Dockerfile构建镜像

构建镜像

构建镜像指令：docker  build或docker  image  build

 

Dockerfile初识：

cat >>Dockerfile<<end

FROM  python:2.7-slim

WORKDIR  /app

ADD  .  /app

RUN  pip  install  -r  requirements.txt

EXPOSE  80

ENV  NAME  World

CMD  ["python", "app.py"]

end

 

yum install python2-pip

配置pip国内源

mkdir  -p  /root/.pip

cat >> /root/.pip/pip.conf<<end

[global]
trusted-host=mirrors.aliyun.com
index-url=http://mirrors.aliyun.com/pypi/simple/

end

 

cat >>requirements.txt<<end

Flask

Redis

end

 

cat  >> app.py<<end

from  flask   import  Flask

from  redis   import  Redis, RedisError

import os

import socket

# Connect to Redis

redis = Redis(host="redis", db=0, socket_connect_timeout=2, socket_timeout=2)

 

app = Flask(__name__)

 

@app.route("/")

def hello():

    try:

        visits = redis.incr("counter")

    except RedisError:

        visits = "<i>cannot connect to Redis, counter disabled</i>"

 

    html = "<h3>Hello {name}!</h3>" \

           "<b>Hostname:</b> {hostname}<br/>" \

           "<b>Visits:</b> {visits}"

    return html.format(name=os.getenv("NAME", "world"), hostname=socket.gethostname(), visits=visits)

 

if __name__ == "__main__":

    app.run(host=‘0.0.0.0‘, port=80)

end

 

docker  build  -t friendlyhello   .

上下文的概念：

执行docker build命令时，宿主机上的当前工作目录称为构建上下文。默认情况下，假定Dockerfile位于本地当前目录，但可以使用-f指定其他位置。无论Dockerfile实际存在的位置如何，当前目录中的所有文件和目录的递归内容都将作为构建上下文发送到Docker守护程序（构建由Dockerd守护程序运行）

 

Dockerfile详解

格式：

# Comment

INSTRUCTION  arguments

注意事项：

1）、如果一行太长，使用反斜线 \ 续行

2）、在行首使用#符号，表示注释（注释中不支持 \续行）

3）、INSTRUCTION不区分大小写。惯例是让它们成为大写的，以便更容易地将它们与参数区分开来

共18个指令

1、FROM                          #必要指令，通常是第一条(引用变量及多阶段构建例外)，可有多条（多阶段构建）

FROM  <image>  [AS <name>]              #AS <name>为该阶段命名

或

FROM  <image>[:<tag>]  [AS <name>]

或

FROM  <image>[@<digest>]  [AS <name>]

 

scratch镜像：

FROM  scratch

ADD  hello  /

CMD  ["/hello"]

 

说明：

1、可通过添加AS name来为该构建阶段命名。该名称可用于后续FROM和COPY --from=<name|index>指令，以引用此阶段构建的镜像。

2、tag或digest值是可选的。如果省略其中任何一个，则构建器默认采用latest标记

3、FROM指令支持变量，变量在第一个FROM指令之前使用ARG声明(ARG指令是唯一一个能用在FROM之前的指令，声明仅在构建镜像过程中存在的变量)
ARG  CODE_VERSION=latest
FROM  base:${CODE_VERSION}
CMD  /code/run-app

 

2、MAINTAINER  镜像维护者信息

MAINTAINER  username@domain.com

说明：指定该镜像维护者信息，推荐使用LABEL替代该指令指定镜像维护者信息

docker  inspect  <Container ID>   | grep -A 6  Labels

 

3、RUN 执行命令

用来执行命令，有2种格式

格式一：

shell格式：  RUN  <命令>

            如：RUN  echo  ‘<h1>Hello, Docker!</h1>‘   >  /usr/share/nginx/html/index.html

说明：

1、这种格式在shell中运行，会转换为/bin/sh  -c  <命令>执行

2、可以使用SHELL命令更改默认的shell，或使用exec形式

3、要使用除“/bin/sh”之外的其他shell，请使用exec形式。例如，RUN ["/bin/bash", "-c", "echo hello"]

4、命令中支持变量扩展

示例：

RUN  /bin/bash -c  source  $HOME/.bashrc; \

echo  $HOME‘

 

格式二：

exec格式：      RUN  ["executable", "param1", "param2"]

说明：

1、  这种格式不会被转换

2、  不支持变量扩展

3、  exec形式被解析为JSON数组，因此必须使用双引号（"）来包括单词而不能使用单引号（‘）

4、  在JSON形式中，必须转义反斜杠\（windows中作为路径分隔符经常遇到）

 

注意：

1、可使用反斜杠\（即续行符）分隔的多行上拆分长或复杂语句，使Dockerfile更具可读性，可理解性和可维护性

示例：

    RUN  yum update && yum install -y \

      package-bar \

      package-baz \

      package-foo=1.3.*

2、使用管道

某些RUN命令依赖于使用管道符（|）将一个命令的输出传递到另一个命令的能力，如下例所示：

RUN  wget -O - https://some.site  |  wc -l  > /number

Docker使用/bin/sh -c解释器执行这些命令，解释器仅评估管道中最后一个操作的退出代码以确定成功。

在上面的示例中，只要wc -l命令成功，即使wget命令失败，此构建步骤也会成功并生成新镜像。

如果希望命令因管道中任何阶段的错误而失败，预先使用set -o pipefail设置bash环境变量，确定意外错误可防止构建无意中成功。

例如：

RUN  set -o pipefail && wget -O - https://some.site | wc -l > /number

注：并非所有shell都支持该-o pipefail选项

 

4、CMD为执行容器提供默认值             #只能有一条，如果列出多个仅最后一条生效

有三种形式：

• CMD  ["executable","param1","param2"]（exec形式，首选）
• CMD  command  param1  param2（shell形式）
• CMD  ["param1","param2"]（必须配合ENTRYPOINT使用，作为其默认参数，单独使用无效果）

说明：

1）exec形式不支持变量扩展，shell形式支持

2）exec形式被解析为JSON数组，因此必须使用双引号（"）来包括单词而不能使用单引号（‘）

3）在JSON形式中，必须转义反斜杠\（windows中经常遇到）

注意：不要混淆RUN和CMD。RUN实际上运行一条命令并提交结果，CMD在构建过程中不执行任何操作，而是作为镜像的默认指令（即使用该镜像启动容器时默认执行的指令）

 

5、LABEL          添加元数据到镜像

LABEL  <key>=<value>  <key>=<value>  <key>=<value> ...

LABEL是键值对，要在LABEL值中包含空格，请使用(双)引号或反斜杠转义，就像在命令行解析中一样

示例：

LABEL  "com.example.vendor"="ACME Incorporated"

LABEL  com.example.label-with-value="foo"

LABEL  version="1.0"

LABEL  description="This text illustrates \                             #续行符

that label-values can span multiple lines."

镜像可以有多个标签，可以在一行中指定多个标签：

两种示例：

LABEL  multi.label1="value1"  multi.label2="value2"  other="value3"

LABEL  multi.label1="value1" \

      multi.label2="value2" \

      other="value3"

 

6、EXPOSE  容器运行时侦听其服务端口

EXPOSE  <port1>  [<port2>/<protocol>...]                                        #多个端口之间使用空格间隔

EXPOSE指令通知Docker容器在运行时侦听指定的网络端口。

可以指定端口是侦听TCP还是UDP，如果未指定协议，则默认为TCP

 

7、ENV  设置环境变量

有两种形式：

形式一：

ENV <key> <value>                           #第二个空格后的所有字符串将被视为<value>，包括空格字符

形式二：

ENV  <key>=<value> ...                   # ENV指令将环境变量<key>的值设置为<value>

该环境变量在构建阶段所有后续指令的环境中生效，且使用ENV设定的环境变量会在镜像中一直存在(使用该镜像启用的容器中也存在该变量)

示例：

ENV  myName="John Doe"  myDog=Rex\ The\ Dog \

    myCat=fluffy

和

ENV myName John Doe

ENV myDog Rex The Dog

ENV myCat fluffy                       #效果相同

 

ENV指令中可使用变量：

ENV  abc=hello

ENV  abc=bye  def=$abc

ENV  ghi=$abc

示例：

ENV  PG_MAJOR  9.3

ENV  PG_VERSION  9.3.4

RUN  curl -SL http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress &&…

ENV  PATH  /usr/local/postgres-$PG_MAJOR/bin:$PATH

 

注意：

1、可以使用docker inspect查看变量值，使用docker run --env <key>=<value>在构建容器时更改变量的值。

2、Dockerfile中能够扩展变量的指令：

FROM/ADD/COPY/ENV/EXPOSE/LABEL/STOPSIGNAL/USER/VOLUME/WORKDIR/ONBUILD

 

8、ARG                                                  #设置构建过程中的环境变量

格式：

ARG  <参数名>[=<默认值>]

ARG指令可以可选地包括一个默认值：

示例：

FROM  busybox

ARG  user1=someuser                       #指定了默认值

ARG  buildno=1                               #指定了默认值

...

说明：

如果ARG指令具有默认值，并且在构建时没有传递值，将使用默认值
如果构建时传递值，将不使用默认值，而是用传递的值

 

注意：

1、效果和ENV一样，都是设置环境变量，不同的是：ARG设置的环境变量，在将来容器运行时，不再存在，仅在构建镜像过程中存在

2、可在构建命令docker build使用--build-arg <参数名>[=<值>]选项覆盖Dockerfile中设定的默认值，参数名必须在Dockerfile中已经使用ARG指令构建，否则会报错或警告

3、一个ARG指令生效范围，在其之后且在其构建阶段内。若在多阶段构建中的每个阶段均使用ARG，每个阶段都必须包含ARG指令。

示例：多阶段构建

FROM  busybox                                      #第一阶段

ARG  SETTINGS

RUN  ./run/setup $SETTINGS

FROM  busybox                                      #第二阶段

ARG  SETTINGS

RUN  ./run/other   $SETTINGS

4、Dockerfile可以包括一个或多个ARG指令。

例如，以下是有效的Dockerfile：

FROM  busybox

ARG  user1

ARG  buildno

...

警告：

不要使用构建时变量来传递密码，如github密钥，用户凭据等，构建过程中变量值对于任何用户都是可见的

 

5、ARG生效范围

ARG变量定义从Dockerfile中定义的行开始生效，直到其所在构建阶段结束(若Dockerfile中有多个构建阶段，仅在自己的构建阶段中生效)

示例：

FROM  busybox

USER  ${user:-some_user}

ARG  user

USER  $user

...

 

通过以下指令构建：

docker  build  --build-arg user=what_user  .

第2行USER使用some_user作为user变量的值。

第4行USER使用what_user作为user变量的值，且what_user在命令行上传递的值。

在通过ARG指令定义之前，对变量的任何使用都会导致空字符串

 

6、使用ARG变量

可以使用ARG或ENV指令指定在RUN指令中可用的变量。ENV指令定义的环境变量始终覆盖ARG定义的同名变量。

示例：

FROM  ubuntu

ARG  CONT_IMG_VER

ENV  CONT_IMG_VER  v1.0.0

RUN  echo  $CONT_IMG_VER

然后，假设使用此命令构建此映像：

$ docker  build  --build-arg  CONT_IMG_VER=v2.0.1  .

在这种情况下，RUN指令使用v1.0.0而不是ARG用户传递的设置：v2.0.1，

 

9、COPY  复制上下文中的文件或目录到容器中

COPY有两种形式：

• COPY [--from=<name|index>] [--chown=<user>:<group>] <src>... <dest>
• COPY [--from=<name|index>] [--chown=<user>:<group>] ["<src>",... "<dest>"]（包含空格的路径使用此形式）

--chown功能仅在用于构建Linux容器

 

注意：

1、源路径一定是相对于build指令中指定的上下文的相对路径
如COPY  package.json   /usr/src/app/

2、目标路径可以是容器内的绝对路径，也可以是相对于工作目录的相对路径（也是容器内的路径，工作目录可以使用WORKDIR指令来指定）

3、目标路径不需要事先创建，如果目录不存在，在复制文件之前会自动创建

4、使用COPY指令时，源文件的各种元数据都会被保留，如读写执行权限，文件的相关时间属性等

5、源路径可以是多个，甚至可以含有通配符，通配符要符合Go的filepath.Match规则：

COPY  hom*        /mydir

COPY  hom?.txt      /mydir

 

6、如果使用--chown选项，最好使用数字形式的GID和UID（如果使用用户名和组名，在容器文件系统中不存在/etc/passwd及/etc/group，将会导致构建失败）

示例：

COPY   --chown=55:mygroup   files*   /somedir/

COPY   --chown=bin   files*   /somedir/                    #不指定组名，使用与用户名同名的组

COPY   --chown=1    files*   /somedir/                     #GID也为1

COPY   --chown=10:11   files*   /somedir/

7、（可选）COPY接受一个标志--from=<name|index>
该选项将用于替代用户发送先前构建阶段的构建上下文

如果先前构建阶段使用FROM .. AS  <name>，则--from可通过name引用

如果先前构建阶段未使用FROM .. AS  <name>，则--from可通过索引值index引用，如果先前构建阶段是第一阶段，index为0，以此类推
如果找不到具有指定名称的构建阶段，则尝试使用具有相同名称的镜像

COPY遵守以下规则：

• <src>路径必须位于build构建时的context上下文中；不能COPY ../something /something，因为第一步docker build是将上下文目录（和子目录）发送到docker守护程序
• 如果<src>是目录，则复制目录中的全部内容，包括文件系统元数据(不复制目录本身，只复制其内容)

• 如果<src>是任何其他类型的文件，则将其与元数据一起单独复制。在这种情况下，如果<dest>以尾部斜杠结尾/，则将其视为目录，<src>并将写入内容<dest>/base(<src>)。
• 如果<src>直接或由于使用通配符指定了多个资源，则<dest>必须是目录，并且必须以斜杠结尾/。
• 如果<dest>不以尾部斜杠结束，则将其视为常规文件，并将<src>的内容写入<dest>文件中。
• 如果<dest>不存在，则会在其路径中创建所有缺少的目录。

 

10、ADD  复制本地文件到上下文中

从<src>中复制文件、目录或远程文件URL，并将它们添加到路径上镜像的文件系统<dest>中

ADD有两种形式：

• ADD  [--chown=<user>:<group>]  <src>...<dest>
• ADD  [--chown=<user>:<group>]  ["<src>",..."<dest>"]（包含空格的路径需要使用这种形式）

ADD指令的所有使用注意事项及遵守规则与COPY相同

与COPY不同的是：

源路径：

1、可以是URL，Docker引擎会尝试下载这个链接文件，放入到<dest>中，下载后文件的权限为600，若是想更改文件的权限，还需要增加一层RUN指令

2、如果下载的是压缩包，还需要增加一层RUN指令进行解压

3、如果<src>是一个上下文中的tar压缩文件（gzip、bzip2、xz），ADD指令会自动解压放入到<dest>中，如果不希望压缩文件解压，则使用COPY（这是ADD指令最大的用处）

4、仅在需要自动解压时，才会选择使用ADD指令，否则复制文件尽可能使用COPY

5、ADD指令会令镜像构建缓存失效，从而可能使镜像构建过程非常缓慢（因此多阶段构建时，尽可能不要使用）

 

11、ENTRYPOINT  入口点                  #只能有一条，若有多条仅最后一条生效

ENTRYPOINT有两种形式：

• ENTRYPOINT ["executable", "param1", "param2"]（exec形式，首选）
• ENTRYPOINT command param1 param2（shell形式，最好在command前使用exec指令，以使该进程作为容器的PID 1进程）

exec形式：

docker run <image>的命令行参数将附加在exec形式的ENTRYPOINT的所有元素之后，作为ENTRYPOINT指令的参数，并将覆盖所有使用CMD指定的元素。

可以使用docker run --entrypoint标志覆盖exec形式的ENTRYPOINT指令

shell形式：

shell形式防止任何被CMD或run使用的命令行参数，缺点是ENTRYPOINT将被作为/bin/sh -c的一个子命令，且不传递信号。这意味着可执行文件将不是容器中PID为1的进程，并且不会收到Unix信号，因此可执行文件将不会收到来自docker  stop  <container>的SIGTERM信号。

 

从命令行工具的镜像示例：

cat >>Dockerfile<<end

FROM  centos

RUN   yum install  curl -y

CMD   ["curl", "-s", "http://ip.cn"]

end

 

docker  build  -t  myip:1.0  .

docker  run  --name myip01  myip:1.0

docker  run  --name myip02  myip:1.0  -i                                                #此时会报错

原因：执行docker run myip -i   镜像名称myip后的手动指定的主进程指令将会替换构建镜像时CMD指定的主进程，这里替换后相当于执行-i指令，但实际上没有该指令，提示executable file not found in $PATH

正确用法：docker  run  myip  curl -s http://ip.cn  -i           #整体替换Dockerfile中的CMD

 

使用ENTRYPOINT解决：

使用如下的dockerfile构建镜像

cat >> Dockerfile<<end

FROM centos

RUN  yum  install  curl  -y

ENTRYPOINT  ["curl", "-s", "http://ip.cn"]

end

 

docker  build  -t  myip2:1.0  .

docker  run  --name myip201  myip2:1.0

docker  run  --name myip202  myip2:1.0  -i

这种方式很有用，因为镜像名称可以兼作二进制文件的引用

 

ENTRYPOINT指令还可以与辅助脚本结合使用，使其能够以与上述命令类似的方式运行，即使启动该工具可能需要多个步骤

例如，Postgres官方镜像使用以下脚本作为其ENTRYPOINT(这样在启动容器时可以传递参数给脚本)：

#!/bin/bash

set -e                     #若指令传回值不等于0，则立即退出shell

if [ "$1" = ‘postgres‘ ]; then

    chown -R postgres "$PGDATA"

    if [ -z "$(ls -A "$PGDATA")" ]; then

        gosu postgres initdb

    fi

    exec gosu postgres "$@"

fi

exec "$@"

 

配置应用为容器中PID为1进程

此脚本使用的exec bash命令，以使最终运行的应用程序成为容器的PID 1，这允许应用程序接收发送到容器的任何Unix信号

帮助程序脚本被复制到容器中并通过ENTRYPOINT容器启动运行：

COPY  ./docker-entrypoint.sh  /

ENTRYPOINT  ["/docker-entrypoint.sh"]

CMD  ["postgres"]

该脚本允许用户以多种方式与Postgres交互。

它可以简单地启动Postgres：

$ docker  run  postgres

或者，它可用于运行Postgres并将参数传递给服务器：

$ docker  run  postgres  postgres  --help              #ENTRYPOINT配合脚本使用的好处

最后，它还可以用来启动一个完全不同的工具，比如Bash：

$ docker  run  --rm  -it  postgres  bash

 

Exec形式的ENTRYPOINT示例

可以使用exec形式ENTRYPOINT设置默认命令和参数，然后使用任一形式CMD设置可更改的其他默认值。

FROM  ubuntu

ENTRYPOINT  ["top", "-b"]

CMD  ["-c"]

构建镜像，启容器

检查结果：

$ docker  exec  -it test  ps aux

 

可以使用docker stop优雅地请求top进程关闭

可再次使用docker start启动

这样通过docker指令传递的信号(传给容器)，实际上就是传递给容器中的PID为1的进程

 

以下Dockerfile显示使用ENTRYPOINT在前台运行Apache（即作为容器的PID 1进程）：

FROM  debian:stable

RUN   apt-get update  &&  apt-get install -y  --force-yes  apache2

EXPOSE  80  443

VOLUME  ["/var/www", "/var/log/apache2", "/etc/apache2"]

ENTRYPOINT  ["/usr/sbin/apache2ctl",  "-D",  "FOREGROUND"]

 

注意：

1、exec形式被解析为JSON数组，这意味着必须使用双引号（"）来引用而不能使用单引号（‘）。

2、与shell形式不同，exec形式不会调用命令shell，因此不能扩展变量。例如，ENTRYPOINT [ "echo", "$HOME" ]不会对变量进行替换$HOME。

3、如果想要shell处理，那么要么使用shell形式，要么直接执行shell，例如：ENTRYPOINT [ "sh", "-c", "echo $HOME" ]

 

Shell形式的ENTRYPOINT示例

可以为ENTRYPOINT指定一个纯字符串指令，将在/bin/sh -c中执行。该形式支持环境变量扩展，并将忽略任何CMD或docker run命令行参数。

为了确保docker stop能够正确地发出任何信号给长时间运行的ENTRYPOINT可执行文件，需要使用exec指令执行相关指令：

FROM ubuntu

ENTRYPOINT exec top -b

运行此镜像时，将看到单个PID 1进程：

$ docker run -it --rm --name test top

 

执行docker stop关闭及docker start启动容器

 

如果shell形式中未使用exec执行ENTRYPOINT中的指令：

FROM ubuntu

ENTRYPOINT  top  -b

CMD  -d 5

启容器：

docker  run  -it  --name  test  …

 

从输出中top看到指定ENTRYPOINT的不是PID 1

如果运行docker stop test，容器将不会干净地退出（最终容器也会推出，但是通过将信号发送给sh，而不是发送给应用程序指令top）

CMD和ENTRYPOINT如何相互作用：

1. Dockerfile应至少指定一个CMD或ENTRYPOINT命令
2. ENTRYPOINT应该在将容器用作可执行文件时使用
3. CMD应该用作定义ENTRYPOINT命令的默认参数
4. CMD在使用替代参数运行容器时将被覆盖

下表显示了针对不同ENTRYPOINT/CMD组合执行的命令：

 

12、VOLUME

格式：

VOLUME  ["/data"]

VOLUME  ["/var/log/","/data"]                #在docker的卷管理目录中划出2块区域挂载到容器中的这两个目录

VOLUME  /var/log

VOLUME  /var/log  /var/db

VOLUME指令创建具有指定名称的挂载点(即在容器中创建目录，并将volume挂载到该挂载点，这种方式的volume名称是随机生成的)，并将其标记为从本机或其他容器保存外部挂载的卷。该值可以是JSON数组，VOLUME ["/var/log/"]或具有多个参数的普通字符串，如VOLUME /var/log或VOLUME  /var/log  /var/db

示例：

FROM  centos

RUN  mkdir  /myvol

RUN  echo "hello world"  >  /myvol/greeting

VOLUME  ["/myvol", "/data"]

CMD ["/bin/bash"]

 

docker volume ls

docker volume inspect

ll  /var/lib/docker/volumes/

注意：

宿主机目录在容器运行时声明：宿主机目录（mountpoint）本质上是依赖于主机的。这是为了保持镜像的可移植性，因为不能保证给定的主机目录在所有主机上都可用。因此，无法从Dockerfile中安装主机目录，VOLUME指令不支持指定host-dir参数，必须在创建或运行容器时指定挂载点(-v选项指定)

 

13、USER

USER  <user>[:<group>] 或

USER  <UID>[:<GID>]

当构建镜像时，在Dockerfile文件中有RUN、CMD、ENTRYPOINT指令时，USER指令用于设置执行这些指令的用户（UID），及可选的用户组（GID），用户或组必须事先存在

警告：当用户没有主组时，镜像（或下一个指令）将使用root组运行

 

14、WORKDIR

WORKDIR  /path/to/workdir

WORKDIR指令用于在Dockerfile中设置RUN，CMD，ENTRYPOINT，COPY和ADD指令的工作目录。如果WORKDIR指定的目录事先不存在，则会自动被创建。

在Dockerfile中可多次使用WORKDIR指令。如果提供了相对路径，则它将相对于前一条WORKDIR指令的路径。

例如：

WORKDIR  /a

WORKDIR  b

WORKDIR  c

RUN  pwd

 

最终pwd命令的输出将是/a/b/c

WORKDIR指令可以解析先前使用ENV设定的环境变量。只能使用Dockerfile文件中显式设置的环境变量。

例如：

ENV  DIRPATH  /path

WORKDIR  $DIRPATH/$DIRNAME

RUN  pwd

最终pwd命令的输出Dockerfile将是/path/$DIRNAME

 

15、ONBUILD

ONBUILD  [INSTRUCTION]

当镜像用作另一个构建的基础时，该ONBUILD指令向镜像添加将在稍后执行的触发指令。触发器将在下游构建的上下文中执行，就好像它在下游Dockerfile中FROM指令之后插入了这里的INSTRUCTION指令一样。

任何构建指令都可以注册为触发器

 

16、HEALTHCHECK               #只能有一条，如果列出多个，则只有最后一个生效

该HEALTHCHECK指令有两种形式：

• HEALTHCHECK  [OPTIONS]  CMD  command（通过在容器内运行命令来检查容器运行状况）
• HEALTHCHECK  NONE（禁用从基础映像继承的任何运行状况检查）

当容器指定了运行状况检查时，除了正常状态外，它还具有运行状况:

这个状态最初是starting

每当健康检查通过时，它就会变成healthy

经过一定数量的连续失败后，它就变成了unhealthy

OPTIONS：

• --interval=DURATION（默认值：30s）                    检查时间间隔
• --timeout=DURATION（默认值：30s）                    单次检查超时秒数，若超时视为检查失败
• --retries=N（默认值：3）                           连续重试N次后，健康检查均失败，认为容器为unhealthy
• --start-period=DURATION（默认值：0s）                为需要时间引导的容器提供初始化时间，在此期间探测失败将不计入最大重试次数。但如果在启动期间运行状况检查成功，则会将容器视为已启动，并且所有连续失败将计入最大重试次数

CMD关键字后面的命令可以是shell命令（如HEALTHCHECK CMD /bin/check-running）或exec形式

命令的退出状态指示容器的运行状况。可能的值是：

• 0：成功 - 容器健康且随时可用
• 1：不健康 - 容器无法正常工作
• 2：保留 - 不要使用此退出代码

示例：

要检查每五分钟左右网络服务器能够在三秒钟内为网站的主页面提供服务：

HEALTHCHECK  --interval=5m  --timeout=3s  CMD curl -f http://localhost/ || exit 1

 

17、SHELL

SHELL  ["executable", "parameters"]

该指令允许覆盖用于shell形式的命令的默认shell。

Linux上默认shell是["/bin/sh", "-c"]

Windows上默认shell是["cmd", "/S", "/C"]。该SHELL指令必须以JSON格式写入Dockerfile

Windows上经常使用

 

18、STOPSIGNAL

STOPSIGNAL  signal

STOPSIGNAL指令设置将发送到容器的系统调用信号以退出。此信号可以是与内核的系统调用表中的位置匹配的有效无符号数，例如9，或SIGNAME格式的信号名，例如SIGKILL

默认的stop signal是SIGTERM，在docker stop的时候会给容器内PID为1的进程发送这个signal，通过--stop-signal可以设置自己需要的signal，主要的目的是为了让容器内的应用程序在接收到signal之后可以先做一些事情，实现容器的平滑退出，如果不做任何处理，容器将在一段时间之后强制退出，会造成业务的强制中断，这个时间默认是10s