docker 构建应用

docker 应用程序开发手册

开发 docker 镜像

Dockerfile

  • 非常容易定义镜像内容
  • 由一系列指令和参数构成的脚本文件
  • 每一条指令构建一层
  • 一个 Dockerfile 文件包含了构建镜像的一套完整指令
  • 指令不区分大小写,但是一般建议都是大写
  • 从头到尾按顺序执行指令
  • 必须以 FROM 指令开头,其实也是允许这个之前定义变量
  • # 是注释,但是要以这个开头的才是。行中其他位置被视为参数的一部分
  • 可以自定义转义字符:escape=

构建镜像的基本方法

通过:docker build

原理:通过 Dockerfile 文件和构建上下文(build context)构建镜像

构建上下文

上下文是由文件路径或者一个 URL 定义的一组文件

构建上下文以递归方式处理,本地路径包括其中的任何子目录,URL 包括仓库及其子模块

示例

使用当前目录作为上下文的构建语句:docker build -t 镜像标识 .

镜像构建过程

  • 整个构建过程是由 docker 守护进程运行的
  • 构建过程从上到下递归发给守护进程执行
  • 最好是一个项目一个目录进行构建,以这个目录作为上下文

Dockerfile 常用指令

~这边以centos的镜像作为构建基础~

FROM

设置基础镜像

shell 复制代码
FROM <image> [AS name]
  • image 参数指定任何有效的镜像,多种写法,也可以从公有注册中心拉取
  • 可以多次出现,以创建多个镜像层
  • 设置别名,对构建阶段指定一个名称,这个名称后续的 FROM 和 COPY --from=<name|index> 指令引用此阶段构建的镜像
  • 也支持由 ARG 指令申明的变量,但是这个变量要在第一条 FROM 指令前,在 FROM 指令前,就意味这个这个变量没有进入构建阶段

示例

RUN

运行命令

shell 复制代码
RUN <command>
RUN ["exec","param1","param2"]
  • shell 格式,命令在 shell 环境中运行,默认是 /bin/sh -c
  • exec 格式,不会启用 shell 环境执行
  • 可以使用反斜杠将单个 RUN 指令延续到下一行

示例

shell 复制代码
RUN ["/bin/bash", "-c", "echo hello,world"]
CMD

指定容器启动时默认执行的命令

  • 一个文件只能由一个 CMD 指令,就算有多个 CMD 指令,只有最后一个 CMD 有效
shell 复制代码
CMD ["exec","param1","param2"]	## 首选
CMD ["param1","param2"]		## 提供给 ENTRYPOINT 指令的默认参数
CMD command param1 param2	## shell 格式

示例

LABEL

向镜像添加元数据信息

  • 其中如果有空格,要加引号和反斜杠
  • 可以有多个标记,多个标记合并到单个标记可以减少层数
shell 复制代码
LABEL kye=value kye=value kye=value...

示例

EXPOSE

声明容器运行时监听的端口

  • 可以指定TCP或者UDP,默认是TCP
  • 它不会发布真实的端口,只是声明一下,
shell 复制代码
EXPOSE <port>
ENV

指定环境变量

  • 键值对形式
  • 构建镜像阶段的所有后续指令的环境中,也可以被运行时指定的环境变量替换
  • 引号和反斜杠可以作为值中包含空格
shell 复制代码
ENV key value  ### 单个环境变量
ENV key=value key=value key=value  ### 多个环境变量

示例

shell 复制代码
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world var3="hello world"
RUN ["/bin/bash","-c","echo ${var1}"]
RUN ["/bin/bash","-c","echo hello,world"]
CMD ["/bin/bash","-c","echo ${var1},${var2}"]
COPY

将源文件复制到容器内

  • 一些通配符:*代表任何内容,?代表单个字符
  • 源路径必须位于构建的上下文
  • 如果源是目录,则复制整个目录的内容
  • 指定多个源的话,目的路径必须是目录,必须以 / 结尾
  • 如果目的路径不以/ 结尾,被视为常规文件,源内容将写入目录路径
  • 如果目的路径不存在,则会与其路径中所有缺少的目录一起创建
shell 复制代码
COPY [--chown=<user>:<group>] <src>...<dest>  #### chown只用于linux容器
COPY [--chown=<user>:<group>] ["<src>",..."<dest>"]  #### 路径如果有空格字符,要用这种形式

示例

shell 复制代码
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY ind* /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
CMD ["/bin/bash","-c","cat /home/html/index.html"]
ADD

将源文件复制到容器

shell 复制代码
ADD [--chown=<user>:<group>] <src>...<dest>  #### chown只用于linux容器
ADD [--chown=<user>:<group>] ["<src>",..."<dest>"]  #### 路径如果有空格字符,要用这种形式
  • 源可以使用 URL 指定
  • 归档文件在复制过程中能够被自动解压缩,URL 的资源除外
ENTRYPOINT

配置容器的默认入口

shell 复制代码
ENTRYPOINT ["exec","param1","param2"]		#### 首选exec格式
ENTRYPOINT command  param1 param2			#### shell 格式
VOLUME

创建挂载点

shell 复制代码
VOLUME ["/data"]
  • 创建具有指定名称的挂载点,并将其标记为从本机主机或其他容器保留外部挂载的卷

示例

shell 复制代码
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
VOLUME ["/home/html/"]
CMD ["/bin/bash","-c","cat /home/html/index.html"]
WORKDIR

配置工作目录

shell 复制代码
WORKDIR /path/xxx/xxxx
  • 该指令后的 RUN 、CMD、COPY、ADD、ENTRYPOINT 指令设置工作目录,如果目录不存在,就会被创建
  • 可以多次使用这个指令,当时最终的路径是基于先前 WORKDIR 指令的路径

示例

shell 复制代码
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
WORKDIR /
RUN pwd
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
VOLUME ["/home/html/"]
WORKDIR /home/html
CMD ["/bin/bash","-c","cat index.html"]
USER

设置运行镜像时使用的用户名

shell 复制代码
USER <user>:<group>
  • RUN、CMD、ENTRYPOINT 指令都会使用这个指定的身份
  • 如果没有设置, root 组身份运行

示例

shell 复制代码
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
RUN useradd whale
USER whale:whale
COPY index.html /home/html/
EXPOSE 80/tcp 8088/udp
ENV var1=hello var2=world
VOLUME ["/home/html/"]
WORKDIR /home/html
CMD ["/bin/bash","-c","id"]
ARG

定义构建时候的变量

shell 复制代码
ARG <name>[=<value>]
  • 构建时候也可以使用命令进行传递:--build-arg =,但是如果这个参数没有在文件中定义,就会报错
SHELL

指定命令的 shell 格式

shell 复制代码
SHELL ["exec","parameters"]
  • 用于指定命令的shell格式来覆盖默认的 shell,Linux 系统默认的shell是 /bin/sh -c 的形式,windows 是 cmd /S /C
  • 可以多次出现,但是会被覆盖
exec、shell 格式方法

RUN、CMD、ENTRYPOINT

这些指令都会用到 exec 和 shell 两种格式

shell 复制代码
#### exec的一般写法:直接调用命令,不会被shell进行解析,也识别不了ENV指令的环境变量,除非是 shell 执行的
<指令> ["exec", "param1", "param2" ,......]
ENTRYPOINT ["/bin/echo", "Hello,World"]

#### shell 的一般写法:底层直接调用的是/bin/sh -c 来执行的
<指令> <command>
  • CMD、ENTRYPOINT 首先 exec 格式,可读性强,容易理解
  • RUN 两种都可以
RUN、CMD、ENTRYPOINT 区别
  • RUN 指令执行命令并创建新的镜像层,经常用来安装应用程序和依赖包
  • CMD 指令为运行容器提供默认值,默认执行的命令及其参数,如果容器启动时候手动指定,CMD 指令就会被覆盖,如果省略了可执行文件,就必须指定 ENTRYPOINT 指令,CMD 指令可为提供额外的默认参数
  • ENTRYPOINT 指令配置容器启动时运行的命令,CMD 指令提供额外参数,并且 ENTRYPOINT 在容器启动一定会运行,不会被覆盖的
shell 复制代码
ARG version=7
FROM centos:$version
LABEL name=whale mail=565616251@qq.com info="then is a test"
ENTRYPOINT  ["/bin/echo", "hello"]
CMD [" world"]

构建镜像的基本步骤

  1. 准备构建 Dockerfile 上下文
  2. 编写 Dockerfile
  3. 执行构建命令
  4. 基于构建镜像启动进行测试

注意点

  1. 构建缓存问题
  2. 创建基础镜像(可以通过 scratch 构建最简单的父镜像)

多阶段构建

docker 17.05以上才支持

不用多阶段构建的解决方案

  1. 传统解决方案使用 shell 技巧和其他逻辑尽可能减少层的大小
  2. 还有一些先创建一个容器,然后运行,在复制出来需要的文件,再构建一次,需要shell脚本的配合来完成构建,麻烦地

使用多阶段构建

  1. 就是一个 Dockerfile 中有多个 FROM 指令,每个指令使用不同的基础镜像,并且各自分别开始一个新的构建阶段
  2. 可以选择将构建从一个阶段复制到另一个阶段,并在最终镜像中排除不需要的内容
shell 复制代码
#### 
ARG version=7
FROM centos:$version 
LABEL name=whale mail=565616251@qq.com info="then is a test"
COPY index.html /home/html/

FROM centos:6
COPY --from=0 /home/html/index.html /home/			### 从前一阶段复制到新的阶段
CMD ["/bin/bash","-c","cat /home/index.html"]

为每个构建阶段命名

~这里使用c语言环境进行构建演示~

shell 复制代码
FROM gcc:latest as builder
WORKDIR /app
COPY myapp.c /vim app
RUN gcc -o myapp myapp.c

FROM centos:7
WORKDIR /
COPY --from=builder /app/myapp .
CMD ["./myapp"]

Dockerfile 编写建议

  1. 创造短生命周期的容器:容器以无状态运行,可以被停止和销毁,可以使用最小的设置和配置进行重建和替换
  2. 可以使用标准输入管道化来构建(就不用保存 Dockerfile 文件了)
  3. 它的特殊参数 - 就是用来从标准输入读取 Dockerfile 内容的,直到遇到EOF/分界符
  4. 使用.dockerignore文件排除与构建无关的文件,类似于git那种,构建上下文发送给守护进程前,就会排除掉这些文件
  5. 使用多阶段构建
  6. 不安装不必要的包
  7. 解耦应用程序:一个容器只解决一个问题
  8. 使镜像层数最少
  9. 对多行参数排序
  10. 利用构建缓存
shell 复制代码
echo -e "FROM xxx \nRUN xxxx" | docker build -

Docker 的应用程序开发准则

减少镜像大小

  1. 选择合适的基础镜像:比如需要 JDK,考虑官方的 openjdk,而不是从通用的 ubuntu 镜像去构建JDK环境
  2. 多阶段构建:jave应用使用maven,使用多阶段构建,最终镜像就可以不用包含构建时需要引入的所有库和依赖
  3. 创建自己的基础镜像
  4. 生产镜像作为基础镜像
  5. 不依赖自动产生的 latest 标签

持久化应用程序数据

  1. 避免应用程序数据存储在容器的可写成,会降低IO和增加容器的大小
  2. 尽可能使用卷来存储数据
  3. 生产环境,使用 secrets 存储服务需要的敏感程序数据,使用配置数据 configs 存储配置文件

尽可能使用 swarm 集群服务

  • 即使单节点,swarm 带来的收益也比 docker run 要优秀

应用程序 Docker 化

基本流程

选择基础镜像

几乎所有开发技术都有自己的基础镜像,比如:java、python、node.js等,如果不直接使用这些镜像,就需要从基础操作系统镜像开始安装所有的依赖,最常见的就是 ubuntu 操作系统作为基础镜像

安装必要的软件

如果有必要,需要针对构建、调试和开发环境创建不同的 Dockerfile

添加自定义文件

定义容器运行时的用户权限

尽可能避免使用 root 权限运行

定义要对外暴露的端口

定义应用程序的入口点

entrypoint,比较简单的就是直接运行可执行文件,更专业的方法创建一个专门的shell脚本:entrypoint.sh,通过环境变量配置容器的入口点

定义一种配置方式

应用程序如果需要参数,可以使用应用程序特定的配置文件,也可以使用操作系统的环境变量

持久化应用数据

这些数据最好存储到卷或者绑定挂载上,不要将他们保存到容器本身的可写层

相关推荐
AI慧聚堂22 分钟前
自动化 + 人工智能:投标行业的未来是什么样的?
运维·人工智能·自动化
不爱学英文的码字机器24 分钟前
[Linux] Shell 命令及运行原理
linux·运维·服务器
cdut_suye35 分钟前
Linux工具使用指南:从apt管理、gcc编译到makefile构建与gdb调试
java·linux·运维·服务器·c++·人工智能·python
qq_4336184440 分钟前
shell 编程(三)
linux·运维·服务器
苹果醋31 小时前
2020重新出发,MySql基础,MySql表数据操作
java·运维·spring boot·mysql·nginx
两张不够花1 小时前
Jenkins 持续集成部署
运维·jenkins
码农土豆1 小时前
PaddlePaddle飞桨Linux系统Docker版安装
linux·docker·paddlepaddle
Hacker_xingchen1 小时前
天融信Linux系统安全问题
linux·运维·系统安全
丘狸尾1 小时前
[cisco 模拟器] ftp服务器配置
android·运维·服务器
黑客老陈1 小时前
新手小白如何挖掘cnvd通用漏洞之存储xss漏洞(利用xss钓鱼)
运维·服务器·前端·网络·安全·web3·xss