一、Dockerfile概论
Dockerfile是一个文本文件,文件中包含了一条条的指令(instruction),用于构建镜像。每一条指定构建一层镜像,因此每一条指令的内容,就是描述该层镜像应当如何构建。
- dockerfile是自定义镜像的一套规则
- dockerfile由多调指令构成,dockerfile的每一条指令都会对应于docker镜像中的每一层。
Dockerfile的原理就是镜像分层 - dockerfile中的每一个指令都会创建一个新的镜像层(是一个临时的容器,执行完后将不再存在,再往后进行重复的创建与操作)
- 镜像层将被缓存和复用(后续的镜像层将基于前面的每一层,每一层都会有下几层的缓存)
- 当dockerfile的指令修改了,复制的文件变化了,或构建镜像时指定的变量不同了,那么对应的镜像层缓存就会失效(因为后续的操作必然更改前面的镜像层)
- 某一层的镜像缓存失效了之后,它之后的镜像层缓存就都会失效(第一层不成功,那么第二层也会失效)
- 容器的修改并不会影响镜像,如果在某一层中添加一个文件,在下一层中删除它,镜像中依然会包含该文件。
二、Docker镜像的创建
创建镜像有三种方法
- 基于已有镜像创建
- 基于本地模板创建
- 基于Dockerfile创建
1、基于已有镜像创建
原理:将容器里运行的程序及运行环境打包生成新的镜像
docker commit 【选项】 【容器id】 仓库名:标签
常用选项
| 选项 | 描述 |
|---|---|
| -m | 说明信息 |
| -a | 作者信息 |
| -p | 生成过程中停止容器的运行 |
2、基于本地模板创建
原理:通过导入操作系统模板文件生成新的镜像
wget http://download.openvz.org/template/precreated/debian-7.0-x86-minimal.tar.gz
#使用wget命令导入为本地镜像
docker import debian-7.0-x86-minimal.tar.gz -- debian:v1
或
cat debian-7.0-x86-minimal.tar.gz |docker import - debian:v1
#生成镜像
docker images
#查看镜像
docker run -itd debian:v1 bash
#创建并启动容器
3、基于dockerfile创建
- dockerfile是一组指令组成的文件
- dockerfile每行支持一条指令,每条指令可携带多个参数,一条指令可以用&&方式,去写多条指令
- dockerfile支持以“#”为开头的注释
dockerfile结构
- 基于镜像信息(linux发行版:比如centos、Ubuntu、suse、debian、alpine、redhat)
- 维护者信息(docker search 可查看)
- 镜像操作指令(tar yum make)
- 容器启动时执行指令(cmd[“/root/run/sh”]、entrypoint、都是系统启动时,第一个加载的程序/脚本/命令)
构建镜像命令
可以在构建镜像时指定资源限制
在编写Dockerfile时,需要遵守严格的格式:
1、第一行必须使用 FROM 指令指明所基于的镜像名称
2、之后使用 MAINTAINER 指令说明维护该镜像的用户信息
3、然后是镜像操作相关指令,如 RUN 指令。每一条指令,都会给基础镜像添加新的一层。
4、最后使用 CMD 指令指定启动容器时,要运行的命令操作
docker build -t nginx:test .
基于dockerfile文件构建镜像命令
完整的写法: docker build -f dockerfile -t nginx:new .
docker build : 基于dockerfile 构建镜像
-f :指定dockerfile 文件(默认不写的话指的是当前目录)
-t :(tag) 打标签 ——》nginx:new
. :专业说法:指的是构建镜像时的上下文环境,简单理解:指的当前目录环境中的文件
三、Dockerfile操作指令
| 指令 | 含义 |
|---|---|
| FROM 镜像 | 指定新镜像所基于的镜像,第一条指令必须为FROM指令,每创建一个镜像就需要一条FROM指令,例如centos:7。from有两层含义:①开启一个新的镜像②必须写的一行指令 |
| MAINTAINER 名字 | 说明新镜像的维护人信息(可写可不写) |
| RUN命令 | 每一条RUN后面跟一条命令,在所基于的镜像上执行命令,并提交到新的镜像中,RUN必须大写 |
| CMD [“要运行的程序”,“参数1”、“参数2”] | 指定启动容器时需要运行的命令或者脚本,Dockerfile只能有一条CMD命令,如果指定多条则只能执行最后一条,“bin/bash”也是一条CMD,并且会覆盖image镜像里面的cmd。 |
| EXPOSE 端口号 | 指定新镜像加载到Docker时要开启的端口 |
| ENV 环境变量 变量值 | 设置一个环境变量的值,会被后面的RUN使用 |
| ADD 源文件/目录 目标文件/目录 | 将源文件复制到目标文件,源文件要与Dockerfile位于相同目录中,或者是一个URL |
| COPY 源文件/目录 目标文件/目录 | 将本地主机上的文件/目录复制到目标地点,源文件/目录要与Dockerfile在相同的目录中 |
| VOLUME [“目录”] | 在容器中创建一个挂载点 |
| USER 用户名/UID | 指定运行容器时的用户 |
| WORKDIR 路径 | 为后续的RUN、CMD、ENTRYPOINT指定工作目录 |
| ONBUILD命令 | 指定所生成的镜像作为一个基础镜像时所要运行的命令 |
| HEALTHCHECK | 健康检查 |
1、ENTRYPOINT指令
ENTRYPOINT [“要运行的程序”,“参数1”,“参数2”]
设定容器启动时第一个运行的命令及其参数 可以通过使用命令docker run --entrypoint 来覆盖镜像中的ENTRYPOINT指令的内容。
两种格式:
exec格式(数值格式):ENTRYPOINT [“命令”,“选项”,“参数”]
shell格式:ENTRYPOINT 命令 选项 参数
2、CMD与entrypoint
都是容器启动时要加载的命令
exec 模式 与shell模式
exec: 容器加载时使用的启动的第一个任务进程
shell: 容器加载时使用的第一个bash(/bin/bash /bin/sh /bin/init)
自检完成后,加载第一个pid = 1 进程
shell 翻译官/解释器,解析
echo $PATH
mkdir test
cd test/
vim Dockerfile
FROM centos:7
CMD ["top"]
docker build -t centos:7 .
docker run -it --name test centos:7
docker logs test
docker ps -a
docker start 7486b56d6c61
docker exec test ps aux
使用exec模式是无法输出环境变量
示例:exec模式(命令+选项+参数)
vim Dockerfile
echo $HOME
docker build -t "centos:7" .
docker images
docker run -itd --name lx centos:7
docker ps -a
docker logs lx
shell模式(需要加解释器)
vim Dockerfile
FROM centos:7
CMD ["sh","-c","echo $HOME"]
docker build -t "centos:lx2" .
docker images
docker run -itd --name lx2 centos:lx2
docker ps -a
docker logs lx2
小结
区别shell 模式和exec 模式
/bin/sh -c nginx #shell 模式
nginx # exec模式
exec 和shell 之间的区别
exec 不可用输出环境变量
shell 模式可以输出环境变量
cmd 是容器环境启动时默认加载的命令
entrypoint 是容器环境启动时第一个加载的命令程序/脚本程序 init
-
如果 ENTRYPOINT 使用了 shell 模式,CMD 指令会被忽略。
-
如果 ENTRYPOINT 使用了 exec 模式,CMD 指定的内容被追加为 ENTRYPOINT 指定命令的参数。
-
如果 ENTRYPOINT 使用了 exec 模式,CMD 也应该使用 exec 模式。
ADD和COPY的区别
Dockerfile中的COPY指令和ADD指令都可以将主机上的资源复制或加入到容器镜像中,都是在构建镜像的过程中完成的
- copy只能用于复制(节省资源)
- ADD复制的同时,如果复制的对象是压缩包,ADD还可以解压(消耗资源)
- COPY指令和ADD指令的唯一区别在于是否支持从远程URL获取资源。COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中。而ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中
满足同等功能的情况下,推荐使用COPY指令。ADD指令更擅长读取本地tar文件并解压缩。
①copy更节省资源,
②ADD可以将压缩文件解压后复制,
③COPY只支持本机复制到镜像,ADD支持URL复制到镜像。
④ADD会自动创建目标目录
CMD和ENTRYPOINT区别
1、相同点
都是容器启动时加载的命令,启动模式如下:
exec:容器加载时使用的启动的第一个任务进程
shell:容器加载时,使用的第一个bash(/bin/bash 、/bin/sh、/bin/init)
2、不同点
cmd是容器环境启动时默认加载的命令
entrypoint是容器环境启动时第一个加载的命令程序/脚本程序init。
-
如果entrypoint使用了shell模式,CMD指令会被忽略
-
如果entrypoint使用了exec模式。CMD指定的内容被追加为entrypoint指定命令的参数
-
如果entrypoint使用了exec模式,CMD也应该使用exec模式
如果存在多个CMD或多个ENTRYPOINT,有哪些是生效的?
-
如果存在多个CMD,只会有最后一个生效
-
如果存在多个ENTRYPOINT,只会是第一个生效
四、镜像分层原理
1、docker镜像分层(基于AUFS构建)
1、docker镜像位于bootfs之上
2、每一层镜像的下一层成为父镜像
3、第一层镜像成为base image(操作系统环境镜像)
4、容器层(可读可写,为了给用户操作),在最顶层
5、容器层以下都是readonly
LXC是一种内核中的容器技术,早期docker在没有将资源容器化的功能时,就是靠内核中LXC来完成容器虚拟化的。现在docker 拥有了自己的docker libcontainer库文件,这种库文件可以做到将资源容器化的操作,所以对LXC的依赖性大大降低。
2、bootfs 内核空间
主要包含bootloader(引导程序)和kernel(内核)。
- bootloader主要引导加载kernel,linux刚启动时会加载bootfs文件系统,在Docker镜像的最底层是bootfs。
- 这一层与我们典型的Linux/Unix系统时一样的,包含boot加载器和内核, 当boot加载完成之后整个内核就都在内存中了 ,此时内存的使用权由bootfs交给内核,此时系统也会卸载bootfs。
- 在linux操作系统中,linux加载bootfs时会将rootfs设置为read-only,系统自检后会将只读改为读写,让我们可以在操作系统中进行操作。
3、rootfs 内核空间
- bootfs之上(base images,例如centos、ubuntu)
- 包含的就是典型的linux系统中的/dev、/proc、/bin、/etc等标准目录和文件。
- rootfs就是各种不同的操作系统发行版。
4、AUFS 与overlay/overlay2
AUFS是一种联合文件系统,它使用同一个linux host上的多个目录,逐个堆叠起来,对外呈现出一个统一的文件系统,AUFS使用该特性,实现了Docker镜像的分层。
- 而docker 使用了overlay/overlay2存储驱动来支持分层结构。
- overlayFS将单个linux主机上的两个目录合并成一个目录 ,这些目录被称为层,统一过程被称为联合挂载。
overlay结构
overlayfs在linux主机上只有两层,一个目录在下层,用来保存镜像,另一个目录在上层,用来存储容器信息。
rootfs #基础镜像
lower #下层信息(为镜像层,只读)
upper #上层目录(容器信息,可写)
worker #运行的工作目录(copy-on-write写时复制-->准备容器环境)
mergod #视图层(容器视图)
#docker 镜像层次结构总结
1、base images :基础镜像
2、image :固化了一个标准运行环境,镜像本身的功能-封装一组功能性的文件,通过统一的方式,文件格式提供出来(只读)
3、container :容器层(读写)
4、docker-server 端
5、呈现给docker-client(视图)
5、联合文件系统(UnionFS)
UnionFS(联合文件系统) : Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下。AUFS、OberlayFS及Devicemapper都是一种UnionFS。
Union文件系统是Docker镜像的基础。 镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。
特性:
一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录。
从仓库下载时, 我们下看到的一层层的就是联合文件系统
6 、镜像加载原理
-
在Docker镜像的最底层是bootfs,这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs.
-
rootfs在bootfs之上。包含的就是典型Linux系统中的/dev,/proc,/bin,/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等。
-
我们可以理解成一开始内核里什么都没有, ① 操作一个命令下载debian,这是就会在内核上面加一层基础镜像; ② 再安装一个emacs,会在基础镜像上叠加一层image;接着再安装一个apache,又会在images.上面叠加一层image。最后它们看起来就像一个文件系统即容器的rootfs。 在Docker的体系里把这些rootfs叫做Docker的镜像。 ③ 但是,此时的每一层rootfs都是read-only的,我们此时还不能对其进行操作。当我们创建一个容器,也就是将Docker镜像进行实例化,系统会在一层或是多层read-only的rootfs之上分配一层空的read-write的rootfs.
dockerfile镜像 tar包安装mysql服务
创建目录test
放入tar包安装需要的压缩包
提前写好my.cnf配置文件
vim Dockerfile
=====================
FROM centos:7
MAINTAINER [lx]
RUN mkdir -p /data/mysql
RUN groupadd mysql
RUN yum -y install \
ncurses \
ncurses-devel \
bison \
cmake \
make \
gcc \
gcc-c++ \
libaio-devel.x86_64 \
numactl
ADD mysql-5.7.22-linux-glibc2.12-x86_64.tar.gz /usr/local
WORKDIR /usr/local
RUN mv mysql-5.7.22-linux-glibc2.12-x86_64 mysql && mkdir -p /usr/local/mysql/data && useradd -r -s /sbin/nologin -g mysql mysql -d /usr/local/mysql && chown -R mysql.mysql /usr/local/mysql/ && chown -R mysql.mysql /data/mysql/
WORKDIR /usr/local/mysql/
RUN /usr/local/mysql/bin/mysqld \
--initialize \
--user=mysql \
--basedir=/usr/local/mysql \
--datadir=/data/mysql
WORKDIR /usr/local/mysql/support-files/
RUN cp mysql.server /etc/init.d/mysql && chmod 755 /etc/init.d/mysql && chkconfig --add mysql && chkconfig --level 345 mysql on
WORKDIR /etc/init.d
RUN sed -i '46s/basedir=/basedir=\/usr\/local\/mysql/g' /etc/init.d/mysql && sed -i '47s/datadir=/datadir=\/data\/mysql/g' /etc/init.d/mysql
COPY my.cnf /etc/my.cnf
RUN chmod 755 /etc/my.cnf
ENV PATH=/usr/local/mysql/bin:/usr/local/mysql/lib:$PATH
EXPOSE 3306
ADD mysql_data.tar.gz /usr/local/mysql
RUN rm -rf mysql_data.tar.gz
RUN /etc/init.d/mysql restart
CMD ["/etc/init.d/mysql restart"]
进入镜像,重启一下mysql就可以登陆了
