docker 应用程序开发手册

开发 docker 镜像

Dockerfile

• 非常容易定义镜像内容
• 由一系列指令和参数构成的脚本文件
• 每一条指令构建一层
• 一个 Dockerfile 文件包含了构建镜像的一套完整指令
• 指令不区分大小写，但是一般建议都是大写
• 从头到尾按顺序执行指令
• 必须以 FROM 指令开头，其实也是允许这个之前定义变量
• # 是注释，但是要以这个开头的才是。行中其他位置被视为参数的一部分
• 可以自定义转义字符：escape=

构建镜像的基本方法

通过：docker build

原理：通过 Dockerfile 文件和构建上下文（build context）构建镜像

构建上下文

上下文是由文件路径或者一个 URL 定义的一组文件

构建上下文以递归方式处理，本地路径包括其中的任何子目录，URL 包括仓库及其子模块

示例

使用当前目录作为上下文的构建语句：docker build -t 镜像标识 .

镜像构建过程

• 整个构建过程是由 docker 守护进程运行的
• 构建过程从上到下递归发给守护进程执行
• 最好是一个项目一个目录进行构建，以这个目录作为上下文

Dockerfile 常用指令

_{这边以centos的镜像作为构建基础}

FROM

设置基础镜像

FROM <image> [AS name]

• image 参数指定任何有效的镜像，多种写法，也可以从公有注册中心拉取
• 可以多次出现，以创建多个镜像层
• 设置别名，对构建阶段指定一个名称，这个名称后续的 FROM 和 COPY --from=<name|index> 指令引用此阶段构建的镜像
• 也支持由 ARG 指令申明的变量，但是这个变量要在第一条 FROM 指令前，在 FROM 指令前，就意味这个这个变量没有进入构建阶段

示例

RUN

运行命令

RUN <command>
RUN ["exec","param1","param2"]

• shell 格式，命令在 shell 环境中运行，默认是 /bin/sh -c
• exec 格式，不会启用 shell 环境执行
• 可以使用反斜杠将单个 RUN 指令延续到下一行

示例

RUN ["/bin/bash", "-c", "echo hello,world"]

CMD

指定容器启动时默认执行的命令

• 一个文件只能由一个 CMD 指令，就算有多个 CMD 指令，只有最后一个 CMD 有效

CMD ["exec","param1","param2"]	## 首选
CMD ["param1","param2"]		## 提供给 ENTRYPOINT 指令的默认参数
CMD command param1 param2	## shell 格式

示例

LABEL

向镜像添加元数据信息

• 其中如果有空格，要加引号和反斜杠
• 可以有多个标记，多个标记合并到单个标记可以减少层数

LABEL kye=value kye=value kye=value...

示例

EXPOSE

声明容器运行时监听的端口

• 可以指定TCP或者UDP，默认是TCP
• 它不会发布真实的端口，只是声明一下，

EXPOSE <port>

ENV

指定环境变量

• 键值对形式
• 构建镜像阶段的所有后续指令的环境中，也可以被运行时指定的环境变量替换
• 引号和反斜杠可以作为值中包含空格

ENV key value  ### 单个环境变量
ENV key=value key=value key=value  ### 多个环境变量

示例

ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world var3="hello world"
RUN ["/bin/bash","-c","echo ${var1}"]
RUN ["/bin/bash","-c","echo hello,world"]
CMD ["/bin/bash","-c","echo ${var1},${var2}"]

COPY

将源文件复制到容器内

• 一些通配符：*代表任何内容，？代表单个字符
• 源路径必须位于构建的上下文
• 如果源是目录，则复制整个目录的内容
• 指定多个源的话，目的路径必须是目录，必须以 / 结尾
• 如果目的路径不以/ 结尾，被视为常规文件，源内容将写入目录路径
• 如果目的路径不存在，则会与其路径中所有缺少的目录一起创建

COPY [--chown=<user>:<group>] <src>...<dest>  #### chown只用于linux容器
COPY [--chown=<user>:<group>] ["<src>",..."<dest>"]  #### 路径如果有空格字符，要用这种形式

示例

ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY ind* /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
CMD ["/bin/bash","-c","cat /home/html/index.html"]

ADD

将源文件复制到容器

ADD [--chown=<user>:<group>] <src>...<dest>  #### chown只用于linux容器
ADD [--chown=<user>:<group>] ["<src>",..."<dest>"]  #### 路径如果有空格字符，要用这种形式

• 源可以使用 URL 指定
• 归档文件在复制过程中能够被自动解压缩，URL 的资源除外

ENTRYPOINT

配置容器的默认入口

ENTRYPOINT ["exec","param1","param2"]		#### 首选exec格式
ENTRYPOINT command  param1 param2			#### shell 格式

VOLUME

创建挂载点

VOLUME ["/data"]

• 创建具有指定名称的挂载点，并将其标记为从本机主机或其他容器保留外部挂载的卷

示例

ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
VOLUME ["/home/html/"]
CMD ["/bin/bash","-c","cat /home/html/index.html"]

WORKDIR

配置工作目录

WORKDIR /path/xxx/xxxx

• 该指令后的 RUN 、CMD、COPY、ADD、ENTRYPOINT 指令设置工作目录，如果目录不存在，就会被创建
• 可以多次使用这个指令，当时最终的路径是基于先前 WORKDIR 指令的路径

示例

ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
WORKDIR /
RUN pwd
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
VOLUME ["/home/html/"]
WORKDIR /home/html
CMD ["/bin/bash","-c","cat index.html"]

USER

设置运行镜像时使用的用户名

USER <user>:<group>

• RUN、CMD、ENTRYPOINT 指令都会使用这个指定的身份
• 如果没有设置， root 组身份运行

示例

ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
RUN useradd whale
USER whale:whale
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
VOLUME ["/home/html/"]
WORKDIR /home/html
CMD ["/bin/bash","-c","id"]

ARG

定义构建时候的变量

ARG <name>[=<value>]

• 构建时候也可以使用命令进行传递：–build-arg =，但是如果这个参数没有在文件中定义，就会报错

SHELL

指定命令的 shell 格式

SHELL ["exec","parameters"]

• 用于指定命令的shell格式来覆盖默认的 shell，Linux 系统默认的shell是 /bin/sh -c 的形式，windows 是 cmd /S /C
• 可以多次出现，但是会被覆盖

exec、shell 格式方法

RUN、CMD、ENTRYPOINT

这些指令都会用到 exec 和 shell 两种格式

#### exec的一般写法：直接调用命令，不会被shell进行解析,也识别不了ENV指令的环境变量,除非是 shell 执行的
<指令> ["exec", "param1", "param2" ,......]
ENTRYPOINT ["/bin/echo", "Hello,World"]

#### shell 的一般写法：底层直接调用的是/bin/sh -c 来执行的
<指令> <command>

• CMD、ENTRYPOINT 首先 exec 格式，可读性强，容易理解
• RUN 两种都可以

RUN、CMD、ENTRYPOINT 区别

• RUN 指令执行命令并创建新的镜像层，经常用来安装应用程序和依赖包
• CMD 指令为运行容器提供默认值，默认执行的命令及其参数，如果容器启动时候手动指定，CMD 指令就会被覆盖，如果省略了可执行文件，就必须指定 ENTRYPOINT 指令，CMD 指令可为提供额外的默认参数
• ENTRYPOINT 指令配置容器启动时运行的命令，CMD 指令提供额外参数，并且 ENTRYPOINT 在容器启动一定会运行，不会被覆盖的

ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
ENTRYPOINT  ["/bin/echo", "hello"]
CMD [" world"]

构建镜像的基本步骤

1. 准备构建 Dockerfile 上下文
2. 编写 Dockerfile
3. 执行构建命令
4. 基于构建镜像启动进行测试

注意点

1. 构建缓存问题
2. 创建基础镜像（可以通过 scratch 构建最简单的父镜像）

多阶段构建

docker 17.05以上才支持

不用多阶段构建的解决方案

1. 传统解决方案使用 shell 技巧和其他逻辑尽可能减少层的大小
2. 还有一些先创建一个容器，然后运行，在复制出来需要的文件，再构建一次，需要shell脚本的配合来完成构建，麻烦地

使用多阶段构建

1. 就是一个 Dockerfile 中有多个 FROM 指令，每个指令使用不同的基础镜像，并且各自分别开始一个新的构建阶段
2. 可以选择将构建从一个阶段复制到另一个阶段，并在最终镜像中排除不需要的内容

#### 
ARG version=7
FROM centos:$version 
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY index.html /home/html/

FROM centos:6
COPY --from=0 /home/html/index.html /home/			### 从前一阶段复制到新的阶段
CMD ["/bin/bash","-c","cat /home/index.html"]

为每个构建阶段命名

_{这里使用c语言环境进行构建演示}

FROM gcc:latest as builder
WORKDIR /app
COPY myapp.c /vim app
RUN gcc -o myapp myapp.c

FROM centos:7
WORKDIR /
COPY --from=builder /app/myapp .
CMD ["./myapp"]

Dockerfile 编写建议

1. 创造短生命周期的容器：容器以无状态运行，可以被停止和销毁，可以使用最小的设置和配置进行重建和替换
2. 可以使用标准输入管道化来构建（就不用保存 Dockerfile 文件了）
3. 它的特殊参数 - 就是用来从标准输入读取 Dockerfile 内容的，直到遇到EOF/分界符
4. 使用.dockerignore文件排除与构建无关的文件，类似于git那种，构建上下文发送给守护进程前，就会排除掉这些文件
5. 使用多阶段构建
6. 不安装不必要的包
7. 解耦应用程序：一个容器只解决一个问题
8. 使镜像层数最少
9. 对多行参数排序
10. 利用构建缓存

echo -e "FROM xxx \nRUN xxxx" | docker build -

Docker 的应用程序开发准则

减少镜像大小

1. 选择合适的基础镜像：比如需要 JDK，考虑官方的 openjdk，而不是从通用的 ubuntu 镜像去构建JDK环境
2. 多阶段构建：jave应用使用maven，使用多阶段构建，最终镜像就可以不用包含构建时需要引入的所有库和依赖
3. 创建自己的基础镜像
4. 生产镜像作为基础镜像
5. 不依赖自动产生的 latest 标签

持久化应用程序数据

1. 避免应用程序数据存储在容器的可写成，会降低IO和增加容器的大小
2. 尽可能使用卷来存储数据
3. 生产环境，使用 secrets 存储服务需要的敏感程序数据，使用配置数据 configs 存储配置文件

尽可能使用 swarm 集群服务

• 即使单节点，swarm 带来的收益也比 docker run 要优秀

应用程序 Docker 化

基本流程

选择基础镜像

几乎所有开发技术都有自己的基础镜像，比如：java、python、node.js等，如果不直接使用这些镜像，就需要从基础操作系统镜像开始安装所有的依赖，最常见的就是 ubuntu 操作系统作为基础镜像

安装必要的软件

如果有必要，需要针对构建、调试和开发环境创建不同的 Dockerfile

添加自定义文件

定义容器运行时的用户权限

尽可能避免使用 root 权限运行

定义要对外暴露的端口

定义应用程序的入口点

entrypoint，比较简单的就是直接运行可执行文件，更专业的方法创建一个专门的shell脚本：entrypoint.sh，通过环境变量配置容器的入口点

定义一种配置方式

应用程序如果需要参数，可以使用应用程序特定的配置文件，也可以使用操作系统的环境变量

持久化应用数据

这些数据最好存储到卷或者绑定挂载上，不要将他们保存到容器本身的可写层