Docker-dockerfile构建镜像

---

一、Dockerfile概论

Dockerfile是一个文本文件，文件中包含了一条条的指令（instruction），用于构建镜像。每一条指定构建一层镜像，因此每一条指令的内容，就是描述该层镜像应当如何构建。

• dockerfile是自定义镜像的一套规则
• dockerfile由多调指令构成，dockerfile的每一条指令都会对应于docker镜像中的每一层。
  Dockerfile的原理就是镜像分层
• dockerfile中的每一个指令都会创建一个新的镜像层（是一个临时的容器，执行完后将不再存在，再往后进行重复的创建与操作）
• 镜像层将被缓存和复用（后续的镜像层将基于前面的每一层，每一层都会有下几层的缓存）
• 当dockerfile的指令修改了，复制的文件变化了，或构建镜像时指定的变量不同了，那么对应的镜像层缓存就会失效（因为后续的操作必然更改前面的镜像层）
• 某一层的镜像缓存失效了之后，它之后的镜像层缓存就都会失效（第一层不成功，那么第二层也会失效）
• 容器的修改并不会影响镜像，如果在某一层中添加一个文件，在下一层中删除它，镜像中依然会包含该文件。
  

二、Docker镜像的创建

创建镜像有三种方法

• 基于已有镜像创建
• 基于本地模板创建
• 基于Dockerfile创建

1、基于已有镜像创建

原理：将容器里运行的程序及运行环境打包生成新的镜像

docker commit 【选项】 【容器id】 仓库名:标签
1

常用选项

2、基于本地模板创建

原理：通过导入操作系统模板文件生成新的镜像

wget http://download.openvz.org/template/precreated/debian-7.0-x86-minimal.tar.gz
#使用wget命令导入为本地镜像

docker import debian-7.0-x86-minimal.tar.gz -- debian:v1
或
cat debian-7.0-x86-minimal.tar.gz |docker import - debian:v1
#生成镜像

docker images
#查看镜像

docker run -itd debian:v1 bash
#创建并启动容器
1
2
3
4
5
6
7
8
9
10
11
12
13

3、基于dockerfile创建

• dockerfile是一组指令组成的文件
• dockerfile每行支持一条指令，每条指令可携带多个参数，一条指令可以用&&方式，去写多条指令
• dockerfile支持以“#”为开头的注释

dockerfile结构

• 基于镜像信息（linux发行版：比如centos、Ubuntu、suse、debian、alpine、redhat）
• 维护者信息（docker search 可查看）
• 镜像操作指令（tar yum make）
• 容器启动时执行指令（cmd[“/root/run/sh”]、entrypoint、都是系统启动时，第一个加载的程序/脚本/命令）

构建镜像命令

可以在构建镜像时指定资源限制
在编写Dockerfile时，需要遵守严格的格式：

1、第一行必须使用 FROM 指令指明所基于的镜像名称
2、之后使用 MAINTAINER 指令说明维护该镜像的用户信息
3、然后是镜像操作相关指令，如 RUN 指令。每一条指令，都会给基础镜像添加新的一层。
4、最后使用 CMD 指令指定启动容器时，要运行的命令操作

docker build -t nginx:test .  
 
基于dockerfile文件构建镜像命令
完整的写法： docker build -f dockerfile -t nginx:new . 
docker build : 基于dockerfile 构建镜像
-f ：指定dockerfile 文件（默认不写的话指的是当前目录）
-t ：(tag) 打标签 ——》nginx:new 
.  ：专业说法：指的是构建镜像时的上下文环境，简单理解：指的当前目录环境中的文件
1
2
3
4
5
6
7
8

三、Dockerfile操作指令

1、ENTRYPOINT指令

ENTRYPOINT [“要运行的程序”，“参数1”，“参数2”]
1

设定容器启动时第一个运行的命令及其参数 可以通过使用命令docker run --entrypoint 来覆盖镜像中的ENTRYPOINT指令的内容。
两种格式：

exec格式（数值格式）：ENTRYPOINT [“命令”，“选项”，“参数”]

shell格式：ENTRYPOINT 命令 选项 参数
1
2
3

2、CMD与entrypoint

都是容器启动时要加载的命令
exec 模式 与shell模式
exec： 容器加载时使用的启动的第一个任务进程
shell： 容器加载时使用的第一个bash（/bin/bash /bin/sh /bin/init）

自检完成后，加载第一个pid = 1 进程 
 
shell 翻译官/解释器，解析
 
echo $PATH
1
2
3
4
5

mkdir test 
cd test/
vim Dockerfile
1
2
3

FROM centos:7
CMD ["top"]
1
2

docker build -t centos:7 .
1

docker run -it --name test centos:7
1

docker logs test
1

docker ps -a
1

docker start 7486b56d6c61
1

docker exec test ps aux
1

使用exec模式是无法输出环境变量

示例：exec模式（命令+选项+参数）

vim Dockerfile 
1

echo $HOME
1

docker build -t "centos:7" .
1

docker images
1

docker run -itd --name lx centos:7
1

docker ps -a
1

docker logs lx
1

shell模式（需要加解释器）

vim Dockerfile
FROM centos:7
CMD ["sh","-c","echo $HOME"]
1
2
3

docker build -t "centos:lx2" .
1

docker images
1

docker run -itd --name lx2 centos:lx2
1

docker ps -a
1

docker logs lx2
1

小结

区别shell 模式和exec 模式
/bin/sh -c nginx #shell 模式
nginx # exec模式

exec 和shell 之间的区别
exec 不可用输出环境变量
shell 模式可以输出环境变量

cmd 是容器环境启动时默认加载的命令
entrypoint 是容器环境启动时第一个加载的命令程序/脚本程序 init

• 如果 ENTRYPOINT 使用了 shell 模式，CMD 指令会被忽略。

• 如果 ENTRYPOINT 使用了 exec 模式，CMD 指定的内容被追加为 ENTRYPOINT 指定命令的参数。

• 如果 ENTRYPOINT 使用了 exec 模式，CMD 也应该使用 exec 模式。

ADD和COPY的区别

Dockerfile中的COPY指令和ADD指令都可以将主机上的资源复制或加入到容器镜像中，都是在构建镜像的过程中完成的

• copy只能用于复制（节省资源）
• ADD复制的同时，如果复制的对象是压缩包，ADD还可以解压（消耗资源）
• COPY指令和ADD指令的唯一区别在于是否支持从远程URL获取资源。COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中。而ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中

满足同等功能的情况下，推荐使用COPY指令。ADD指令更擅长读取本地tar文件并解压缩。
①copy更节省资源，
②ADD可以将压缩文件解压后复制，
③COPY只支持本机复制到镜像，ADD支持URL复制到镜像。
④ADD会自动创建目标目录

CMD和ENTRYPOINT区别

1、相同点

都是容器启动时加载的命令，启动模式如下：

exec：容器加载时使用的启动的第一个任务进程

shell：容器加载时，使用的第一个bash（/bin/bash 、/bin/sh、/bin/init）

2、不同点

cmd是容器环境启动时默认加载的命令

entrypoint是容器环境启动时第一个加载的命令程序/脚本程序init。

• 如果entrypoint使用了shell模式，CMD指令会被忽略

• 如果entrypoint使用了exec模式。CMD指定的内容被追加为entrypoint指定命令的参数

• 如果entrypoint使用了exec模式，CMD也应该使用exec模式

如果存在多个CMD或多个ENTRYPOINT，有哪些是生效的？

• 如果存在多个CMD，只会有最后一个生效

• 如果存在多个ENTRYPOINT，只会是第一个生效

四、镜像分层原理

1、docker镜像分层（基于AUFS构建）

1、docker镜像位于bootfs之上
2、每一层镜像的下一层成为父镜像
3、第一层镜像成为base image(操作系统环境镜像)
4、容器层（可读可写，为了给用户操作），在最顶层
5、容器层以下都是readonly

LXC是一种内核中的容器技术，早期docker在没有将资源容器化的功能时，就是靠内核中LXC来完成容器虚拟化的。现在docker 拥有了自己的docker libcontainer库文件,这种库文件可以做到将资源容器化的操作，所以对LXC的依赖性大大降低。

2、bootfs 内核空间

主要包含bootloader（引导程序）和kernel（内核）。

• bootloader主要引导加载kernel，linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是bootfs。
• 这一层与我们典型的Linux/Unix系统时一样的，包含boot加载器和内核， 当boot加载完成之后整个内核就都在内存中了 ，此时内存的使用权由bootfs交给内核，此时系统也会卸载bootfs。
• 在linux操作系统中，linux加载bootfs时会将rootfs设置为read-only，系统自检后会将只读改为读写，让我们可以在操作系统中进行操作。

3、rootfs 内核空间

• bootfs之上（base images，例如centos、ubuntu）
• 包含的就是典型的linux系统中的/dev、/proc、/bin、/etc等标准目录和文件。
• rootfs就是各种不同的操作系统发行版。

4、AUFS 与overlay/overlay2

AUFS是一种联合文件系统，它使用同一个linux host上的多个目录，逐个堆叠起来，对外呈现出一个统一的文件系统，AUFS使用该特性，实现了Docker镜像的分层。

• 而docker 使用了overlay/overlay2存储驱动来支持分层结构。
• overlayFS将单个linux主机上的两个目录合并成一个目录 ，这些目录被称为层，统一过程被称为联合挂载。

overlay结构

overlayfs在linux主机上只有两层，一个目录在下层，用来保存镜像，另一个目录在上层，用来存储容器信息。

rootfs    #基础镜像
lower     #下层信息（为镜像层，只读）
upper     #上层目录（容器信息，可写）
worker    #运行的工作目录（copy-on-write写时复制-->准备容器环境）
mergod    #视图层（容器视图）

#docker 镜像层次结构总结
1、base images :基础镜像
2、image :固化了一个标准运行环境，镜像本身的功能-封装一组功能性的文件，通过统一的方式，文件格式提供出来（只读）
3、container :容器层（读写）
4、docker-server 端
5、呈现给docker-client（视图）
1
2
3
4
5
6
7
8
9
10
11
12

5、联合文件系统（UnionFS）

UnionFS(联合文件系统) : Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。AUFS、OberlayFS及Devicemapper都是一种UnionFS。

Union文件系统是Docker镜像的基础。 镜像可以通过分层来进行继承，基于基础镜像(没有父镜像)，可以制作各种具体的应用镜像。

特性：
一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

从仓库下载时， 我们下看到的一层层的就是联合文件系统

6 、镜像加载原理

• 在Docker镜像的最底层是bootfs，这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs.

• rootfs在bootfs之上。包含的就是典型Linux系统中的/dev,/proc,/bin,/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu,Centos等等。

• 我们可以理解成一开始内核里什么都没有， ① 操作一个命令下载debian,这是就会在内核上面加一层基础镜像； ② 再安装一个emacs,会在基础镜像上叠加一层image;接着再安装一个apache,又会在images.上面叠加一层image。最后它们看起来就像一个文件系统即容器的rootfs。 在Docker的体系里把这些rootfs叫做Docker的镜像。 ③ 但是，此时的每一层rootfs都是read-only的，我们此时还不能对其进行操作。当我们创建一个容器，也就是将Docker镜像进行实例化，系统会在一层或是多层read-only的rootfs之上分配一层空的read-write的rootfs.

dockerfile镜像 tar包安装mysql服务

创建目录test
放入tar包安装需要的压缩包
提前写好my.cnf配置文件

vim Dockerfile

=====================
FROM centos:7
MAINTAINER [lx]

RUN mkdir -p /data/mysql
RUN groupadd mysql
RUN yum -y install \
ncurses \
ncurses-devel \
bison \
cmake \
make \
gcc \
gcc-c++ \
libaio-devel.x86_64 \
numactl

ADD mysql-5.7.22-linux-glibc2.12-x86_64.tar.gz /usr/local

WORKDIR /usr/local
RUN mv mysql-5.7.22-linux-glibc2.12-x86_64 mysql && mkdir -p /usr/local/mysql/data && useradd -r -s /sbin/nologin -g mysql mysql -d /usr/local/mysql && chown -R mysql.mysql /usr/local/mysql/ && chown -R mysql.mysql /data/mysql/


WORKDIR /usr/local/mysql/
RUN /usr/local/mysql/bin/mysqld \
--initialize \
--user=mysql \
--basedir=/usr/local/mysql \
--datadir=/data/mysql

WORKDIR /usr/local/mysql/support-files/
RUN cp mysql.server /etc/init.d/mysql && chmod 755 /etc/init.d/mysql && chkconfig --add mysql && chkconfig --level 345 mysql on

WORKDIR /etc/init.d
RUN sed -i '46s/basedir=/basedir=\/usr\/local\/mysql/g' /etc/init.d/mysql && sed -i '47s/datadir=/datadir=\/data\/mysql/g' /etc/init.d/mysql


COPY my.cnf /etc/my.cnf
RUN chmod 755 /etc/my.cnf


ENV PATH=/usr/local/mysql/bin:/usr/local/mysql/lib:$PATH


EXPOSE 3306

ADD mysql_data.tar.gz /usr/local/mysql
RUN rm -rf mysql_data.tar.gz
RUN /etc/init.d/mysql restart

CMD ["/etc/init.d/mysql restart"]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

进入镜像，重启一下mysql就可以登陆了