Docker映像可以看作是Docker容器的压缩包，包含了应用程序以及运行应用程序所需的依赖，容器是映像的运行时实例。

一般构建镜像都是使用dockerfile进行构建而不是docker commit，虽然commit也会创建新层，但这是一种手工创建镜像的方式，容易出错，效率低，使用者并不知道镜像是如何创建出来的，无法对镜像进行审计，存在安全隐患。

我们将解释什么是Dockerfile，如何创建Dockerfile，以及如何使用Dockerfile构建Docker映像。

What is Dockerfile

Dockerfile 是一个用来构建镜像的文本文件，文本内容包含了一条条构建镜像所需的指令和说明。

下面列出了一些最常用的Dockerfile指令的简短说明，指令不区分大小写，但约定名称使用大写。

ENV

- 设置环境变量，定义了环境变量，后续的指令中，就可以使用这个环境变量。

ARG

- 与 ENV 作用一致。不过作用域不一样。ARG 设置的环境变量仅对 Dockerfile 内有效，也就是说只有 docker build 的过程中有效，构建好的镜像内不存在此环境变量。

FROM

- 用于构建新镜像的基础镜像。此指令必须是Dockerfile中的第一条非注释指令。此规则的唯一例外是当您希望在from参数中使用变量时。在这种情况下，FROM前面可以有一条或多条ARG指令。

LABEL

- 用于向镜像添加元数据，如描述、版本、作者等。可以指定多个标签，每个标签指令都是一个键值对。

ADD

- 用于将文件和目录从指定源复制到docker镜像上的指定目标。源可以是本地文件、目录或URL。如果源文件是本地tar归档文件，那么它将自动解压缩到Docker映像中。

COPY

- 与ADD类似，但源只能是本地文件或目录。

RUN

- 此指令中指定的命令将在build过程中执行。每个运行指令在当前镜像的顶部创建一个新层。

CMD

- 用于指定在运行容器时将执行的命令。在Dockerfile中只能使用一条CMD指令。

类似于 RUN 指令，用于运行程序，但二者运行的时间点不同:

• CMD 在docker run 时运行。
• RUN 是在 docker build。

注意：如果 Dockerfile 中如果存在多个 CMD 指令，仅最后一个生效，CMD 指令可被 docker run 命令行参数中指定的指令所覆盖。

ENTRYPOINT

- 与CMD类似，此指令定义运行容器时将执行的命令。

但其不会被 docker run 的命令行参数指定的指令所覆盖，而且这些命令行参数会被当作参数送给 ENTRYPOINT 指令指定的程序。

注意：如果 Dockerfile 中如果存在多个 ENTRYPOINT 指令，仅最后一个生效。

可以搭配 CMD 命令使用：一般是变参才会使用 CMD ，这里的 CMD 等于是在给 ENTRYPOINT 传参，示例：

FROM nginx

ENTRYPOINT ["nginx", "-c"] # 定参
CMD ["/etc/nginx/nginx.conf"] # 变参 

WORKDIR

- 此指令为RUN、CMD、ENTRYPOINT、COPY和ADD指令设置当前工作目录。

USER

- 设置在运行CMD、ENTRYPOINT、COPY和ADD指令时要使用的用户名或组。

VOLUME

- 将主机目录装载到容器。

EXPOSE

- 用于指定容器在运行时侦听的端口。

要排除添加到映像中的文件和目录，请在上下文目录中创建一个.dockerignore文件。.dockerignore的语法类似于Git的.gitignore文件。

Create a Dockerfile

创建Docker镜像通常是从Docker Hub拉取现有镜像，最常用的基本镜像是Alpine，因为它很小，并且经过优化，可以在RAM中运行。

在这个例子中，我们将创建一个Redis Docker映像。我们使用ubuntu 18.04作为基本镜像。

首先，创建一个目录用于存放Dockerfile和程序所用到的文件:

mkdir ~/redis_docker

进入该目录创建Dockerfile,内容如下：

FROM ubuntu:18.04

RUN apt-get update && \
    apt-get install -y redis-server && \
    apt-get clean

EXPOSE 6379

CMD ["redis-server", "--protected-mode no"]

• 第1行定义了以ubuntu:18.04为基本镜像。
• 从第3行开始的RUN指令将更新apt索引，安装“redis server”包并清理apt缓存。说明中使用的命令与在Ubuntu上安装redis时使用的命令相同。
• EXPOSE指令定义redis服务器侦听的端口。
• 在最后一行中，我们使用CMD指令设置容器运行时将执行的默认命令。

Building the Image

下一步是构建镜像。要执行此操作，请从Dockerfile所在的目录运行以下命令：

docker build -t linuxize/redis .

选项-t指定镜像名称一般以“username/imagename:tag”格式的用户名和标记（可选）。

构建过程的输出将如下所示：

Sending build context to Docker daemon  3.584kB
Step 1/4 : FROM ubuntu:18.04
 ---> 7698f282e524
Step 2/4 : RUN apt-get update &&     apt-get install -y gosu redis-server &&     apt-get clean
 ---> Running in e80d4dd69263
...
Removing intermediate container e80d4dd69263
 ---> e19fb7653fca
Step 3/4 : EXPOSE 6379
 ---> Running in 8b2a45f457cc
Removing intermediate container 8b2a45f457cc
 ---> 13b92565c201
Step 4/4 : CMD ["redis-server", "--protected-mode no"]
 ---> Running in a67ec50c7048
Removing intermediate container a67ec50c7048
 ---> d8acc14d9b6b
Successfully built d8acc14d9b6b
Successfully tagged linuxize/redis:latest

构建完成后，可使用docker image ls查看镜像列表。

docker image ls

REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
linuxize/redis      latest              d8acc14d9b6b        4 minutes ago       100MB
ubuntu              18.04               7698f282e524        5 days ago          69.9MB

Running a Container

现在镜像已创建，可以通过以下命令运行容器：

docker run-d-p 6379:6379 --name redis linuxize/redis

-d选项告诉Docker以后台模式运行容器，-p 6379:6379选项将容器6379端口映射到主机的6379端口，--name redis选项指定容器名称。最后一个参数linuxize/redis是用于运行容器的镜像名称。

容器启动时，使用以下命令列出所有正在运行的容器：

docker container ls

CONTAINER ID        IMAGE                   COMMAND                  CREATED             STATUS              PORTS                    NAMES
6b7d424cd915        linuxize/redis:v0.0.1   "redis-server '--pro…"   5 minutes ago       Up 5 minutes        0.0.0.0:6379->6379/tcp   redis

结论

本教程仅介绍使用DockerFile构建镜像的基础知识。要了解有关如何编写DockerFile和最佳实践的更多信息，请参阅DockerFile的最佳实践。Best practices for writing Dockerfiles | Docker Documentation。