详解Docker——你需要知道的Docker进阶知识五

Posted 2023-03-19

参考技术A Dockerfile 是一个文本文件，其中包含了构建 Docker 镜像需要执行的命令序列。使用 docker build 命令从 Dockerfile 中读取指令来构建镜像。

构建镜像时，该过程的第一件事是将 Dockerfile 文件所在目录下的所有内容发送给 Docker 守护进程。所以大多数情况下，最好创建一个新的目录，在其中保存 Dockerfile ，以及构建镜像所需的其它文件。Dockerfile 文件所在目录也被称为构建上下文（context）。

使用 FROM 指令指定一个基础镜像，后续指令将在此镜像基础上运行：

在 Dockerfile 中可以指定一个用户，后续的 RUN ， CMD 以及 ENTRYPOINT 指令都会使用该用户身份去执行，该用户必须已存在。

除了指定用户之外，还可以使用 WORKDIR 指定当前工作目录（CWD）， RUN ， CMD ， COPY ， ADD 指令将在指定的工作目录中执行。

RUN 指令用于执行命令，该指令有两种形式：

例如我们执行更新命令：

CMD 的使用方式跟 RUN 类似，不过在一个 Dockerfile 文件中只能有一个 CMD 指令，如果有多个，则只有最后一个会生效。该指令指定了启动容器时要执行的命令，例如：

可以在 docker run 时指定命令来覆盖默认的 CMD 命令，比如 docker run image echo"hello shiyanlou" 。

CMD 指令还有一种特殊用法。在 Dockerfile 中，如果使用 ENTRYPOINT 指令指定了入口命令，则 CMD 指令的内容会作为 ENTRYPOINT 指令的参数：

ENTRYPOINT 指令会覆盖 CMD 指令作为容器运行时的默认指令，并且该指令不会被 docker run 时指定的指令覆盖，如下示例：

上述文件构建出来的镜像，使用 docker run image 等同于 docker run image ls-a-l 。使用 docker run image-i-s 等同于 docker run image ls-a-i-s 。即 CMD 指令的值会被当作 ENTRYPOINT 指令的参数附加到 ENTRYPOINT 指令的后面，只有 CMD 指令可以被覆盖。

COPY 和 ADD 都用于将构建上下文中的文件，目录等复制到镜像中。使用方式如下：

`` 可以指定多个，但是其路径不能超出构建上下文范围，即必须在 Dockerfile 同级或子目录中。

不需要预先存在，不存在时会自动创建，如果使用相对路径，则 为相对于工作目录的路径。

COPY 和 ADD 的不同之处在于，ADD 可以添加远程文件，并且 `` 可以是 gzip 或 tar 等格式的压缩文件，添加时会自动进行解压。

ENV 指令用于设置环境变量：

VOLUME 指令指定要创建的挂载路径，在容器运行时，将为每个挂载路径创建一个匿名卷并挂载上去：

上述指令将会在容器运行时，创建两个匿名卷，并分别挂载到容器中的 /data1 和 /data2 路径。

学习了上面这些常见的 Dockerfile 指令之后，可以使用这些指令来构建一个镜像。如下所示，构建一个提供 ssh 服务的镜像:

构建镜像

查看镜像

启动容器

查看已经启动的容器

测试远程登录

Compose 是运行由多个容器组成的 Docker 应用的工具，使用 Compose 可以一次启动一组有关联的服务，每个服务由来自同一镜像的单个或多个容器组成。

在复杂应用中，应用一般由多个服务（service）组成，例如一个网站后台通常包含 Web 服务、数据库服务、缓存服务、消息队列服务等。

使用 Compose 的步骤如下：

目前有三种版本的 Compose 文件格式：

下载 docker-compose-Linux-x86_64

下载成功后，为了方便使用，可以将其添加到 PATH 路径下

执行完成后，就能够在终端下直接使用 docker-compose 命令了：

接下来我们将创建一个 Web 应用，该应用包含两个容器：

项目目录结构如下：

首先编辑 app/web/web.py 文件，写入下面的内容：

上述代码创建了一个简单的 Web 应用。该应用会连接 redis 服务，在访问 / 页面时，自动将变量 number 加 1。

编辑 app/web/requirements.txt 文件，输入如下内容：

requirements.txt 文件存放了 Web 应用依赖的第三方库包的名称和版本信息。

编辑 app/web/Dockerfile 文件，添加如下内容

上述 Dockerfile 定义了 Web 应用镜像，该镜像基于 python:2.7 基础镜像，在其基础上安装了应用依赖的库包，并通过 CMD 指令指定了应用的启动命令。

编辑 app/docker-compose.yml 文件：

该 docker-compose.yml 文件定义了两个服务，分别为 web 和 redis 服务，并且配置了 web 服务的端口映射和挂载目录。 depends_on 定义了依赖关系，被依赖的服会先启动。

进入 app 目录，执行 docker-compose up 命令来启动应用：

启动成功后，就可以打开网址 127.0.0.1:8001 来访问 Web 应用了。

另外一些命令：

详解Docker——你需要知道的Docker进阶知识三

参考技术A

我们可以将数据保存在容器中，但是这样存在一些缺点：

针对上述的缺点，有些数据，例如数据库文件，我们不应该将其保存在镜像或者容器的可写层中。Docker 提供三种不同的方式将数据从 Docker 主机挂载到容器中，分别为卷（ volumes ），绑定挂载（ bind mounts ），临时文件系统（ tmpfs ）。很多时候， volumes 总是正确的选择。

无论使用上述的哪一种方式，数据在容器内看上去都是一样的。它被认为是容器文件系统的目录或文件。

对于三种不同的存储数据的方式来说，卷是唯一完全由 Docker 管理的。它更容易备份或迁移，并且我们可以使用 DockerCLI 命令来管理卷。

列出本地可用的卷列表：

这种由系统随机生成名称的卷称为 匿名卷 ，匿名卷名称不具备可读性，使用起来不太方便，所以创建卷时一般会指定其 name 。例如我们创建一个名为 volume1 的卷。

创建好卷之后，我们可以用卷来启动一个容器，这里首先需要学习 docker container run 命令的两个参数：

对于前面创建的卷 volume1 ，可使用如下命令来在容器中使用：

使用 --mount 的命令如下：

上述操作，我们运行了两个容器，并分别挂载了一个卷。对于这两个容器来说，由于挂载的是同一个卷，所以它们将共享该数据卷。多个容器共享数据卷时，需要注意并发读写问题。可以分别连接到两个容器中，操作数据来验证数据是同步的。

绑定挂载（ bind-mounts ）通过将主机上的目录挂载到容器中，使得容器可以操作和修改主机上的文件。

例如，我们将 /home/hellodocker 目录挂载到容器中的 /home/hellodocker 目录下，使用的命令如下：

而如果使用 --mount ，相应的语句如下：

上述两个操作针对的是目录，而对于挂载文件来说，可能会出现一些特殊情况，涉及到绑定挂载和使用卷的区别。下面我们重现这一操作：

首先在当前目录，即 /home/hellodocker 目录下，创建一个 test.txt 文件。并向其中写入文本内容 "test1"：

接着创建一个容器 hellodocker6 ，将 test.txt 文件挂载到容器中的 /test.txt 路径，并查看容器中 /test.txt 文件的内容：

这时新打开一个终端，通过 echo 命令向 /home/hellodocker/test.txt 文件追加内容 "test2"，并在容器中查看 /test.txt 文件的内容:

这时无论是在容器中还是主机上都能查看到该文件的最新内容。接下来在主机上查看 test.txt 的 inode 号，并使用 vim 编辑该文件，添加 "test3"，并查看该文件的内容：

在主机上使用 vim 编辑后，通过 vim 做出的修改并不能在容器中查看到

这是因为 vim 编辑文件的时候，会将文件内容暂存到一个临时文件中，退出保存后会删除原来的文件，并将临时文件重命名为原文件。但是我们标识文件是通过 inode ，因此 Docker 绑定的依然是旧的主机文件，所以容器中看到的依然是旧的内容。

对于数据卷来说，由 docker 完全管理，而绑定挂载需要我们自己去维护。我们需要自己手动去处理这些问题，这些问题并不仅仅是上面演示的这些，还有用户权限， SELINUX 等。

tmpfs 只存储在主机的内存中。当容器停止时，相应的数据就会被移除。