -P 時，會自動隨機映射 EXPOSE 的端口。

要將 EXPOSE 和在運行時使用 -p <宿主端口>:<容器端口> 區(qū)分開來。-p，是映射宿主端口和容器端口，換句話說，就是將容器的對應(yīng)端口服務(wù)公開給外界訪問，而 EXPOSE 僅僅是聲明容器打算使用什么端口而已，并不會自動在宿主進行端口映射。

格式為 WORKDIR <工作目錄路徑>。

使用 WORKDIR 指令可以來指定工作目錄（或者稱為當(dāng)前目錄），以后各層的當(dāng)前目錄就被改為指定的目錄，如該目錄不存在，WORKDIR 會幫你建立目錄。

之前提到一些初學(xué)者常犯的錯誤是把 Dockerfile 等同于 Shell 腳本來書寫，這種錯誤的理解還可能會導(dǎo)致出現(xiàn)下面這樣的錯誤：

RUN cd /app
RUN echo "hello" > world.txt

如果將這個 Dockerfile 進行構(gòu)建鏡像運行后，會發(fā)現(xiàn)找不到 /app/world.txt 文件，或者其內(nèi)容不是 hello。原因其實很簡單，在 Shell 中，連續(xù)兩行是同一個進程執(zhí)行環(huán)境，因此前一個命令修改的內(nèi)存狀態(tài)，會直接影響后一個命令；而在 Dockerfile 中，這兩行 RUN 命令的執(zhí)行環(huán)境根本不同，是兩個完全不同的容器。這就是對 Dokerfile 構(gòu)建分層存儲的概念不了解所導(dǎo)致的錯誤。

之前說過每一個 RUN 都是啟動一個容器、執(zhí)行命令、然后提交存儲層文件變更。第一層 RUN cd /app 的執(zhí)行僅僅是當(dāng)前進程的工作目錄變更，一個內(nèi)存上的變化而已，其結(jié)果不會造成任何文件變更。而到第二層的時候，啟動的是一個全新的容器，跟第一層的容器更完全沒關(guān)系，自然不可能繼承前一層構(gòu)建過程中的內(nèi)存變化。

因此如果需要改變以后各層的工作目錄的位置，那么應(yīng)該使用 WORKDIR 指令。

格式：

HEALTHCHECK [選項] CMD <命令>：設(shè)置檢查容器健康狀況的命令

HEALTHCHECK NONE：如果基礎(chǔ)鏡像有健康檢查指令，使用這行可以屏蔽掉其健康檢查指令

HEALTHCHECK 指令是告訴 Docker 應(yīng)該如何進行判斷容器的狀態(tài)是否正常.

在沒有 HEALTHCHECK 指令前，Docker 引擎只可以通過容器內(nèi)主進程是否退出來判斷容器是否狀態(tài)異常。很多情況下這沒問題，但是如果程序進入死鎖狀態(tài)，或者死循環(huán)狀態(tài)，應(yīng)用進程并不退出，但是該容器已經(jīng)無法提供服務(wù)了。在 1.12 以前，Docker 不會檢測到容器的這種狀態(tài)，從而不會重新調(diào)度，導(dǎo)致可能會有部分容器已經(jīng)無法提供服務(wù)了卻還在接受用戶請求。

而自 1.12 之后，Docker 提供了 HEALTHCHECK 指令，通過該指令指定一行命令，用這行命令來判斷容器主進程的服務(wù)狀態(tài)是否還正常，從而比較真實的反應(yīng)容器實際狀態(tài)。

當(dāng)在一個鏡像指定了 HEALTHCHECK 指令后，用其啟動容器，初始狀態(tài)會為 starting，在 HEALTHCHECK 指令檢查成功后變?yōu)?healthy，如果連續(xù)一定次數(shù)失敗，則會變?yōu)?unhealthy。

HEALTHCHECK 支持下列選項：

--interval=<間隔>：兩次健康檢查的間隔，默認(rèn)為 30 秒；

--timeout=<時長>：健康檢查命令運行超時時間，如果超過這個時間，本次健康檢查就被視為失敗，默認(rèn) 30 秒；

--retries=<次數(shù)>：當(dāng)連續(xù)失敗指定次數(shù)后，則將容器狀態(tài)視為 unhealthy，默認(rèn) 3 次。

和 CMD, ENTRYPOINT 一樣，HEALTHCHECK 只可以出現(xiàn)一次，如果寫了多個，只有最后一個生效。

在 HEALTHCHECK [選項] CMD 后面的命令，格式和 ENTRYPOINT 一樣，分為 shell 格式，和 exec 格式。命令的返回值決定了該次健康檢查的成功與否：0：成功；1：失?。?b>2：保留，不要使用這個值。

假設(shè)我們有個鏡像是個最簡單的 Web 服務(wù)，我們希望增加健康檢查來判斷其 Web 服務(wù)是否在正常工作，我們可以用 curl 來幫助判斷，其 Dockerfile 的 HEALTHCHECK 可以這么寫：

FROM nginx
RUN apt-get update && apt-get install -y curl && rm -rf /var/lib/apt/lists/*
HEALTHCHECK --interval=5s --timeout=3s 
  CMD curl -fs http://localhost/ || exit 1

這里我們設(shè)置了每 5 秒檢查一次（這里為了試驗所以間隔非常短，實際應(yīng)該相對較長），如果健康檢查命令超過 3 秒沒響應(yīng)就視為失敗，并且使用 curl -fs http://localhost/ || exit 1 作為健康檢查命令。

使用 docker build 來構(gòu)建這個鏡像：

$ docker build -t myweb:v1 .

構(gòu)建好了后，我們啟動一個容器：

$ docker run -d --name web -p 80:80 myweb:v1

當(dāng)運行該鏡像后，可以通過 docker ps 看到最初的狀態(tài)為 (health: starting)：

$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                            PORTS               NAMES
03e28eb00bd0        myweb:v1            "nginx -g "daemon off"   3 seconds ago       Up 2 seconds (health: starting)   80/tcp, 443/tcp     web

在等待幾秒鐘后，再次 docker ps，就會看到健康狀態(tài)變化為了 (healthy)：

$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS                    PORTS               NAMES
03e28eb00bd0        myweb:v1            "nginx -g "daemon off"   18 seconds ago      Up 16 seconds (healthy)   80/tcp, 443/tcp     web

如果健康檢查連續(xù)失敗超過了重試次數(shù)，狀態(tài)就會變?yōu)?(unhealthy)。

為了幫助排障，健康檢查命令的輸出（包括 stdout 以及 stderr）都會被存儲于健康狀態(tài)里，可以用 docker inspect 來查看。

$ docker inspect --format "{{json .State.Health}}" web | python -m json.tool
{
    "FailingStreak": 0,
    "Log": [
        {
            "End": "2016-11-25T14:35:37.940957051Z",
            "ExitCode": 0,
            "Output": "






Welcome to nginx!
If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.

For online documentation and support please refer to
nginx.org.

Commercial support is available at
nginx.com.

Thank you for using nginx.


",
            "Start": "2016-11-25T14:35:37.780192565Z"
        }
    ],
    "Status": "healthy"
}

格式：ONBUILD <其它指令>。

ONBUILD 是一個特殊的指令，它后面跟的是其它指令，比如 RUN, COPY 等，而這些指令，在當(dāng)前鏡像構(gòu)建時并不會被執(zhí)行。只有當(dāng)以當(dāng)前鏡像為基礎(chǔ)鏡像，去構(gòu)建下一級鏡像的時候才會被執(zhí)行。

Dockerfile 中的其它指令都是為了定制當(dāng)前鏡像而準(zhǔn)備的，唯有 ONBUILD 是為了幫助別人定制自己而準(zhǔn)備的。

假設(shè)我們要制作 Node.js 所寫的應(yīng)用的鏡像。我們都知道 Node.js 使用 npm 進行包管理，所有依賴、配置、啟動信息等會放到 package.json 文件里。在拿到程序代碼后，需要先進行 npm install 才可以獲得所有需要的依賴。然后就可以通過 npm start 來啟動應(yīng)用。因此，一般來說會這樣寫 Dockerfile：

FROM node:slim
RUN mkdir /app
WORKDIR /app
COPY ./package.json /app
RUN [ "npm", "install" ]
COPY . /app/
CMD [ "npm", "start" ]

把這個 Dockerfile 放到 Node.js 項目的根目錄，構(gòu)建好鏡像后，就可以直接拿來啟動容器運行。但是如果我們還有第二個 Node.js 項目也差不多呢？好吧，那就再把這個 Dockerfile 復(fù)制到第二個項目里。那如果有第三個項目呢？再復(fù)制么？文件的副本越多，版本控制就越困難，讓我們繼續(xù)看這樣的場景維護的問題。

如果第一個 Node.js 項目在開發(fā)過程中，發(fā)現(xiàn)這個 Dockerfile 里存在問題，比如敲錯字了、或者需要安裝額外的包，然后開發(fā)人員修復(fù)了這個 Dockerfile，再次構(gòu)建，問題解決。第一個項目沒問題了，但是第二個項目呢？雖然最初 Dockerfile 是復(fù)制、粘貼自第一個項目的，但是并不會因為第一個項目修復(fù)了他們的 Dockerfile，而第二個項目的 Dockerfile 就會被自動修復(fù)。

那么我們可不可以做一個基礎(chǔ)鏡像，然后各個項目使用這個基礎(chǔ)鏡像呢？這樣基礎(chǔ)鏡像更新，各個項目不用同步 Dockerfile 的變化，重新構(gòu)建后就繼承了基礎(chǔ)鏡像的更新？好吧，可以，讓我們看看這樣的結(jié)果。那么上面的這個 Dockerfile 就會變?yōu)椋?/p>

FROM node:slim
RUN mkdir /app
WORKDIR /app
CMD [ "npm", "start" ]

這里我們把項目相關(guān)的構(gòu)建指令拿出來，放到子項目里去。假設(shè)這個基礎(chǔ)鏡像的名字為 my-node 的話，各個項目內(nèi)的自己的 Dockerfile 就變?yōu)椋?/p>

FROM my-node
COPY ./package.json /app
RUN [ "npm", "install" ]
COPY . /app/

基礎(chǔ)鏡像變化后，各個項目都用這個 Dockerfile 重新構(gòu)建鏡像，會繼承基礎(chǔ)鏡像的更新。

那么，問題解決了么？沒有。準(zhǔn)確說，只解決了一半。如果這個 Dockerfile 里面有些東西需要調(diào)整呢？比如 npm install 都需要加一些參數(shù)，那怎么辦？這一行 RUN 是不可能放入基礎(chǔ)鏡像的，因為涉及到了當(dāng)前項目的 ./package.json，難道又要一個個修改么？所以說，這樣制作基礎(chǔ)鏡像，只解決了原來的 Dockerfile 的前4條指令的變化問題，而后面三條指令的變化則完全沒辦法處理。

ONBUILD 可以解決這個問題。讓我們用 ONBUILD 重新寫一下基礎(chǔ)鏡像的 Dockerfile:

FROM node:slim
RUN mkdir /app
WORKDIR /app
ONBUILD COPY ./package.json /app
ONBUILD RUN [ "npm", "install" ]
ONBUILD COPY . /app/
CMD [ "npm", "start" ]

這次我們回到原始的 Dockerfile，但是這次將項目相關(guān)的指令加上 ONBUILD，這樣在構(gòu)建基礎(chǔ)鏡像的時候，這三行并不會被執(zhí)行。然后各個項目的 Dockerfile 就變成了簡單地：

FROM my-node

是的，只有這么一行。當(dāng)在各個項目目錄中，用這個只有一行的 Dockerfile 構(gòu)建鏡像時，之前基礎(chǔ)鏡像的那三行 ONBUILD 就會開始執(zhí)行，成功的將當(dāng)前項目的代碼復(fù)制進鏡像、并且針對本項目執(zhí)行 npm install，生成應(yīng)用鏡像。

如果要刪除本地的鏡像，可以使用 docker rmi 命令，其格式為：

docker rmi [選項] <鏡像1> [<鏡像2> ...]

注意 docker rm 命令是刪除容器，不要混淆。

其中，<鏡像> 可以是 鏡像短 ID、鏡像長 ID、鏡像名 或者 鏡像摘要。

比如我們有這么一些鏡像：

$ docker images
REPOSITORY                  TAG                 IMAGE ID            CREATED             SIZE
centos                      latest              0584b3d2cf6d        3 weeks ago         196.5 MB
redis                       alpine              501ad78535f0        3 weeks ago         21.03 MB
docker                      latest              cf693ec9b5c7        3 weeks ago         105.1 MB
nginx                       latest              e43d811ce2f4        5 weeks ago         181.5 MB

我們可以用鏡像的完整 ID，也稱為 長 ID，來刪除鏡像。使用腳本的時候可能會用長 ID，但是人工輸入就太累了，所以更多的時候是用 短 ID 來刪除鏡像。docker images 默認(rèn)列出的就已經(jīng)是短 ID 了，一般取前3個字符以上，只要足夠區(qū)分于別的鏡像就可