摘要:比如和指令���,鏡像中的文件內(nèi)容被檢查并且為每個(gè)文件計(jì)算校驗(yàn)和���。這些文件的最終修改和訪問(wèn)時(shí)間將不被考慮到校驗(yàn)和內(nèi)��。在查找緩存期間���,校驗(yàn)和將被用于與已存在的鏡像校驗(yàn)和進(jìn)行對(duì)比。
Docker 可以從 Dockerfile 中讀取指令自動(dòng)構(gòu)建鏡像�����,Dockerfile是一個(gè)包含構(gòu)建指定鏡像所有命令的文本文件�����。Docker堅(jiān)持使用特定的格式并且使用特定的命令����。你可以在 Dockerfile參考 頁(yè)面學(xué)習(xí)基本知識(shí)。如果你剛接觸Dockerfile 你應(yīng)該從哪里開(kāi)始學(xué)習(xí)�。
這個(gè)文檔囊括了Docker公司和Docker社區(qū)推薦的創(chuàng)建易于使用且實(shí)用的Dockerfile 的最佳實(shí)踐和方法。我們強(qiáng)烈建議你遵循這些規(guī)范(事實(shí)上��,如果你創(chuàng)建一個(gè)官方鏡像�����,你必須堅(jiān)持這些實(shí)踐。)
你可以從 buildpack-deps Dockerifle看到許多這種實(shí)踐和建議����。
注:本文檔提到的Dockerfile命令的更詳細(xì)的解釋見(jiàn)Dockerfile參考 頁(yè)面。
通用參考和建議
容器應(yīng)該是臨時(shí)性的
從你的Dockerfile定義的鏡像啟動(dòng)的容器應(yīng)該盡可能短暫���。這里的『短暫』我們是說(shuō)它可以被停止和銷毀并且一個(gè)新容器的構(gòu)建和替換可以絕對(duì)最小化的變更和配置下完成��。你可能想看下 應(yīng)用方法論的12個(gè)事實(shí)中進(jìn)程 一節(jié)來(lái)了解以無(wú)狀態(tài)方式運(yùn)行容器的動(dòng)機(jī)。
使用 .dockerignore文件
在大多數(shù)情況下���,最好把Dockerfile放在一個(gè)空目錄里�����。然后�����,只把構(gòu)建Dockerfile需要的文件追加到該目錄中�。為了改進(jìn)構(gòu)建性能�����,你也可以增加一個(gè).dockerignore 文件來(lái)排除文件和目錄。該文件支持與 .gitignore 類似的排除模式�����。更多創(chuàng)建.dockerignore信息��,見(jiàn) .dockerignore
避免安裝不需要的包
為了減少?gòu)?fù)雜性�����,依賴����,文件大小,和構(gòu)建時(shí)間�����,你應(yīng)該避免僅僅因?yàn)樗麄兒芎糜枚惭b一些額外或者不必要的包�。例如,你不需要在一個(gè)數(shù)據(jù)庫(kù)鏡像中包含一個(gè)文本編輯器����。
每個(gè)容器只關(guān)心一個(gè)問(wèn)題
解耦應(yīng)用為多個(gè)容器使水平擴(kuò)容和復(fù)用容器更容易。例如�,一個(gè)web應(yīng)用棧會(huì)包含3個(gè)獨(dú)立的容器���,每個(gè)都有自己獨(dú)立的鏡像,以解耦的方式來(lái)管理web應(yīng)用��,數(shù)據(jù)庫(kù)�。
你可能聽(tīng)說(shuō)過(guò)"一個(gè)容器一個(gè)進(jìn)程"。這種說(shuō)法有很好的意圖����,一個(gè)容器應(yīng)該有一個(gè)操作系統(tǒng)進(jìn)程并非真的必要。除此之外����,事實(shí)上現(xiàn)在容器可以 被init進(jìn)程啟動(dòng), 一些程序可能會(huì)自己產(chǎn)生其他額外的進(jìn)程�����。例如�,Celery 可以產(chǎn)生多個(gè)工作進(jìn)程,或者 Apache 可能為每個(gè)請(qǐng)求創(chuàng)建一個(gè)進(jìn)程��。當(dāng)然"一個(gè)容器一個(gè)進(jìn)程"通常是一個(gè)很好的經(jīng)驗(yàn)法則�,?�?但它不是一個(gè)很難和快速的規(guī)則(it is not a hard and fast rule)����?�����? 用你最好的判斷來(lái)保持容器盡可能的干凈和模塊化���。
如果容器之間相關(guān)依賴����,你可以使用 Docker容器網(wǎng)絡(luò) 來(lái)取吧哦容器之間可以通信����。
最小化層數(shù)
你需要在Dockerfile可讀性(從而可以長(zhǎng)時(shí)間維護(hù))和它用的層數(shù)最小化之間找到平衡。Be strategic 關(guān)注你使用的層數(shù)(and cautious about the number of layers you use).
對(duì)多行參數(shù)排序
無(wú)論何時(shí)�����,以排序多行參數(shù)來(lái)緩解以后的變化(Whenever possible, ease later changes by sorting multi-line arguments alphanumerically. )��。這將幫助你避免重復(fù)的包并且使里列表更容易更新�。這也使得PR更容易閱讀和審查。在反斜線()前加一個(gè)空格也很有幫助���。
這里有個(gè)來(lái)自 buildpack-deps 鏡像的實(shí)例:
RUN apt-get update && apt-get install -y
bzr
cvs
git
mercurial
subversion
構(gòu)建緩存
在構(gòu)建鏡像的過(guò)程中���,Docker會(huì)逐句讀取你Dockerfile中的指令按指定的順序執(zhí)行��。因?yàn)槊總€(gè)指令都會(huì)被檢查Docker會(huì)在它的緩存中查找可以重用的現(xiàn)有鏡像(As each instruction is examined Docker will look for an existing image in its cache that it can reuse)���,而不是創(chuàng)建一個(gè)新的(重復(fù)的)鏡像。如果你根本不像使用緩存�����,你可以對(duì) docker build 命令使用 --no-cache=ture參數(shù)��。
然而���,如果你使Docker使用緩存,那么理解它什么時(shí)候找到一個(gè)匹配的鏡像以及什么不找就非常重要了�����。Docker將遵循的基本規(guī)則如下:
以一個(gè)已經(jīng)在緩存中的付鏡像開(kāi)始�����,下一個(gè)指令與所有源自該基礎(chǔ)鏡像的子鏡像做對(duì)比,來(lái)查看鏡像中是否有一個(gè)使用了完全相同的鏡像構(gòu)建�����。如果沒(méi)有�����,緩存不可用��。
大多數(shù)情況下簡(jiǎn)單對(duì)比Dockfile中的指令與子鏡像就足夠了����。然而,一些特定的指令需要更多的檢查和解釋�����。
比如ADD和COPY指令����,鏡像中的文件內(nèi)容被檢查并且為每個(gè)文件計(jì)算校驗(yàn)和。這些文件的最終修改和訪問(wèn)時(shí)間將不被考慮到校驗(yàn)和內(nèi)����。在查找緩存期間��,校驗(yàn)和將被用于與已存在的鏡像校驗(yàn)和進(jìn)行對(duì)比����。如果文件中有任何變化���,比如內(nèi)容或者元數(shù)據(jù)���,那么緩存失效。
除了ADD和COPY命令以外���,緩存檢查將不會(huì)檢查容器中的文件來(lái)確定緩存匹配�����。比如��,當(dāng)處理一個(gè)RUN apt-get -y update容器中的文件更新將不會(huì)被檢查來(lái)確定是否命中已存在緩存��。在這種情況下只有命令字符串自己將被用來(lái)查找匹配。
一旦緩存失效���,所有的后面的Dockerfile命令將會(huì)生成新的鏡像而且不會(huì)使用緩存���。
Dcokerfile指令
下面你會(huì)找到寫(xiě)Dockerfile里可用的各種指令的建議以及最佳方法����。
FROM
Dockerfile參考之FROM指令
無(wú)論何時(shí)只要可能使用當(dāng)前官方倉(cāng)庫(kù)鏡像作為你的基礎(chǔ)鏡像����。我們推薦Debian鏡像, 因?yàn)樗粐?yán)格控制并且保持最小(目前小于5MB)����,同時(shí)是一個(gè)完整的發(fā)行版。
LABEL
理解labels對(duì)象
你可以給你的鏡像增加標(biāo)簽(labels)來(lái)協(xié)助通過(guò)項(xiàng)目組織鏡像����,記錄授權(quán)信息,幫助自動(dòng)化�����,或者其他原因��。每一個(gè)標(biāo)簽都以LABEL開(kāi)頭并且跟著一對(duì)或多對(duì)鍵值對(duì)�。以下實(shí)例展示了可接受的不同格式。解釋性意見(jiàn)也包括在內(nèi)(Explanatory comments are included inline.)。
注:如果你的字符串包含空格���,它必須被引號(hào)引起來(lái)或者空格必須被轉(zhuǎn)義�����。如果你的字符串包含內(nèi)部引號(hào)字符(")�,他們需要轉(zhuǎn)義���。
# Set one or more individual labels
LABEL com.example.version="0.0.1-beta"
LABEL vendor="ACME Incorporated"
LABEL com.example.release-date="2015-02-12"
LABEL com.example.version.is-production=""
# Set multiple labels on one line
LABEL com.example.version="0.0.1-beta" com.example.release-date="2015-02-12"
# Set multiple labels at once, using line-continuation characters to break long lines
LABEL vendor=ACME Incorporated
com.example.is-beta=
com.example.is-production=""
com.example.version="0.0.1-beta"
com.example.release-date="2015-02-12"
查看 理解labels對(duì)象 獲取可接受的標(biāo)簽鍵和值指導(dǎo)���。
For information about querying labels, refer to the items related to filtering in Managing labels on objects.
RUN
Dockerfile參考 之 RUN 指令
跟之前一樣,為了讓你的Dockerfile具有更高的可讀性�����,更易于理解和維護(hù)�����,使用反斜線()將較長(zhǎng)的或者復(fù)雜的RUN語(yǔ)句拆分為多行��。
APT-GET
可能RUN最常見(jiàn)的使用場(chǎng)景就是apt-get的應(yīng)用程序了��。RUN apt-get命令�,因?yàn)槭褂盟惭b軟件包有幾個(gè)需要注意的問(wèn)題。
你應(yīng)該避免使用RUN apt-get upgrade或者dis-upgrade, 因?yàn)楦哥R像中許多"基本的"(essential)包不能在容器中升級(jí)�����。如果父鏡像中有個(gè)軟件包過(guò)期了�����,你應(yīng)該聯(lián)系它的維護(hù)者�。如果你知道有個(gè)特定的軟件包,foo�,需要升級(jí),使用apt-get install -y foo來(lái)自動(dòng)升級(jí)�。
通常把RUN apt-get update 和 apt-get install合并到一個(gè)相同的RUN語(yǔ)句中,例如:
RUN apt-get update && apt-get install -y
package-bar
package-baz
package-foo
在一個(gè)RUN語(yǔ)句中多帶帶試用apt-get update會(huì)引起緩存問(wèn)題并且導(dǎo)致后面的apt-get install指令執(zhí)行失敗����。例如,你現(xiàn)在有個(gè)Dockerfile:
FROM ubuntu:14.04
RUN apt-get update
RUN apt-get install -y curl
鏡像構(gòu)建完成以后�,所有的層都在Docker緩存中。假設(shè)你后來(lái)修改apt-get install增加了其他的軟件包:
FROM ubuntu:14.04
RUN apt-get update
RUN apt-get install -y curl nginx
Docker將最初的指令和修改后的指令視為相同的指令(指apt-get update這行)并且使用上一步的緩存����。結(jié)果就是apt-get update沒(méi)有執(zhí)行因?yàn)槭褂昧司彺娴陌姹具M(jìn)行構(gòu)建。因?yàn)?b>apt-get update沒(méi)有執(zhí)行,你的構(gòu)建可能會(huì)安裝一個(gè)過(guò)時(shí)版本的curl和ngin�。
使用RUN apt-get update && apt-get install -y可以確保你的Dockerfile安裝最新版本的軟件包而無(wú)需編碼或手動(dòng)干預(yù)。這個(gè)技巧被稱為"緩存破解"�����。你也可以通過(guò)指定軟件包版本來(lái)破解緩存��。這被稱為固定版本����,例如:
RUN apt-get update && apt-get install -y
package-bar
package-baz
package-foo=1.3.*
固定版本在構(gòu)建時(shí)強(qiáng)制查找指定版本的軟件包而不管緩存有什么。這個(gè)技巧可以減少因?yàn)橐蕾嚢奈粗兏鼘?dǎo)致的失敗���。
下面是一個(gè)格式規(guī)范的RUN指令�,實(shí)踐了apt-get的所有建議��。
RUN apt-get update && apt-get install -y
aufs-tools
automake
build-essential
curl
dpkg-sig
libcap-dev
libsqlite3-dev
mercurial
reprepro
ruby1.9.1
ruby1.9.1-dev
s3cmd=1.1.*
&& rm -rf /var/lib/apt/lists/*
s3cmd指令指定了版本1.1.*�����。 如果前一個(gè)鏡像使用了一個(gè)老版本���,指定新版本會(huì)引起apt-get update的緩存破解以確保安裝新版本����。每行列出一個(gè)軟件包可以避免包重復(fù)錯(cuò)誤。
另外�����,你可以通過(guò)刪除 /var/lib/apt/lists 清理apt緩存來(lái)減小鏡像大小��,因?yàn)閍pt緩存不會(huì)保存在層里�。由于RUN語(yǔ)句以apt-get update開(kāi)頭��,所以在緩存apt-get之前����,包緩存將始終被刷新。
注:Debian和Ubuntu的鏡像自動(dòng)運(yùn)行apt-get clean����,所以不需要顯式調(diào)用。
USING PIPES
一些RUN命令依賴使用管道符號(hào)(|)把一個(gè)命令的輸出到另外一個(gè)命令的能力�,比如以下實(shí)例:
RUN wget -O - https://some.site | wc -l > /number
Docker試用/bin/sh -c解釋器執(zhí)行這些命令,它只計(jì)算管道最后一個(gè)操作的退出代碼來(lái)確定是否成功���。在上面這個(gè)例子中只要wc -l命令執(zhí)行成功這一步就構(gòu)建成功并且生成一個(gè)新的鏡像���,即使wget命令失敗也是如此����。
如果你想讓管道中出現(xiàn)任意錯(cuò)誤命令都返回錯(cuò)誤�,在命令前加上set -o pipefail &&來(lái)確保避免出現(xiàn)未知錯(cuò)誤時(shí)鏡像也能構(gòu)建成功。例如:
RUN set -o pipefail && wget -O - https://some.site | wc -l > /number
注:并非所有的shell都支持-o pipefaile選項(xiàng)�����。在這種情況下(比如dash shell, 它是基于Debian鏡像的默認(rèn)shell)��,考慮使用RUN的exec形式來(lái)顯式選擇一個(gè)支持pipefail選項(xiàng)的shell��。例如:
RUN ["/bin/bash", "-c", "set -o pipefail && wget -O - https://some.site | wc -l > /number"]
CMD
Dockerfile參考 之 CMD指令
CMD 指令用于運(yùn)行你鏡像包含中的軟件�,連同任意參數(shù)。CMD應(yīng)該盡可能都是用這種形式 CMD [“executable”, “param1”, “param2”…]���。然而�����,如果是一個(gè)作為服務(wù)的鏡像��,比如Apache和Rails,你應(yīng)該像這樣執(zhí)行CMD ["apache2","-DFOREGROUND"]��。實(shí)際上�����,實(shí)際上�����,這種形式的指令是推薦用于任何基于服務(wù)的鏡像��。
在其他大多數(shù)情況下��,CMD應(yīng)該給一個(gè)交互式Shell���,比如bash,python 和 perl���。例如����,CMD ["perl", "-de0"], CMD ["python"]����, 或者 CMD [“php”, “-a”]��。試用這種形式就意味著當(dāng)你執(zhí)行類似docker run -it python的一些東西�,你將得到一個(gè)可用的shell(you’ll get dropped into a usable shell, ready to go)�����。CMD應(yīng)該很少以CMD [“param”, “param”]的形式和 ENTRYPOINT一起試用��,除非你和你的目標(biāo)用戶已經(jīng)非常熟悉ENTRYPOINT工作原理����。
EXPOSE
Dockerfile參考之 EXPOSE 指令
EXPOSE指令指示容器將監(jiān)聽(tīng)鏈接的端口。因此�,你應(yīng)該為你的應(yīng)用程序試用通用的傳統(tǒng)的端口。例如��,一個(gè)包含Apache Web服務(wù)器的鏡像應(yīng)該EXPOSE 80, 而一個(gè)包含MongoDB的鏡像應(yīng)該使用EXPOSE 27017等��。
對(duì)于外部訪問(wèn)��,您的用戶可以使用指示如何將指定端口映射到所選端口的標(biāo)志來(lái)執(zhí)行docker run��。
???For container linking, Docker provides environment variables for the path from the recipient container back to the source (ie, MYSQL_PORT_3306_TCP).???
ENV
Dockerfile參考 之 ENV指令
為了讓軟件更便于運(yùn)行����,你可以使用ENV來(lái)修改環(huán)境變量將軟件安裝目錄加到PATH��。例如:ENV PATH /usr/local/nginx/bin:$PATH將使 CMD [“nginx”] 可以工作���。
ENV指令也可用于給要容器化的服務(wù)所需的環(huán)境變量,比如Postgre的PGDATA�。
最后,ENV也可用于指定通用版本號(hào)��,這樣版本易于維護(hù)����,如下實(shí)例所示:
ENV PG_MAJOR 9.3
ENV PG_VERSION 9.3.4
RUN curl -SL http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress && …
ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH
和程序中的常量變量類似(和硬編碼值相反),這種方法讓你可以修改一個(gè)多帶帶的ENV指令在容器中自動(dòng)更新容器中的軟件版本�。
ADD or COPY
Dockerfile參考之 ADD指令
Dockerfile參考之 COPY指令
盡管ADD和COPY指令功能相似����,一般而言,最好使用COPY�。是因?yàn)樗?b>ADD更透明。COPY只支持最基本的從本地復(fù)制文件到容器中���,而ADD有更多功能(比如本地tar解壓和遠(yuǎn)程URL支持)并不是即刻課件的�。因此�����,用ADD最好的方式是本地tar文件自動(dòng)提取到鏡像,比如:ADD rootfs.tar.xz /����。
如果你有多個(gè)Dockerfile步驟在你的上下文使用不同的文件,多帶帶COPY他們���,而不是一次復(fù)制所有��。這將確保每一步的構(gòu)建緩存(強(qiáng)制這一步重新運(yùn)行)只有當(dāng)它特定的依賴文件變化時(shí)失效�����。
例如:
COPY requirements.txt /tmp/
RUN pip install --requirement /tmp/requirements.txt
COPY . /tmp/
結(jié)論就是如果把COPY . /tmp/放在RUN之前失效緩存更少���。
因?yàn)殓R像大小很重要,使用ADD來(lái)獲取遠(yuǎn)程URLs是強(qiáng)烈反對(duì)的�;你應(yīng)該使用curl和wget替代。這種方式你可以在解壓后不需要時(shí)刪除這些文件并且你不會(huì)在你的鏡像增加額外一層����。例如,你應(yīng)該避免這么做:
ADD http://example.com/big.tar.xz /usr/src/things/
RUN tar -xJf /usr/src/things/big.tar.xz -C /usr/src/things
RUN make -C /usr/src/things all
并且以此種方式替代:
RUN mkdir -p /usr/src/things
&& curl -SL http://example.com/big.tar.xz
| tar -xJC /usr/src/things
&& make -C /usr/src/things all
對(duì)于不需要ADD tar自動(dòng)提取功能的其他項(xiàng)目(文件,目錄)���,應(yīng)始終使用COPY�����。
ENTRYPOINT
Dockerfile參考 之 ENTRYPOINT指令
使用ENTRYPOINT最好的方式是設(shè)置鏡像主命令�,允許鏡像把它作為命令運(yùn)行(然后使用CMD作為默認(rèn)標(biāo)識(shí))��。
我們從一個(gè)命令行工具s3cmd鏡像的例子開(kāi)始:
ENTRYPOINT ["s3cmd"]
CMD ["--help"]
現(xiàn)在可以像這樣運(yùn)行鏡像來(lái)顯示命令的幫助:
$ docker run s3cmd
或者使用正確的參數(shù)來(lái)執(zhí)行一個(gè)命令:
$ docker run s3cmd ls s3://mybucket
這樣有用��,因?yàn)殓R像名稱可以復(fù)用為二進(jìn)制文件的引用�,如上面命令所示。
ENTRYPOINT指令也可以與輔助腳本組合使用����,允許其以類似于上述命令的方式運(yùn)行,即使啟動(dòng)工具可能需要多于一個(gè)步驟�����。
例如�����,Postgres官方鏡像 使用以下腳本作為它的 ENTRYPOINT:
#!/bin/bash
set -e
if [ "$1" = "postgres" ]; then
chown -R postgres "$PGDATA"
if [ -z "$(ls -A "$PGDATA")" ]; then
gosu postgres initdb
fi
exec gosu postgres "$@"
fi
exec "$@"
注:這個(gè)腳本使用exec Bash命令 以便最終運(yùn)行的應(yīng)用程序成為容器PID 1�。這樣做允許應(yīng)用程序接受發(fā)送給容器的Unix信號(hào)。查看ENTRYPOINT幫助獲取更多細(xì)節(jié)�����。
幫助腳本被拷貝到容器并且當(dāng)容器啟動(dòng)時(shí)通過(guò)ENTRYPOINT運(yùn)行���。
COPY ./docker-entrypoint.sh /
ENTRYPOINT ["/docker-entrypoint.sh"]
此腳本允許用戶以多種方式與Postgres進(jìn)行交互��。
它可以簡(jiǎn)單的啟動(dòng)Postgres:
$ docker run postgres
或者�,可以運(yùn)行Postgres并且傳遞參數(shù)給服務(wù)器:
$ docker run postgres postgres --help
最后�����,它也可以被用于啟動(dòng)一個(gè)完全不同的工具�,比如Bash:
$ docker run --rm -it postgres bash
VOLUME
Dockerfile參考 之 VOLUME指令
VOLUME指令應(yīng)該用于暴露任意數(shù)據(jù)庫(kù)存儲(chǔ)區(qū),配置存儲(chǔ)��,或者docker容器創(chuàng)建的文件/目錄等�����。強(qiáng)烈建議您將VOLUME用于鏡像的任何可變和/或用戶可維護(hù)的部分�。
USER
Dockerfile參考 之 USER指令
如果服務(wù)可以沒(méi)有權(quán)限運(yùn)行,使用USER變?yōu)橐粋€(gè)非root用戶。像如下命令一樣開(kāi)始在Dockerfile中創(chuàng)建用戶和組:
RUN groupadd -r postgres && useradd --no-log-init -r -g postgres postgres
注:���?����?����? (Users and groups in an image get a non-deterministic UID/GID in that the “next” UID/GID gets assigned regardless of image rebuilds. )?��?�?所以,如果很重要的話��,你需要顯式指定UID/GID����。注:由于Go存檔/ tar包處理稀疏文件中的一個(gè)未解決的bug, 在docker容器里創(chuàng)建一個(gè)UID足夠大的用戶會(huì)在容器層中將/var/log/faillog寫(xiě)滿NUL (
