Dockerfile 是一个用来构建镜像的文本文件，文本内容包含了一条条构建镜像所需的指令和说明。

简介

Docker can build images automatically by reading the instructions from a Dockerfile. A Dockerfile is a text document that contains all the commands a user could call on the command line to assemble an image. —— docker docs

Dockerfile 是一个文本文档，其中包含用户可以在命令行上调用的用于构建 docker 镜像的所有命令。

工作环境

1. Dockerfile 中所用的所有文件一定要和Dockerfile文件在同一级父目录下，可以为Dockerfile父目录的子目录
2. Dockerfile 中相对路径默认都是 Dockerfile 所在的目录
3. Dockerfile 的指令每执行一次都会在 docker 上新建一层。所以过多无意义的层，会造成镜像膨胀过大。因此编辑 Dockerfile 时一定要惜字如金，能写到一行的指令一定要写到一行。
4. Dockerfile 中每一条指令被视为一层
5. Dockerfile 中指令大写（没有强制规定，是约定俗成的规矩）

定制镜像

给出一个 QuickStart 介绍制作 docker 镜像的基本流程

背景环境

首先我们需要安装好 docker

之后以 nginx 镜像为基础，用 Dockerfile 构建我们自己的镜像，首先需要把 nginx 镜像拉下来

1

docker pull nginx

编写 Dockerfile 文件

新建一个文件夹（重要）：

1

mkdir dockerfile

docker 在构建镜像时默认把 Dockerfile 文件周围的所有文件打包进镜像，因此 DockerFile 周围越干净越好

创建 Dockerfile 文件

1

vim Dockerfile 

标准的文件名是 Dockerfile ，小写也是可以的 dockerfile

以 nginx 为基础构建 docker 镜像，需要指明 nginx，这里用到 FROM 指令：

1

FROM nginx

对 nginx 镜像做出修改，这里用到 RUN 指令：

1

RUN echo 'Hello World!' > /usr/share/nginx/html/index.html

这样简单的基于 nginx 的本地镜像 Dockerfile 就完成了

1
2

FROM nginx
RUN echo 'Hello World!' > /usr/share/nginx/html/index.html

构建镜像

创建 Dockerfile 后 在 Dockerfile 文件的存放目录下，执行构建动作。

1

docker build -t nginx:vvd1 .

通过目录下的 Dockerfile 构建一个 nginx:vvd1（镜像名称:镜像标签）镜像。

1
2
3
4
5
6
7
8
9
10
11

docker build -t nginx:vvd1 .
Sending build context to Docker daemon  2.048kB
Step 1/2 : FROM nginx
 ---> 904b8cb13b93
Step 2/2 : RUN echo 'Hello World!' > /usr/share/nginx/html/index.html
 ---> Running in 8f6a35b57044
Removing intermediate container 8f6a35b57044
 ---> 216f642df69c
Successfully built 216f642df69c
Successfully tagged nginx:vvd1

构建成功后 docker images 命令可以看到新建的镜像

1
2
3

docker images
REPOSITORY     TAG       IMAGE ID      CREATED              SIZE
nginx          vvd1      216f642df69c   2 minutes ago       142MB

通过这个镜像创建容器

1

docker run -it --name nginx-test nginx:vvd1 bash

进入容器后，进到 /usr/share/nginx/html 查看 index.html 文件内容：

1
2

cat index.html
Hello World!

可以看到我们成功将 Hello World! 写入了镜像，表示 Dockerfile 构建镜像整体流程已经打通。

上下文路径

虽然我们已经成功构建了新镜像，但过程中使用的构建命令 docker build -t nginx:vvd1 . 其中的 . 是上下文路径，是指 docker 在构建镜像，有时候想要使用到本机的文件（比如复制），docker build 命令得知这个路径后，会将路径下的所有内容打包。

由于 docker 的运行模式是 C/S。我们本机是 C，docker 引擎是 S。实际的构建过程是在 docker 引擎下完成的，所以这个时候无法用到我们本机的文件。这就需要把我们本机的指定目录下的文件一起打包提供给 docker 引擎使用。

如果未说明最后一个参数，那么默认上下文路径就是 Dockerfile 所在的位置。

注意：上下文路径下不要放无用的文件，因为会一起打包发送给 docker 引擎，如果文件过多会造成过程缓慢。

指令详解

FROM

功能为指定基础镜像，并且必须是第一条指令。

如果不以任何镜像为基础，那么写法为：FROM scratch。

同时意味着接下来所写的指令将作为镜像的第一层开始

语法：

1
2
3
4

FROM <image>
FROM <image>:<tag>
FROM <image>:<digest> 
三种写法，其中<tag>和<digest> 是可选项，如果没有选择，那么默认值为latest

RUN

功能为运行指定的命令
RUN命令有两种格式

1
2

1. RUN <command>
2. RUN ["executable", "param1", "param2"]

第一种后边直接跟shell命令

• 在linux操作系统上默认 /bin/sh -c
• 在windows操作系统上默认 cmd /S /C

第二种是类似于函数调用。

• 可将 executable 理解成为可执行文件，后面就是两个参数。

COPY

复制指令，从上下文目录中复制文件或者目录到容器里指定路径。

格式：

1
2

COPY [--chown=<user>:<group>] <源路径1>...  <目标路径>
COPY [--chown=<user>:<group>] ["<源路径1>",...  "<目标路径>"]

[–chown=:]：可选参数，用户改变复制到容器内文件的拥有者和属组。

<源路径>：源文件或者源目录，这里可以是通配符表达式，其通配符规则要满足 Go 的 filepath.Match 规则。例如：

1
2

COPY hom* /mydir/
COPY hom?.txt /mydir/

<目标路径>：容器内的指定路径，该路径不用事先建好，路径不存在的话，会自动创建。

ADD

ADD 指令和 COPY 的使用格类似（同样需求下，官方推荐使用 COPY）。功能也类似，不同之处如下：

• ADD 的优点：在执行 <源文件> 为 tar 压缩文件的话，压缩格式为 gzip, bzip2 以及 xz 的情况下，会自动复制并解压到 <目标路径>。
• ADD 的缺点：在不解压的前提下，无法复制 tar 压缩文件。会令镜像构建缓存失效，从而可能会令镜像构建变得比较缓慢。具体是否使用，可以根据是否需要自动解压来决定。

CMD

类似于 RUN 指令，用于运行程序，但二者运行的时间点不同:

• CMD 在docker run 时运行。
• RUN 是在 docker build。

作用：为启动的容器指定默认要运行的程序，程序运行结束，容器也就结束。CMD 指令指定的程序可被 docker run 命令行参数中指定要运行的程序所覆盖。

注意：如果 Dockerfile 中如果存在多个 CMD 指令，仅最后一个生效。

格式：

1
2
3

CMD <shell 命令> 
CMD ["<可执行文件或命令>","<param1>","<param2>",...] 
CMD ["<param1>","<param2>",...]  # 该写法是为 ENTRYPOINT 指令指定的程序提供默认参数

推荐使用第二种格式，执行过程比较明确。第一种格式实际上在运行的过程中也会自动转换成第二种格式运行，并且默认可执行文件是 sh。

补充细节：这里边包括参数的一定要用双引号，就是",不能是单引号。千万不能写成单引号。

原因是参数传递后，docker 解析的是一个JSON array

RUN&&CMD

不要把RUN和CMD搞混了。

RUN是构建容器时就运行的命令以及提交运行结果 CMD是容器启动时执行的命令，在构建时并不运行，构建时仅仅指定了这个命令到底是个什么样子

ENTRYPOINT

类似于 CMD 指令，但其不会被 docker run 的命令行参数指定的指令所覆盖，而且这些命令行参数会被当作参数送给 ENTRYPOINT 指令指定的程序。

但是, 如果运行 docker run 时使用了 --entrypoint 选项，将覆盖 ENTRYPOINT 指令指定的程序。

优点：在执行 docker run 的时候可以指定 ENTRYPOINT 运行所需的参数。

注意：如果 Dockerfile 中如果存在多个 ENTRYPOINT 指令，仅最后一个生效。

格式：

1

ENTRYPOINT ["<executeable>","<param1>","<param2>",...]

可以搭配 CMD 命令使用：一般是变参才会使用 CMD ，这里的 CMD 等于是在给 ENTRYPOINT 传参，以下示例会提到。

示例：

假设已通过 Dockerfile 构建了 nginx:test 镜像：

1
2
3
4

FROM nginx
ENTRYPOINT ["nginx", "-c"] # 定参
CMD ["/etc/nginx/nginx.conf"] # 变参 

1、不传参运行

1

$ docker run  nginx:test

容器内会默认运行以下命令，启动主进程。

1

nginx -c /etc/nginx/nginx.conf

2、传参运行

1

$ docker run  nginx:test -c /etc/nginx/new.conf

容器内会默认运行以下命令，启动主进程(/etc/nginx/new.conf:假设容器内已有此文件)

1

nginx -c /etc/nginx/new.conf

如果现有 docker image 已经配置了 ENTRYPOINT，可以用新的 ENTRYPOINT 覆盖 ，清除 ENTRYPOINT ：

1

ENTRYPOINT []

ENV

设置环境变量，定义了环境变量，那么在后续的指令中，就可以使用这个环境变量。

格式：

1
2

ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...

以下示例设置 NODE_VERSION = 7.2.0 ， 在后续的指令中可以通过 $NODE_VERSION 引用：

1
2
3
4

ENV NODE_VERSION 7.2.0
RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
  && curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc"

ARG

构建参数，与 ENV 作用一致。不过作用域不一样。ARG 设置的环境变量仅对 Dockerfile 内有效，也就是说只有 docker build 的过程中有效，构建好的镜像内不存在此环境变量。

构建命令 docker build 中可以用 --build-arg <参数名>=<值> 来覆盖。

格式：

1

ARG <参数名>[=<默认值>]

VOLUME

定义匿名数据卷。在启动容器时忘记挂载数据卷，会自动挂载到匿名卷。

作用：

• 避免重要的数据，因容器重启而丢失，这是非常致命的。
• 避免容器不断变大。

格式：

1
2

VOLUME ["<路径1>", "<路径2>"...]
VOLUME <路径>

在启动容器 docker run 的时候，我们可以通过 -v 参数修改挂载点。

EXPOSE

仅仅只是声明端口。

作用：

• 帮助镜像使用者理解这个镜像服务的守护端口，以方便配置映射。
• 在运行时使用随机端口映射时，也就是 docker run -P 时，会自动随机映射 EXPOSE 的端口。

格式：

1

EXPOSE <端口1> [<端口2>...]

WORKDIR

指定工作目录。用 WORKDIR 指定的工作目录，会在构建镜像的每一层中都存在。以后各层的当前目录就被改为指定的目录，如该目录不存在，WORKDIR 会帮你建立目录。

docker build 构建镜像过程中的，每一个 RUN 命令都是新建的一层。只有通过 WORKDIR 创建的目录才会一直存在。

格式：

1

WORKDIR <工作目录路径>

USER

用于指定执行后续命令的用户和用户组，这边只是切换后续命令执行的用户（用户和用户组必须提前已经存在）。

格式：

1

USER <用户名>[:<用户组>]

HEALTHCHECK

用于指定某个程序或者指令来监控 docker 容器服务的运行状态。

格式：

1
2
3
4

HEALTHCHECK [选项] CMD <命令>：设置检查容器健康状况的命令
HEALTHCHECK NONE：如果基础镜像有健康检查指令，使用这行可以屏蔽掉其健康检查指令
HEALTHCHECK [选项] CMD <命令> : 这边 CMD 后面跟随的命令使用，可以参考 CMD 的用法。

ONBUILD

用于延迟构建命令的执行。简单的说，就是 Dockerfile 里用 ONBUILD 指定的命令，在本次构建镜像的过程中不会执行（假设镜像为 test-build）。当有新的 Dockerfile 使用了之前构建的镜像 FROM test-build ，这时执行新镜像的 Dockerfile 构建时候，会执行 test-build 的 Dockerfile 里的 ONBUILD 指定的命令。

格式：

1

ONBUILD <其它指令>

LABEL

LABEL 指令用来给镜像添加一些元数据（metadata），以键值对的形式，语法格式如下：

1

LABEL <key>=<value> <key>=<value> <key>=<value> ...

比如我们可以添加镜像的作者：

1

LABEL org.opencontainers.image.authors="runoob"

Docker build

docker build 命令用于从 Dockerfile 构建 Docker 镜像。

docker build 命令通过读取 Dockerfile 中定义的指令，逐步构建镜像，并将最终结果保存到本地镜像库中。

语法

1

docker build [OPTIONS] PATH | URL | -

• PATH: 包含 Dockerfile 的目录路径或 .（当前目录）。
• URL: 指向包含 Dockerfile 的远程存储库地址（如 Git 仓库）。
• -: 从标准输入读取 Dockerfile。

常用选项：

• -t, --tag: 为构建的镜像指定名称和标签。
• -f, --file: 指定 Dockerfile 的路径（默认是 PATH 下的 Dockerfile）。
• --build-arg: 设置构建参数。
• --no-cache: 不使用缓存层构建镜像。
• --rm: 构建成功后删除中间容器（默认开启）。
• --force-rm: 无论构建成功与否，一律删除中间容器。
• --pull: 始终尝试从注册表拉取最新的基础镜像。

更多选项说明：

• --build-arg=[]: 设置构建镜像时的变量。
• --cpu-shares: 设置 CPU 使用权重。
• --cpu-period: 限制 CPU CFS 周期。
• --cpu-quota: 限制 CPU CFS 配额。
• --cpuset-cpus: 指定可使用的 CPU ID。
• --cpuset-mems: 指定可使用的内存节点 ID。
• --disable-content-trust: 忽略内容信任验证（默认启用）。
• -f: 指定 Dockerfile 的路径。
• --force-rm: 强制在构建过程中删除中间容器。
• --isolation: 使用指定的容器隔离技术。
• --label=[]: 设置镜像的元数据。
• -m: 设置内存的最大值。
• --memory-swap: 设置交换空间的最大值（内存 + 交换空间），-1 表示不限制交换空间。
• --no-cache: 构建镜像时不使用缓存。
• --pull: 尝试拉取基础镜像的最新版本。
• --quiet, -q: 安静模式，构建成功后只输出镜像 ID。
• --rm: 构建成功后删除中间容器（默认启用）。
• --shm-size: 设置 /dev/shm 的大小，默认值为 64M。
• --ulimit: 设置 Ulimit 配置。
• --squash: 将 Dockerfile 中所有步骤压缩为一层。
• --tag, -t: 为镜像指定名称和标签，格式为 name:tag 或 name；可以在一次构建中为一个镜像设置多个标签。
• --network: 在构建期间设置 RUN 指令的网络模式，默认值为 default。

1、构建镜像

1

docker build -t myimage:latest .

这会从当前目录读取 Dockerfile 并构建一个名为 myimage:latest 的镜像。

2、指定 Dockerfile 路径

1

docker build -f /path/to/Dockerfile -t myimage:latest .

这会从 /path/to/ 目录读取 Dockerfile 并构建一个名为 myimage:latest 的镜像。

3、设置构建参数

1

docker build --build-arg HTTP_PROXY=http://proxy.example.com -t myimage:latest .

这会在构建过程中使用 HTTP_PROXY 环境变量。

4、不使用缓存层构建镜像

1

docker build --no-cache -t myimage:latest .

这会在构建镜像时忽略所有缓存层，确保每一步都重新执行。

实例 - 使用 Dockerfile 构建镜像

1、创建 Dockerfile，内容如下：

1
2
3
4
5
6

# Dockerfile 示例
FROM ubuntu:20.04
LABEL maintainer="yourname@example.com"
RUN apt-get update && apt-get install -y nginx
COPY index.html /var/www/html/index.html
CMD ["nginx", "-g", "daemon off;"]

2、构建镜像

1

docker build -t mynginx:latest .

输出示例：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

Sending build context to Docker daemon  3.072kB
Step 1/5 : FROM ubuntu:20.04
20.04: Pulling from library/ubuntu
...
Step 2/5 : LABEL maintainer="yourname@example.com"
...
Step 3/5 : RUN apt-get update && apt-get install -y nginx
...
Step 4/5 : COPY index.html /var/www/html/index.html
...
Step 5/5 : CMD ["nginx", "-g", "daemon off;"]
...
Successfully built 123456789abc
Successfully tagged mynginx:latest

3、验证镜像

1

docker images

输出示例：

注意事项

1
2

REPOSITORY   TAG       IMAGE ID       CREATED          SIZE
mynginx      latest    123456789abc   10 minutes ago   200MB

• 确保 Dockerfile 语法正确，并按照顺序执行每一步。
• 使用 .dockerignore 文件排除不需要的文件和目录，以减少构建上下文的大小。
• 在生产环境中，尽量使用精简的基础镜像以减小镜像体积和提高安全性。
• 避免在 Dockerfile 中暴露敏感信息（如密码、密钥）。

参考资料

• https://docs.docker.com/engine/reference/builder/
• https://www.runoob.com/docker/docker-Dockerfile.html
• https://blog.csdn.net/AtlanSI/article/details/87892016
• https://www.runoob.com/docker/docker-build-command.html

文章链接：
https://www.zywvvd.com/notes/tools/docker/dockerfile/dockerfile/