Dockerfile概念
Dockerfile就是一个文本文件,它是由一条一条指令构成的,每一条指令构建一层,所以,每一条指令都是在描述该层是如何构建的。
比如我这里定制一个nginx镜像
FROM nginx
RUN echo 'Hello, world' > /usr/share/nginx/html/index.html
这个dockerfile涉及的指令只有两个,FROM
和RUN
FROM 指定基础镜像
既然要定制镜像,那么必须得以一个基础镜像为基础,然后进行雕琢,美化。像上面的哪个例子,就是以nginx为基础来创建的镜像。所以在Dockerfile中FROM必须是第一条指令,且必须存在。
在docker hub上有很多官方镜像
- 服务类: nginx、redis、mongo、mysql、https、php、tomcat等等
- 语言应用类: python、ruby、golang、openjdk、node等等
除去这些之外,如果还是没有找到你想要的镜像,官方还提供了一些更加基础的操作系统镜像。如: Ubuntu、debian、centos、fedora、apline等等
RUN 执行命令
RUN指令是用来执行命令行命令的,由于命令行强大的能力,RUN指令在定制镜像时是最常用的指令之一,它的格式也有两种
- shell格式:
RUN <命令>
,就像是直接在命令行输入的命令一样,上面的例子中的RUN就是shell格式。 - exec格式:
RUN ["可执行文件", "参数一", "参数二"]
,这更像是函数调用中的格式。
比如:
FROM debian:stretch
RUN apt-get update
RUN apt-get install -y gcc libc6-dev make wget
RUN wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz"
RUN mkdir -p /usr/src/redis
RUN tar -zxf redis.tar.gz -C /usr/src/redis --strip-components=1
RUN make -C /usr/src/redis
RUN make -C /usr/src/redis install
每一个指令都会建立一层,RUN
也是,每次RUN都会建立一层,就像上面这种写法,是建立了七层。结果就是产生很多臃肿的镜像,毫无意义,比如在运行时不需要的内容,像编译环境,更新软件包等。这些增加构建层数,只会增加构建部署镜像的时间,且容易出错。
Union FS 是有最大层数限制的,比如 AUFS,曾经是最大不得超过 42 层,现在是不得超过 127 层。
FROM debian:stretch
RUN buildDeps='gcc libc6-dev make wget' \
&& apt-get update \
&& apt-get install -y $buildDeps \
&& wget -O redis.tar.gz "http://download.redis.io/releases/redis-5.0.3.tar.gz" \
&& mkdir -p /usr/src/redis \
&& tar -xzf redis.tar.gz -C /usr/src/redis --strip-components=1 \
&& make -C /usr/src/redis \
&& make -C /usr/src/redis install \
&& rm -rf /var/lib/apt/lists/* \
&& rm redis.tar.gz \
&& rm -r /usr/src/redis \
&& apt-get purge -y --auto-remove $buildDeps
/
是命令换行方式,&&
命令连接,将前后命令串联起来,#
注释符,一般在文件的首行进行编写,其它地方不再进行注释,否则可能会影响流程运行。
这里最后还清理了一下缓存apt-get purge -y --auto-remove $buildDeps
,清理掉无关的东西。
COPY 复制文件
格式
COPY [--chown=<user>:<group>] <源路径>... <目标路径>
COPY [--chown=<user>:<group>] ["<源路径1>",... "<目标路径>"]
和RUN指令一样,也是有两种格式,一种类似于命令行,一种类似于函数
COPY
指令将从旁那个构建上下文的目录中<源路径>
的文件/目录复制到新的一层镜像中的<目标路径>
的位置。如:
COPY flag.php /var/www/html/
源路径可以是很多个,甚至可以是通配符。
COPY hom* /mydir/
COPY hom?.txt /mydir/
目标路径可以是容器内的绝对路径,也可以是相对工作目录的相对路径,工作目录可以使用WORDDIR
来指定,目标目录不需要事先创建,如果不存在会在复制文件之前自动创建缺失目录
使用COPY
指令,源文件的各种元数据都会保留。比如读写执行权限,文件变更时间,这个特性对于镜像指定很有用。尤其是在使用Git进行管理的时候。
在使用该指令的时候,还可以加上--chown=<user>:<group>
选项来改变文件的所属用户及用户组
COPY --chown=55:mygroup files* /mydir/
COPY --chown=bin files* /mydir/
COPY --chown=1 files* /mydir/
COPY --chown=10:11 files* /mydir/
ADD 更高级的复制文件
这个也是复制的,它与COPY不同的一点是,它可以自动解压。并且它的源路径可以是一个url,如果源路径是个url的话,那么ADD指令就会调用Docker引擎去下载该链接的文件,然后将它放入目标路径中。
需要注意的是下载后的文件权限默认设置为600,如果不想要这个权限可以再加一层RUN
指令进行修改权限。
如果下载的是个压缩包,需要解压缩,也同样是需要再加一层RUN
来进行解压缩,所以有时候不如直接是同RUN
指令,调用wget
或者curl
工具下载,处理权限,解压缩,然后清理文件更加合理。所以这个命令一般不常用。
如果源路径为一个tar
压缩文件的话,压缩格式为gzip
, bzip2
,xz
的情况下,ADD
指令就会自动解压缩这个压缩文件到目标路径中去。
FROM scratch
ADD ubuntu-xenial-core-cloudimg-amd64-root.tar.gz /
...
如果在某些情况下,我们不想解压缩,想直接复制压缩文件,这个时候就不能使用ADD
命令了。
所以可以考虑,所有文件的复制均使用COPY
指令来执行,仅在需要自动解压缩的时候再使用ADD
CMD 容器启动命令
CMD
指令的格式与RUN
指令相似,同样为两种格式
shell
格式:CMD <命令>
exec
格式:CMD ["可执行文件", "参数1", "参数2"...]
docker不是虚拟机,容器就是进程,再启动容器的时候,需要指定所运行的程序及参数,CMD
指令就是用于指定默认的容器主进程的启动命令的。
在运行时可以指定新的命令来代替镜像设置中的这个默认命令,比如,在Ubuntu镜像中默认运行CMD是/bin/bash
,如果我们直接使用docker run -it ubuntu
那么,会直接进入bash
。也可以在运行时指定运行别的命令,如:docker run -it ubuntu cat /etc/os-release
,这样就是直接使用cat /etc/os-release
命令替换了默认的/bin/bash
命令。输出了操作系统的版本信息。
一般使用exec
格式,这类格式在解析时会被解析为json数组,因此一定要使用双引号,==不要使用单引号==
shell格式
CMD echo $HOME === CMD [ "sh", "-c", "echo $HOME" ]
在编写指令nginx
服务开启命令时,需要使用命令service nginx start
但是直接使用
CMD service nginx start
会出现一个问题,就是会被进程理解为
CMD [ "sh", "-c", "service nginx start" ]
这样的命令结束后,sh
进程也就结束了,主进程结束推出,那么容器自然也就退出了。而且在容器中使用systemctl
命令的话,会发现无法执行,正确的方法应该是
CMD [ "nginx", "-g", "daemon off;" ]
ENV 设置环境变量
格式有两种
ENV <key> <value>
ENV <key1>=<value1> <key2>=<value2>...
这个指令就是仅仅设置环境变量而已。无论是后面的其他指令还是运行时的应用,都可以直接使用这里定义的环境变量。
ENV VERSION=1.0 DEBUG=on \
NAME="Happy m0re"
比如在node
镜像的dockerfile
中
ENV NODE_VERSION 7.2.0
RUN curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/node-v$NODE_VERSION-linux-x64.tar.xz" \
&& curl -SLO "https://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc" \
&& gpg --batch --decrypt --output SHASUMS256.txt SHASUMS256.txt.asc \
&& grep " node-v$NODE_VERSION-linux-x64.tar.xz\$" SHASUMS256.txt | sha256sum -c - \
&& tar -xJf "node-v$NODE_VERSION-linux-x64.tar.xz" -C /usr/local --strip-components=1 \
&& rm "node-v$NODE_VERSION-linux-x64.tar.xz" SHASUMS256.txt.asc SHASUMS256.txt \
&& ln -s /usr/local/bin/node /usr/local/bin/nodejs
一开始设置了node的版本,下面直接使用$NODE_VERSION
代表的就是7.2.0
,这样做的好处就是更新的话,直接更改环境变量中定义的版本信息,也就是7.2.0
即可。
CTF出题docker编写
FROM nickistre/centos-lamp:latest
COPY src/ /var/www/html/
RUN /etc/init.d/mysqld start \
&& mysqladmin -uroot password 'ctfhub' \
&& mysql -e "CREATE DATABASE ctfhub DEFAULT CHARACTER SET utf8;" -uroot -pctfhub \
&& mysql -e "use ctfhub;source /var/www/html/ctfhub.sql;" -uroot -pctfhub \
&& rm /var/www/html/ctfhub.sql \
&& rm /var/www/html/phpinfo.php \
&& chmod -R 655 /var/www/html/
解析:
首先目录
- src
- index.php
- ctfhub.sql
- Dockerfile
拉去一个lamp镜像,然后将src目录下的文件(ctfrhub.sql&&index.php
)复制到容器中的网站根目录下
随后开启mysql服务,进入数据库,使用mysqladmin
来设置初始用户和密码root:ctfhub
然后使用命令创建对应数据库ctfhub
并且导入数据库文件ctfhub.sql
然后删除数据库文件ctfhub.sql
防止信息泄露,删除phpinfo.php
防止php
探针泄露危险可利用函数
最后赋予网站根目录对应权限为655
,题目就部署完成了。