一文理解 Docker 的 ENTRYPOINT、CMD 和 k8s 的 command、args

# exec 模式就是加引号
# 示例 1  —— 查看 exec 模式下 1 号进程
# Dockerfile
FROM ubuntu
CMD [ "top" ]
# 构建镜像
docker build -t test1 .
docker run -idt --name testcon test1
# 运行查看一号进程，可以看到是  top
docker exec testcon ps aux

# 示例 2 —— exec 模式的特点是不会通过 shell 执行相关的命令，所以像 $HOME 这样的环境变量是取不到的
# Dockerfile
FROM ubuntu
CMD [ "echo", "$HOME" ]
# 构建镜像启动容器
$ docker build --no-cache -t test1 .
$ docker run --rm test1

# 示例 3 —— exec 模式下使用 shell，通过 exec 模式执行 shell 可以获得环境变量
# Dockerfile
FROM ubuntu
CMD [ "sh", "-c", "echo $HOME" ]
# 构建镜像启动容器
$ docker build --no-cache -t test1 .
$ docker run --rm test1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

# Dockerfile
# shell 模式就是不加引号
FROM ubuntu
CMD top
# 构建镜像 运行容器
docker build -t test2 .
docker run -itd --name testcon2 test2
# 查看进程号
# 1 号进程执行的命令居然是 /bin/sh -c top。而我们指定的 top 命令的进程 ID 为 7。这是由 docker 内部决定的，目的是让我们执行的命令或者脚本可以取到环境变量。
docker exec testcon2 ps aux
1
2
3
4
5
6
7
8
9
10

# 示例 1
# Dockerfile
mkdir cmd-entrypoint && cd cmd-entrypoint
cat > Dockerfile < Dockerfile <

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31

Docker ENTRYPOINT 指令支持 shell 和 exec 两种模式的写法:

• Exec 模式: ENTRYPOINT ["executable", "parameter1", "parameter2"]
• Shell 模式: ENTRYPOINT command parameter1 parameter2
• 与 CMD 指令不同，ENTRYPOINT 指令不能被忽略或重写（准确的说docker run后面跟的命令行参数，不会覆盖ENTRYPOINT指令；docker run的--entrypoint可以覆盖 Dockerfile 中 ENTRYPOINT 设置的命令），即使容器运行时声明了命令行参数

使用 exec 模式与 shell 模式，执行 ENTRYPOINT 和 CMD 的区别

k8s 启动命令

• Kubernetes command、args的区别

• https://kubernetes.io/zh-cn/docs/tasks/inject-data-application/define-command-argument-container/

command、args两项实现覆盖Dockerfile中ENTRYPOINT的功能,具体的command命令代替ENTRYPOINT的命令行，args代表集体的参数。

1. 可以理解为 command 相当于 ENTRYPOINT，args 相当于 CMD
2. command 和 arg 可以是一个完整的命令
   • 如 command 可以为 ls -al
   • command 没指定时，arg 也可以为 ls -al
3. command 和 arg 也可以是 一个完整命令的一部分，组合成一个完整的命令
   • 如 command 为 ls
   • arg 为 -al

示例

apiVersion: v1
kind: Pod
metadata:
  name: command-demo
  labels:
    purpose: demonstrate-command
spec:
  containers:
  - name: command-demo-container
    image: debian
    command: ["printenv"]
    args: ["HOSTNAME", "KUBERNETES_PORT"]
  restartPolicy: OnFailure
  
# 在上面的示例中，我们直接将一串字符作为命令的参数。除此之外，我们还可以将环境变量作为命令的参数。
env:
- name: MESSAGE
  value: "hello world"
command: ["/bin/echo"]
args: ["$(MESSAGE)"]

# 有时候，你需要在 Shell 脚本中运行命令。 例如，你要执行的命令可能由多个命令组合而成，或者它就是一个 Shell 脚本。 这时，就可以通过如下方式在 Shell 中执行命令：
command: ["/bin/sh"]
args: ["-c", "while true; do echo hello; sleep 10;done"]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

sh -c 的作用

• /bin/sh -c 的作用

• sh命令

• 语法格式: sh [参数]

  常用参数:

  -c	命令从-c后的字符串读取
  -i	实现脚本交互
  -n	进行shell脚本的语法检查
  -x	实现shell脚本逐条语句的跟踪

总结, sh -c 的作用：

1. 非交互模式，调用 bash 解释器，来执行命令
2. 将 -c 后面参数视为一条完整命令，避免 sudo 只作用于命令的一部分参数，导致权限不够，无法执行完整命令

0. 背景#

在kubernetes的yaml文件的command字段中，经常使用sh -c的形式：

command: [“/bin/sh”, “-c”, “echo postStart… > /usr/share/nginx/html/index.html”]

那么，/bin/sh -c 是什么意思呢？为什么不直接使用 echo 命令？

那是因为命令解释器(这里是/bin/sh) 有两种工作模式：交互模式和非交互模式。

1. 交互模式#

交互模式如下图所示，就是使用 ssh 连接到 Linux 服务器上，然后在终端上敲入命令就可以显示对应结果。这样与终端进行交互执行命令的方式就称为交互模式。

2. 非交互模式#

非交互模式如下图所示，非交互模式就是调用 bash 解释器，通过 bash -c 后接命令的形式来解释执行命令。

而在 kubernetes 的 yaml 文件中，command 字段(底层也就是 golang 程序) 显然需要使用非交互模式，通过命令解释器来执行命令，而不是通过ssh登录之后与终端交互。

3. 权限控制方面

• 命令中/bin/sh -c 参数

# 比如要向 test.asc 文件中随便写入点内容，可以：
$ echo “信息” >> test.csv
# 如果将 test.asc 权限设置为只有 root 用户才有权限进行写操作：
$ sudo chown root.root test.csv
# 然后，我们使用 sudo 并配合 echo 命令再次向修改权限之后的 test.asc 文件中写入信息：
$ sudo echo “hahah” >> test.csv
-bash: test.asc: Permission denied
# 这时可以看到 bash 拒绝这么做，说是权限不够。
# 这是因为重定向符号 “>” 和 “>>” 也是 bash 的命令。
# 我们使用 sudo 只是让 echo 命令具有了 root 权限，但是没有让 “>” 和 “>>” 命令也具有 root 权限，
# 所以 bash 会认为这两个命令都没有像 test.csv文件写入信息的权限。


# 解决这一问题的途径有两种。
# 1. 第一种是利用 “sh -c” 命令，它可以让 bash 将一个字串作为完整的命令来执行，这样就可以将 sudo 的影响范围扩展到整条命令。具体用法如下：
$ sudo /bin/sh -c ‘echo “hahah” >> test.asc’

# 2. 另一种方法是利用管道和 tee 命令，该命令可以从标准输入中读入信息并将其写入标准输出或文件中，具体用法如下：
$ echo “hahah” | sudo tee -a test.asc
# 注意，tee 命令的 “-a” 选项的作用等同于 “>>” 命令，如果去除该选项，那么 tee 命令的作用就等同于 “>” 命令
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20