docker 应用程序开发手册
开发 docker 镜像
Dockerfile
- 非常容易定义镜像内容
- 由一系列指令和参数构成的脚本文件
- 每一条指令构建一层
- 一个
Dockerfile
文件包含了构建镜像的一套完整指令 - 指令不区分大小写,但是一般建议都是大写
- 从头到尾按顺序执行指令
- 必须以
FROM
指令开头,其实也是允许这个之前定义变量 #
是注释,但是要以这个开头的才是。行中其他位置被视为参数的一部分- 可以自定义转义字符:
escape=
构建镜像的基本方法
通过:docker build
原理:通过 Dockerfile 文件和构建上下文(build context)构建镜像
构建上下文
上下文是由文件路径或者一个 URL 定义的一组文件
构建上下文以递归方式处理,本地路径包括其中的任何子目录,URL 包括仓库及其子模块
示例
使用当前目录作为上下文的构建语句:docker build -t 镜像标识 .
镜像构建过程
- 整个构建过程是由 docker 守护进程运行的
- 构建过程从上到下递归发给守护进程执行
- 最好是一个项目一个目录进行构建,以这个目录作为上下文
Dockerfile 常用指令
这边以centos的镜像作为构建基础
FROM
设置基础镜像
FROM <image> [AS name]
- image 参数指定任何有效的镜像,多种写法,也可以从公有注册中心拉取
- 可以多次出现,以创建多个镜像层
- 设置别名,对构建阶段指定一个名称,这个名称后续的 FROM 和 COPY --from=<name|index> 指令引用此阶段构建的镜像
- 也支持由 ARG 指令申明的变量,但是这个变量要在第一条 FROM 指令前,在 FROM 指令前,就意味这个这个变量没有进入构建阶段
示例
RUN
运行命令
RUN <command>
RUN ["exec","param1","param2"]
- shell 格式,命令在 shell 环境中运行,默认是 /bin/sh -c
- exec 格式,不会启用 shell 环境执行
- 可以使用反斜杠将单个 RUN 指令延续到下一行
示例
RUN ["/bin/bash", "-c", "echo hello,world"]
CMD
指定容器启动时默认执行的命令
- 一个文件只能由一个 CMD 指令,就算有多个 CMD 指令,只有最后一个 CMD 有效
CMD ["exec","param1","param2"] ## 首选
CMD ["param1","param2"] ## 提供给 ENTRYPOINT 指令的默认参数
CMD command param1 param2 ## shell 格式
示例
LABEL
向镜像添加元数据信息
- 其中如果有空格,要加引号和反斜杠
- 可以有多个标记,多个标记合并到单个标记可以减少层数
LABEL kye=value kye=value kye=value...
示例
EXPOSE
声明容器运行时监听的端口
- 可以指定TCP或者UDP,默认是TCP
- 它不会发布真实的端口,只是声明一下,
EXPOSE <port>
ENV
指定环境变量
- 键值对形式
- 构建镜像阶段的所有后续指令的环境中,也可以被运行时指定的环境变量替换
- 引号和反斜杠可以作为值中包含空格
ENV key value ### 单个环境变量
ENV key=value key=value key=value ### 多个环境变量
示例
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world var3="hello world"
RUN ["/bin/bash","-c","echo ${var1}"]
RUN ["/bin/bash","-c","echo hello,world"]
CMD ["/bin/bash","-c","echo ${var1},${var2}"]
COPY
将源文件复制到容器内
- 一些通配符:*代表任何内容,?代表单个字符
- 源路径必须位于构建的上下文
- 如果源是目录,则复制整个目录的内容
- 指定多个源的话,目的路径必须是目录,必须以 / 结尾
- 如果目的路径不以/ 结尾,被视为常规文件,源内容将写入目录路径
- 如果目的路径不存在,则会与其路径中所有缺少的目录一起创建
COPY [--chown=<user>:<group>] <src>...<dest> #### chown只用于linux容器
COPY [--chown=<user>:<group>] ["<src>",..."<dest>"] #### 路径如果有空格字符,要用这种形式
示例
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY ind* /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
CMD ["/bin/bash","-c","cat /home/html/index.html"]
ADD
将源文件复制到容器
ADD [--chown=<user>:<group>] <src>...<dest> #### chown只用于linux容器
ADD [--chown=<user>:<group>] ["<src>",..."<dest>"] #### 路径如果有空格字符,要用这种形式
- 源可以使用 URL 指定
- 归档文件在复制过程中能够被自动解压缩,URL 的资源除外
ENTRYPOINT
配置容器的默认入口
ENTRYPOINT ["exec","param1","param2"] #### 首选exec格式
ENTRYPOINT command param1 param2 #### shell 格式
VOLUME
创建挂载点
VOLUME ["/data"]
- 创建具有指定名称的挂载点,并将其标记为从本机主机或其他容器保留外部挂载的卷
示例
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
VOLUME ["/home/html/"]
CMD ["/bin/bash","-c","cat /home/html/index.html"]
WORKDIR
配置工作目录
WORKDIR /path/xxx/xxxx
- 该指令后的 RUN 、CMD、COPY、ADD、ENTRYPOINT 指令设置工作目录,如果目录不存在,就会被创建
- 可以多次使用这个指令,当时最终的路径是基于先前 WORKDIR 指令的路径
示例
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
WORKDIR /
RUN pwd
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
VOLUME ["/home/html/"]
WORKDIR /home/html
CMD ["/bin/bash","-c","cat index.html"]
USER
设置运行镜像时使用的用户名
USER <user>:<group>
- RUN、CMD、ENTRYPOINT 指令都会使用这个指定的身份
- 如果没有设置, root 组身份运行
示例
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
RUN useradd whale
USER whale:whale
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
VOLUME ["/home/html/"]
WORKDIR /home/html
CMD ["/bin/bash","-c","id"]
ARG
定义构建时候的变量
ARG <name>[=<value>]
- 构建时候也可以使用命令进行传递:–build-arg =,但是如果这个参数没有在文件中定义,就会报错
SHELL
指定命令的 shell 格式
SHELL ["exec","parameters"]
- 用于指定命令的shell格式来覆盖默认的 shell,Linux 系统默认的shell是 /bin/sh -c 的形式,windows 是 cmd /S /C
- 可以多次出现,但是会被覆盖
exec、shell 格式方法
RUN、CMD、ENTRYPOINT
这些指令都会用到 exec 和 shell 两种格式
#### exec的一般写法:直接调用命令,不会被shell进行解析,也识别不了ENV指令的环境变量,除非是 shell 执行的
<指令> ["exec", "param1", "param2" ,......]
ENTRYPOINT ["/bin/echo", "Hello,World"]
#### shell 的一般写法:底层直接调用的是/bin/sh -c 来执行的
<指令> <command>
- CMD、ENTRYPOINT 首先 exec 格式,可读性强,容易理解
- RUN 两种都可以
RUN、CMD、ENTRYPOINT 区别
- RUN 指令执行命令并创建新的镜像层,经常用来安装应用程序和依赖包
- CMD 指令为运行容器提供默认值,默认执行的命令及其参数,如果容器启动时候手动指定,CMD 指令就会被覆盖,如果省略了可执行文件,就必须指定 ENTRYPOINT 指令,CMD 指令可为提供额外的默认参数
- ENTRYPOINT 指令配置容器启动时运行的命令,CMD 指令提供额外参数,并且 ENTRYPOINT 在容器启动一定会运行,不会被覆盖的
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
ENTRYPOINT ["/bin/echo", "hello"]
CMD [" world"]
构建镜像的基本步骤
- 准备构建 Dockerfile 上下文
- 编写 Dockerfile
- 执行构建命令
- 基于构建镜像启动进行测试
注意点
- 构建缓存问题
- 创建基础镜像(可以通过 scratch 构建最简单的父镜像)
多阶段构建
docker 17.05以上才支持
不用多阶段构建的解决方案
- 传统解决方案使用 shell 技巧和其他逻辑尽可能减少层的大小
- 还有一些先创建一个容器,然后运行,在复制出来需要的文件,再构建一次,需要shell脚本的配合来完成构建,麻烦地
使用多阶段构建
- 就是一个 Dockerfile 中有多个 FROM 指令,每个指令使用不同的基础镜像,并且各自分别开始一个新的构建阶段
- 可以选择将构建从一个阶段复制到另一个阶段,并在最终镜像中排除不需要的内容
####
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY index.html /home/html/
FROM centos:6
COPY --from=0 /home/html/index.html /home/ ### 从前一阶段复制到新的阶段
CMD ["/bin/bash","-c","cat /home/index.html"]
为每个构建阶段命名
这里使用c语言环境进行构建演示
FROM gcc:latest as builder
WORKDIR /app
COPY myapp.c /vim app
RUN gcc -o myapp myapp.c
FROM centos:7
WORKDIR /
COPY --from=builder /app/myapp .
CMD ["./myapp"]
Dockerfile 编写建议
- 创造短生命周期的容器:容器以无状态运行,可以被停止和销毁,可以使用最小的设置和配置进行重建和替换
- 可以使用标准输入管道化来构建(就不用保存 Dockerfile 文件了)
- 它的特殊参数 - 就是用来从标准输入读取 Dockerfile 内容的,直到遇到EOF/分界符
- 使用.dockerignore文件排除与构建无关的文件,类似于git那种,构建上下文发送给守护进程前,就会排除掉这些文件
- 使用多阶段构建
- 不安装不必要的包
- 解耦应用程序:一个容器只解决一个问题
- 使镜像层数最少
- 对多行参数排序
- 利用构建缓存
echo -e "FROM xxx \nRUN xxxx" | docker build -
Docker 的应用程序开发准则
减少镜像大小
- 选择合适的基础镜像:比如需要 JDK,考虑官方的 openjdk,而不是从通用的 ubuntu 镜像去构建JDK环境
- 多阶段构建:jave应用使用maven,使用多阶段构建,最终镜像就可以不用包含构建时需要引入的所有库和依赖
- 创建自己的基础镜像
- 生产镜像作为基础镜像
- 不依赖自动产生的 latest 标签
持久化应用程序数据
- 避免应用程序数据存储在容器的可写成,会降低IO和增加容器的大小
- 尽可能使用卷来存储数据
- 生产环境,使用 secrets 存储服务需要的敏感程序数据,使用配置数据 configs 存储配置文件
尽可能使用 swarm 集群服务
- 即使单节点,swarm 带来的收益也比 docker run 要优秀
应用程序 Docker 化
基本流程
选择基础镜像
几乎所有开发技术都有自己的基础镜像,比如:java、python、node.js等,如果不直接使用这些镜像,就需要从基础操作系统镜像开始安装所有的依赖,最常见的就是 ubuntu 操作系统作为基础镜像
安装必要的软件
如果有必要,需要针对构建、调试和开发环境创建不同的 Dockerfile
添加自定义文件
定义容器运行时的用户权限
尽可能避免使用 root 权限运行
定义要对外暴露的端口
定义应用程序的入口点
entrypoint,比较简单的就是直接运行可执行文件,更专业的方法创建一个专门的shell脚本:entrypoint.sh,通过环境变量配置容器的入口点
定义一种配置方式
应用程序如果需要参数,可以使用应用程序特定的配置文件,也可以使用操作系统的环境变量
持久化应用数据
这些数据最好存储到卷或者绑定挂载上,不要将他们保存到容器本身的可写层