Dockerfile 参考

Docker 可以通过读取 Dockerfile 中的指令来自动构建镜像。Dockerfile 是一个文本文件，包含了用户可以在命令行调用的所有命令来组装镜像。本页面描述了您可以在 Dockerfile 中使用的命令。

概述

Dockerfile 支持以下指令：

格式化

这里是 Dockerfile 的格式：

# Comment
INSTRUCTION arguments

指令不区分大小写。然而，按照惯例，指令使用大写形式，以便更容易与参数区分开来。

Docker 按照 Dockerfile 中的顺序运行指令。Dockerfile 必须以 FROM 指令开头。这可能位于 解析器指令、 注释和全局范围的 ARG之后。FROM 指令指定了您正在构建的 基础镜像。FROM 前面只能有一个或多个 ARG 指令，这些指令声明了 Dockerfile 中 FROM 行使用的参数。

BuildKit 将以 # 开头的行视为注释，除非该行是一个有效的解析器指令。出现在行中其他位置的 # 标记被视为参数。这允许如下语句：

# Comment
RUN echo 'we are running some # of cool things'

在执行 Dockerfile 指令之前，注释行会被移除。 在下面的示例中，注释会在 shell 执行 echo 命令之前被移除。

RUN echo hello \
# comment
world

以下示例是等效的。

RUN echo hello \
world

注释不支持行续行符。

注意

关于空格的说明

为了向后兼容，注释（#）和指令（例如 RUN）前的前导空白符会被忽略，但不鼓励这样做。在这些情况下，前导空白符不会被保留，因此以下示例是等效的：

        # this is a comment-line
    RUN echo hello
RUN echo world

# this is a comment-line
RUN echo hello
RUN echo world

然而，指令参数中的空白字符不会被忽略。 下面的示例按照指定的前导空白打印 hello world：

RUN echo "\
     hello\
     world"

解析器指令

解析器指令是可选的，会影响 Dockerfile 中后续行的处理方式。解析器指令不会向构建中添加层，也不会显示为构建步骤。解析器指令以特殊类型的注释形式编写，格式为 # directive=value。单个指令只能使用一次。

支持以下解析器指令：

• syntax
• escape
• check (自 Dockerfile v1.8.0 起)

一旦注释、空行或构建器指令被处理，BuildKit 就不再查找解析器指令。相反，它将任何格式为解析器指令的内容视为注释，并且不会尝试验证它是否可能是解析器指令。因此，所有解析器指令必须位于 Dockerfile 的顶部。

解析器指令键（例如 syntax 或 check）不区分大小写，但按照惯例它们是小写的。指令的值区分大小写，必须按照指令的要求以正确的大小写形式书写。例如，#check=skip=jsonargsrecommended 是无效的，因为检查名称必须使用帕斯卡命名法（Pascal case），而不是小写。按照惯例，在任何解析器指令之后包含一个空行也是常规做法。解析器指令不支持行继续字符。

由于这些规则，以下示例均无效：

由于行继续而无效：

# direc \
tive=value

由于出现两次而无效：

# directive=value1
# directive=value2

FROM ImageName

被视为注释，因为它出现在构建器指令之后：

FROM ImageName
# directive=value

被视为注释，因为它出现在一个不是解析器指令的注释之后：

# About my dockerfile
# directive=value
FROM ImageName

以下的 unknowndirective 被视为注释，因为它未被识别。已知的 syntax 指令被视为注释，因为它出现在非解析器指令的注释之后。

# unknowndirective=value
# syntax=value

解析器指令中允许使用非换行空格。因此，以下几行都被视为相同：

#directive=value
# directive =value
#	directive= value
# directive = value
#	  dIrEcTiVe=value

语法

使用 syntax parser 指令声明用于构建的 Dockerfile 语法版本。如果未指定，BuildKit 将使用捆绑版本的 Dockerfile 前端。声明语法版本可让您自动使用最新的 Dockerfile 版本，而无需升级 BuildKit 或 Docker Engine，甚至可以使用自定义的 Dockerfile 实现。

大多数用户希望将此解析器指令设置为 docker/dockerfile:1， 这会导致 BuildKit 在构建之前拉取 Dockerfile 语法的最新稳定版本。

# syntax=docker/dockerfile:1

有关解析器指令如何工作的更多信息，请参阅 自定义 Dockerfile 语法。

转义

# escape=\

Or

# escape=`

escape 指令用于设置 Dockerfile 中用于转义字符的字符。如果未指定，默认转义字符为 \。

转义字符既用于转义行内字符，也用于转义换行符。这使得 Dockerfile 指令可以跨越多行。请注意，无论 Dockerfile 中是否包含 escape 解析器指令，RUN 命令中都不会执行转义，行尾除外。

将转义字符设置为 ` 在 Windows 上尤其有用，其中 \ 是目录路径分隔符。` 与 Windows PowerShell 一致。

考虑以下示例，它在 Windows 上会以一种不明显的方式失败。第二行末尾的第二个 \ 会被解释为换行符的转义，而不是第一个 \ 转义的目标。类似地，第三行末尾的 \，假设它实际上被作为一条指令处理，会导致它被视为行继续符。这个 Dockerfile 的结果是第二行和第三行被视为一条单独的指令：

FROM microsoft/nanoserver
COPY testfile.txt c:\\
RUN dir c:\

结果为：

PS E:\myproject> docker build -t cmd .

Sending build context to Docker daemon 3.072 kB
Step 1/2 : FROM microsoft/nanoserver
 ---> 22738ff49c6d
Step 2/2 : COPY testfile.txt c:\RUN dir c:
GetFileAttributesEx c:RUN: The system cannot find the file specified.
PS E:\myproject>

解决上述问题的一种方法是将 / 用作 COPY 指令和 dir 的目标。然而，这种语法往好了说是令人困惑，因为它不符合 Windows 上路径的自然习惯；往坏了说是容易出错，因为并非 Windows 上的所有命令都支持 / 作为路径分隔符。

通过添加 escape 解析器指令，以下 Dockerfile 可以按预期成功运行，并在 Windows 上使用自然的平台语义处理文件路径：

# escape=`

FROM microsoft/nanoserver
COPY testfile.txt c:\
RUN dir c:\

结果为：

PS E:\myproject> docker build -t succeeds --no-cache=true .

Sending build context to Docker daemon 3.072 kB
Step 1/3 : FROM microsoft/nanoserver
 ---> 22738ff49c6d
Step 2/3 : COPY testfile.txt c:\
 ---> 96655de338de
Removing intermediate container 4db9acbb1682
Step 3/3 : RUN dir c:\
 ---> Running in a2c157f842f5
 Volume in drive C has no label.
 Volume Serial Number is 7E6D-E0F7

 Directory of c:\

10/05/2016  05:04 PM             1,894 License.txt
10/05/2016  02:22 PM    <DIR>          Program Files
10/05/2016  02:14 PM    <DIR>          Program Files (x86)
10/28/2016  11:18 AM                62 testfile.txt
10/28/2016  11:20 AM    <DIR>          Users
10/28/2016  11:20 AM    <DIR>          Windows
           2 File(s)          1,956 bytes
           4 Dir(s)  21,259,096,064 bytes free
 ---> 01c7f3bef04f
Removing intermediate container a2c157f842f5
Successfully built 01c7f3bef04f
PS E:\myproject>

检查

# check=skip=<checks|all>
# check=error=<boolean>

check 指令用于配置 构建检查 的评估方式。默认情况下，会运行所有检查，并将失败视为警告。

您可以使用 #check=skip=<check-name> 禁用特定检查。要指定跳过多个检查，请用逗号分隔：

# check=skip=JSONArgsRecommended,StageNameCasing

要禁用所有检查，请使用 #check=skip=all。

默认情况下，即使存在警告，构建检查失败的构建也会以零状态码退出。若要在出现警告时使构建失败，请设置 #check=error=true。

# check=error=true

注意

使用 check 指令并带有 error=true 选项时，建议将 Dockerfile 语法固定到特定版本。否则，当未来版本中添加新检查时，您的构建可能会 开始失败。

要同时结合 skip 和 error 选项，请使用分号分隔它们：

# check=skip=JSONArgsRecommended;error=true

要查看所有可用的检查，请参阅 构建检查参考。 请注意，可用的检查取决于 Dockerfile 语法版本。为确保您获得最新的检查，请使用 syntax 指令将 Dockerfile 语法版本指定为最新的稳定 版本。

环境变量替换

环境变量（使用 ENV 语句声明）也可以 在某些指令中作为变量使用，由 Dockerfile 解析。转义也用于将类似变量的语法 按字面意思包含到语句中。

环境变量在 Dockerfile 中用 $variable_name 或 ${variable_name} 表示。它们被视为等效的，并且大括号语法通常用于解决变量名称中没有空格的问题，例如 ${foo}_bar。

${variable_name} 语法也支持一些标准的 bash 修饰符，如下所示：

• ${variable:-word} 表示如果设置了 variable，那么结果 将是该值。如果未设置 variable，那么 word 将是结果。
• ${variable:+word} 表示如果设置了 variable，那么 word 将是结果，否则结果为空字符串。

当在您的 Dockerfile 中使用 # syntax=docker/dockerfile-upstream:master 语法指令时，Dockerfile 语法的预发布版本支持以下变量替换：

• ${variable#pattern} 从字符串开头开始，移除 variable 中与 pattern 最短匹配的部分。

  str=foobarbaz echo ${str#f*b}     # arbaz

• ${variable##pattern} 从字符串开头开始，移除 variable 中与 pattern 最长匹配的部分。

  str=foobarbaz echo ${str##f*b}    # az

• ${variable%pattern} 从字符串末尾向后查找，移除 variable 中与 pattern 最短匹配的部分。

  string=foobarbaz echo ${string%b*}    # foobar

• ${variable%%pattern} 从字符串末尾向前查找，移除 variable 中与 pattern 最长匹配的部分。

  string=foobarbaz echo ${string%%b*}   # foo

• ${variable/pattern/replacement} 将 variable 中的 pattern 的第一次出现替换为 replacement

  string=foobarbaz echo ${string/ba/fo}  # fooforbaz

• ${variable//pattern/replacement} 将 variable 中出现的所有 pattern 替换为 replacement

  string=foobarbaz echo ${string//ba/fo}  # fooforfoz

在所有情况下，word 可以是任何字符串，包括额外的环境变量。

pattern 是一种 glob 模式，其中 ? 匹配任意单个字符， 而 * 匹配任意数量的字符（包括零个）。要匹配字面上的 ? 和 *， 请使用反斜杠转义：\? 和 \*。

您可以通过在变量名前添加 \ 来转义整个变量名：例如，\$foo 或 \${foo} 将分别转换为 $foo 和 ${foo} 字面量。

示例（解析后的表示形式显示在 # 之后）：

FROM busybox
ENV FOO=/bar
WORKDIR ${FOO}   # WORKDIR /bar
ADD . $FOO       # ADD . /bar
COPY \$FOO /quux # COPY $FOO /quux

Dockerfile 中的以下指令列表支持环境变量：

• ADD
• COPY
• ENV
• EXPOSE
• FROM
• LABEL
• STOPSIGNAL
• USER
• VOLUME
• WORKDIR
• ONBUILD (当与上述受支持的指令之一结合使用时)

您也可以在 RUN、CMD 和 ENTRYPOINT 指令中使用环境变量，但在这些情况下，变量替换是由命令 shell 处理的，而不是构建器。请注意，使用 exec 格式的指令不会自动调用命令 shell。请参阅 变量替换。

环境变量替换在整个指令中为每个变量使用相同的值。更改变量的值仅在后续指令中生效。请考虑以下示例：

ENV abc=hello
ENV abc=bye def=$abc
ENV ghi=$abc

• def 的值变为 hello
• ghi 的值变为 bye

.dockerignore 文件

您可以使用 .dockerignore 文件从构建上下文中排除文件和目录。有关更多信息，请参阅 .dockerignore 文件。

Shell 和 exec 格式

RUN、CMD 和 ENTRYPOINT 指令都有两种可能的格式：

• INSTRUCTION ["executable","param1","param2"] (exec 格式)
• INSTRUCTION command param1 param2 (shell 格式)

Exec 形式可以避免 shell 字符串处理，并允许使用特定的命令 shell 或任何其他可执行文件来调用命令。它使用 JSON 数组语法，其中数组中的每个元素都是命令、标志或参数。

Shell 形式更加宽松，强调易用性、灵活性和可读性。Shell 形式会自动使用命令 shell，而 exec 形式则不会。

Exec 格式

Exec 形式被解析为 JSON 数组，这意味着 你必须使用双引号 (") 而不是单引号 (') 将单词括起来。

ENTRYPOINT ["/bin/bash", "-c", "echo hello"]

Exec 形式最适合用于指定 ENTRYPOINT 指令，并结合 CMD 设置可在运行时覆盖的默认参数。有关更多信息，请参见 ENTRYPOINT。

变量替换

使用 exec 形式不会自动调用命令 shell。这意味着不会发生常规的 shell 处理，例如变量替换。例如，RUN [ "echo", "$HOME" ] 不会处理 $HOME 的变量替换。

如果您想要 shell 处理，那么可以使用 shell 形式，或者使用 exec 形式直接执行 shell，例如：RUN [ "sh", "-c", "echo $HOME" ]。 当使用 exec 形式并直接执行 shell 时（就像 shell 形式的情况一样），是由 shell 进行环境变量替换，而不是构建器。

反斜杠

在 exec 格式中，你必须对反斜杠进行转义。这在 Windows 上尤为重要，因为反斜杠是路径分隔符。否则，以下行会因为不是有效的 JSON 而被视为 shell 格式，并以意想不到的方式失败：

RUN ["c:\windows\system32\tasklist.exe"]

此示例的正确语法为：

RUN ["c:\\windows\\system32\\tasklist.exe"]

Shell 形式

与 exec 形式不同，使用 shell 形式的指令始终使用命令 shell。shell 形式不使用 JSON 数组格式，而是使用常规字符串。shell 形式字符串允许您使用转义字符（默认为反斜杠）来转义换行符，从而将单个指令延续到下一行。这使得它更易于与较长的命令一起使用，因为它允许您将它们拆分为多行。例如，考虑以下两行：

RUN source $HOME/.bashrc && \
echo $HOME

它们等同于以下行：

RUN source $HOME/.bashrc && echo $HOME

您也可以在 Shell 形式中使用 heredocs 来拆分支持的命令。

RUN <<EOF
source $HOME/.bashrc && \
echo $HOME
EOF

有关 heredocs 的更多信息，请参见 Here-documents。

使用其他 Shell

您可以使用 SHELL 命令更改默认 shell。例如：

SHELL ["/bin/bash", "-c"]
RUN echo hello

欲了解更多信息，请参阅 SHELL。

从

FROM [--platform=<platform>] <image> [AS <name>]

Or

FROM [--platform=<platform>] <image>[:<tag>] [AS <name>]

Or

FROM [--platform=<platform>] <image>[@<digest>] [AS <name>]

FROM 指令初始化一个新的构建阶段并设置后续指令的 基础镜像。因此，一个有效的 Dockerfile 必须以 FROM 指令开头。 该镜像可以是任何有效的镜像。

• ARG 是 Dockerfile 中唯一可以放在 FROM 之前的指令。 参见 了解 ARG 和 FROM 如何交互。
• FROM 可以在单个 Dockerfile 中多次出现，以创建多个镜像或将一个构建阶段作为另一个构建阶段的依赖。只需记下每次新的 FROM 指令之前提交输出的最后一个镜像 ID。每条 FROM 指令都会清除先前指令创建的任何状态。
• 可以通过向 FROM 指令添加 AS name 来为新的构建阶段指定名称。该名称可以在后续的 FROM <name>、 COPY --from=<name>、 和 RUN --mount=type=bind,from=<name> 指令中使用， 以引用在此阶段构建的镜像。
• tag 或 digest 值是可选的。如果您省略其中任何一个，构建器默认假定一个 latest 标签。如果构建器找不到 tag 值，则会返回错误。

可选的 --platform 标志可用于指定镜像的平台， 以防 FROM 引用多平台镜像。例如，linux/amd64、 linux/arm64 或 windows/amd64。默认情况下，使用构建请求的目标平台。 全局构建参数可以在此标志的值中使用， 例如 自动平台 ARGs 允许您强制阶段使用原生构建平台（--platform=$BUILDPLATFORM）， 并在阶段内使用它交叉编译到目标平台。

了解 ARG 和 FROM 如何交互

FROM 条指令支持使用在任何 FROM 之前出现的 ARG 条指令所声明的变量。

ARG  CODE_VERSION=latest
FROM base:${CODE_VERSION}
CMD  /code/run-app

FROM extras:${CODE_VERSION}
CMD  /code/run-extras

在 FROM 之前声明的 ARG 位于构建阶段之外，因此它不能用于 FROM 之后的任何指令中。要在第一个 FROM 之前使用声明的 ARG 的默认值，请在构建阶段内使用一个不带值的 ARG 指令：

ARG VERSION=latest
FROM busybox:$VERSION
ARG VERSION
RUN echo $VERSION > image_version

运行

RUN 指令将执行任何命令，在当前镜像之上创建一个新层。添加的层将用于 Dockerfile 中的下一步。RUN 有两种形式：

# Shell form:
RUN [OPTIONS] <command> ...
# Exec form:
RUN [OPTIONS] [ "<command>", ... ]

有关这两种形式之间差异的更多信息，请参阅 shell 或 exec 形式。

Shell 形式是最常用的，它允许您使用换行符转义或使用here文档将较长的指令拆分为多行：

RUN <<EOF
apt-get update
apt-get install -y curl
EOF

RUN 指令可用的 [OPTIONS] 为：

RUN 指令的缓存失效

RUN 条指令的缓存在下一次构建期间不会自动失效。像 RUN apt-get dist-upgrade -y 这样的指令的缓存将在下一次构建期间被重用。RUN 条指令的缓存可以通过使用 --no-cache 标志来使其失效，例如 docker build --no-cache。

参阅 Dockerfile 最佳实践 指南 以获取更多信息。

RUN 条指令的缓存可以通过 ADD 和 COPY 指令来失效。

RUN --mount

RUN --mount=[type=<TYPE>][,option=<value>[,option=<value>]...]

RUN --mount 允许您创建构建可以访问的文件系统挂载。 这可以用于：

• 创建绑定挂载到主机文件系统或其他构建阶段
• 访问构建机密或 ssh-agent 套接字
• 使用持久化的包管理缓存来加速您的构建

支持的挂载类型包括：

RUN --mount=type=bind

此挂载类型允许将文件或目录绑定到构建容器。绑定挂载默认为只读。

RUN --mount=type=cache

此挂载类型允许构建容器为编译器和包管理器缓存目录。

缓存在构建器调用之间持久存在，而不会使指令缓存失效。缓存挂载仅应用于提高性能。您的构建应该能够适应缓存目录中的任何内容，因为其他构建可能会覆盖这些文件，或者在需要更多存储空间时 GC 可能会清理它们。

示例：缓存 Go 包

# syntax=docker/dockerfile:1
FROM golang
RUN --mount=type=cache,target=/root/.cache/go-build \
  go build ...

示例：缓存 apt 软件包

# syntax=docker/dockerfile:1
FROM ubuntu
RUN rm -f /etc/apt/apt.conf.d/docker-clean; echo 'Binary::apt::APT::Keep-Downloaded-Packages "true";' > /etc/apt/apt.conf.d/keep-cache
RUN --mount=type=cache,target=/var/cache/apt,sharing=locked \
  --mount=type=cache,target=/var/lib/apt,sharing=locked \
  apt update && apt-get --no-install-recommends install -y gcc

Apt 需要对其数据的独占访问权限，因此缓存使用选项 sharing=locked，这将确保使用同一缓存挂载的多个并行构建相互等待，而不会同时访问相同的缓存文件。在这种情况下，如果您希望每个构建创建另一个缓存目录，也可以使用 sharing=private。

RUN --mount=type=tmpfs

此挂载类型允许在构建容器中挂载 tmpfs。

RUN --mount=type=secret

此挂载类型允许构建容器访问机密值（例如令牌或私钥），而无需将其写入镜像中。

默认情况下，密钥以文件形式挂载。您也可以通过设置 env 选项将密钥作为环境变量挂载。

示例：访问 S3

# syntax=docker/dockerfile:1
FROM python:3
RUN pip install awscli
RUN --mount=type=secret,id=aws,target=/root/.aws/credentials \
  aws s3 cp s3://... ...

$ docker buildx build --secret id=aws,src=$HOME/.aws/credentials .

示例：作为环境变量挂载

下面的示例获取密钥 API_KEY 并将其作为同名环境变量挂载。

# syntax=docker/dockerfile:1
FROM alpine
RUN --mount=type=secret,id=API_KEY,env=API_KEY \
    some-command --token-from-env $API_KEY

假设构建环境中设置了 API_KEY 环境变量，您可以使用以下命令进行构建：

$ docker buildx build --secret id=API_KEY .

RUN --mount=type=ssh

此挂载类型允许构建容器通过 SSH 代理访问 SSH 密钥，并支持密码短语。

示例：访问 GitLab

# syntax=docker/dockerfile:1
FROM alpine
RUN apk add --no-cache openssh-client
RUN mkdir -p -m 0700 ~/.ssh && ssh-keyscan gitlab.com >> ~/.ssh/known_hosts
RUN --mount=type=ssh \
  ssh -q -T git@gitlab.com 2>&1 | tee /hello
# "Welcome to GitLab, @GITLAB_USERNAME_ASSOCIATED_WITH_SSHKEY" should be printed here
# with the type of build progress is defined as `plain`.

$ eval $(ssh-agent)
$ ssh-add ~/.ssh/id_rsa
(Input your passphrase here)
$ docker buildx build --ssh default=$SSH_AUTH_SOCK .

您也可以直接指定主机上 *.pem 文件的路径，而不是 $SSH_AUTH_SOCK。 但是，不支持带有密码的 pem 文件。

RUN --network

RUN --network=<TYPE>

RUN --network 允许控制命令在哪个网络环境中运行。

支持的网络类型有：

RUN --network=default

相当于完全不提供标志，该命令在构建的默认网络中运行。

RUN --network=none

该命令在无网络访问权限下运行（lo 仍然可用，但仅限于此进程）

示例：隔离外部效应

# syntax=docker/dockerfile:1
FROM python:3.6
ADD mypackage.tgz wheels/
RUN --network=none pip install --find-links wheels mypackage

pip 将只能安装 tarfile 中提供的包，这 可以由较早的构建阶段控制。

RUN --network=host

该命令在宿主机的网络环境中运行（类似于 docker build --network=host，但是基于每条指令）

警告

--network=host 的使用受 network.host 权限保护， 需要在启动 buildkitd 守护进程时通过 --allow-insecure-entitlement network.host 标志启用， 或者在 buildkitd 配置 中启用， 并在构建请求中通过 --allow network.host 标志 启用。

RUN --security

注意

尚无稳定语法版本，请使用 docker/dockerfile:1-labs 版本。

RUN --security=<sandbox|insecure>

默认安全模式为 sandbox。 如果设置为 --security=insecure，构建器将在非安全模式下不使用沙箱运行命令，这允许运行需要提升权限的流程（例如 containerd）。 这等同于运行 docker run --privileged。

警告

为了访问此功能，在使用 --allow-insecure-entitlement security.insecure 标志启动 buildkitd 守护进程时或在 buildkitd 配置 中应启用权限 security.insecure，并且对于构建请求需使用 --allow security.insecure 标志。

默认沙箱模式可以通过 --security=sandbox 激活，但这实际上没有任何作用。

示例：检查权限

# syntax=docker/dockerfile:1-labs
FROM ubuntu
RUN --security=insecure cat /proc/self/status | grep CapEff

#84 0.093 CapEff:	0000003fffffffff

命令（CMD）

CMD 指令用于设置从镜像运行容器时要执行的命令。

您可以使用 shell 或 exec 格式指定 CMD 条指令：

• CMD ["executable","param1","param2"] (exec 格式)
• CMD ["param1","param2"] (exec 格式，作为 ENTRYPOINT 的默认参数)
• CMD command param1 param2 (shell 格式)

Dockerfile 中只能有一条 CMD 指令。如果你列出了多条 CMD，只有最后一条会生效。

CMD 的目的是为执行中的容器提供默认值。这些默认值可以包括一个可执行文件，也可以省略该可执行文件，在这种情况下，您还必须指定一条 ENTRYPOINT 指令。

如果您希望容器每次都运行相同的可执行文件，那么 您应该考虑将 ENTRYPOINT 与 CMD 结合使用。参见 ENTRYPOINT。如果用户为 docker run 指定参数， 那么这些参数将覆盖 CMD 中指定的默认值，但仍使用 默认的 ENTRYPOINT。

如果使用 CMD 为 ENTRYPOINT 指令提供默认参数， 则 CMD 和 ENTRYPOINT 指令都应在 exec 形式中指定。

注意

不要混淆 RUN 和 CMD。 RUN 实际上运行命令并提交结果； CMD 在构建时不执行任何操作，而是为镜像指定预期的命令。

标签

LABEL <key>=<value> [<key>=<value>...]

LABEL 指令向镜像添加元数据。LABEL 是一个键值对。要在 LABEL 值中包含空格，请像在命令行解析中一样使用引号和反斜杠。一些用法示例：

LABEL "com.example.vendor"="ACME Incorporated"
LABEL com.example.label-with-value="foo"
LABEL version="1.0"
LABEL description="This text illustrates \
that label-values can span multiple lines."

一个镜像可以拥有多个标签。您可以在单行中指定多个标签。在 Docker 1.10 之前，这可以减小最终镜像的大小，但现在情况已不再如此。您仍然可以选择在单个指令中指定多个标签，方式有以下两种：

LABEL multi.label1="value1" multi.label2="value2" other="value3"

LABEL multi.label1="value1" \
      multi.label2="value2" \
      other="value3"

注意

请务必使用双引号而不是单引号。特别是在使用字符串插值（例如 LABEL example="foo-$ENV_VAR"）时，单引号会按原样获取字符串，而不会解包变量的值。

基础镜像（FROM 行中的镜像）中包含的标签会被您的镜像继承。如果标签已经存在但具有不同的值，则最近应用的值将覆盖之前设置的任何值。

要查看镜像的标签，请使用 docker image inspect 命令。您可以使用 --format 选项仅显示标签；

$ docker image inspect --format='{{json .Config.Labels}}' myimage

{
  "com.example.vendor": "ACME Incorporated",
  "com.example.label-with-value": "foo",
  "version": "1.0",
  "description": "This text illustrates that label-values can span multiple lines.",
  "multi.label1": "value1",
  "multi.label2": "value2",
  "other": "value3"
}

维护者（已弃用）

MAINTAINER <name>

MAINTAINER 指令用于设置生成镜像的 作者 字段。 LABEL 指令是此指令的一个更灵活的版本，你应该改用 它，因为它允许设置你需要的任何元数据，并且可以轻松查看， 例如使用 docker inspect。要设置一个对应于 MAINTAINER 字段的标签，你可以使用：

LABEL org.opencontainers.image.authors="SvenDowideit@home.org.au"

然后这将在 docker inspect 处与其他标签一起可见。

暴露端口

EXPOSE <port> [<port>/<protocol>...]

EXPOSE 指令通知 Docker 容器在运行时监听指定的网络端口。您可以指定端口监听 TCP 或 UDP，如果未指定协议，默认为 TCP。

EXPOSE 指令实际上并不发布端口。它作为一种文档形式，存在于构建镜像的人和运行容器的人之间，用于说明哪些端口打算被发布。要在运行容器时发布端口，请在 docker run 上使用 -p 标志来发布并映射一个或多个端口，或者使用 -P 标志来发布所有暴露的端口并将它们映射到高位端口。

默认情况下，EXPOSE 假定使用 TCP。您也可以指定 UDP：

EXPOSE 80/udp

若要同时暴露 TCP 和 UDP，需包含两行：

EXPOSE 80/tcp
EXPOSE 80/udp

在这种情况下，如果你将 -P 与 docker run 一起使用，端口将为 TCP 和 UDP 各暴露一次。请记住，-P 在主机上使用临时的、高位的主机端口，因此 TCP 和 UDP 不会使用同一个端口。

无论 EXPOSE 设置如何，您都可以在运行时使用 -p 标志覆盖它们。例如

$ docker run -p 80:80/tcp -p 80:80/udp ...

要在宿主系统上设置端口重定向，请参阅 使用 -P 标志。 docker network 命令支持创建网络以实现容器间的通信，而无需暴露或发布特定端口，因为 连接到该网络的容器可以通过任何端口相互通信。有关详细信息，请参阅 此功能概述。

环境变量

ENV <key>=<value> [<key>=<value>...]

ENV 指令将环境变量 <key> 设置为值 <value>。该值将在构建阶段的所有后续指令中存在于环境中，并且可以在许多情况下被 内联替换。 该值会被解析为其他环境变量，因此如果引号未被转义，则会被移除。与命令行解析一样， 可以使用引号和反斜杠在值中包含空格。

示例：

ENV MY_NAME="John Doe"
ENV MY_DOG=Rex\ The\ Dog
ENV MY_CAT=fluffy

ENV 指令允许一次设置多个 <key>=<value> ... 变量， 下面的示例将在最终镜像中产生相同的最终结果：

ENV MY_NAME="John Doe" MY_DOG=Rex\ The\ Dog \
    MY_CAT=fluffy

使用 ENV 设置的环境变量在从生成的镜像运行容器时将保留。您可以使用 docker inspect 查看这些值，并使用 docker run --env <key>=<value> 更改它们。

阶段将继承其父阶段或任何祖先使用 ENV 设置的任何环境变量。有关更多信息，请参阅手册中的多阶段构建部分。

环境变量的持久化可能会导致意想不到的副作用。例如， 设置 ENV DEBIAN_FRONTEND=noninteractive 会改变 apt-get 的行为， 并且可能会让您的镜像用户感到困惑。

如果某个环境变量仅在构建期间需要，而在最终镜像中不需要，请考虑为单个命令设置一个值：

RUN DEBIAN_FRONTEND=noninteractive apt-get update && apt-get install -y ...

或者使用 ARG，它不会保留在最终镜像中：

ARG DEBIAN_FRONTEND=noninteractive
RUN apt-get update && apt-get install -y ...

注意

替代语法

ENV 指令也允许使用替代语法 ENV <key> <value>， 省略 =。例如：

ENV MY_VAR my-value

此语法不允许在单个 ENV 指令中设置多个环境变量，并且可能会引起混淆。例如，以下内容设置了一个值为 "TWO= THREE=world" 的单个环境变量 (ONE)：

ENV ONE TWO= THREE=world

为了向后兼容，支持替代语法，但由于上述原因，不鼓励使用，并且可能会在未来的版本中移除。

添加

ADD 有两种形式。 对于包含空格的路径，必须使用后一种形式。

ADD [OPTIONS] <src> ... <dest>
ADD [OPTIONS] ["<src>", ... "<dest>"]

可用的 [OPTIONS] 有：

ADD 指令从 <src> 复制新文件或目录，并将它们添加到镜像文件系统的 <dest> 路径下。文件和目录可以从构建上下文、远程 URL 或 Git 仓库复制。

ADD 和 COPY 指令在功能上相似，但用途略有不同。 了解更多关于 ADD 和 COPY 之间的区别。

源

您可以使用 ADD 指定多个源文件或目录。最后一个参数必须始终是目标路径。例如，要将构建上下文中的两个文件 file1.txt 和 file2.txt 添加到构建容器中的 /usr/src/things/：

ADD file1.txt file2.txt /usr/src/things/

如果指定多个源文件，无论是直接指定还是使用通配符，那么 目标必须是一个目录（必须以斜杠 / 结尾）。

要从远程位置添加文件，您可以指定 URL 或 Git 仓库地址作为来源。例如：

ADD https://example.com/archive.zip /usr/src/things/
ADD git@github.com:user/repo.git /usr/src/things/

BuildKit 检测到 <src> 的类型并对其进行相应处理。

• 如果 <src> 是本地文件或目录，则目录的内容将 复制到指定的目标位置。请参阅 从构建上下文添加文件。
• 如果 <src> 是一个本地 tar 归档文件，则将其解压并提取到指定的目标位置。请参阅 添加本地 tar 归档文件。
• 如果 <src> 是一个 URL，则该 URL 的内容会被下载并放置在指定的目标位置。请参阅 从 URL 添加文件。
• 如果 <src> 是一个 Git 仓库，该仓库将被克隆到指定的目标位置。参见 从 Git 仓库添加文件。

从构建上下文添加文件

任何不以 http://、https:// 或 git@ 协议前缀开头的相对路径或本地路径都被视为本地文件路径。本地文件路径是相对于构建上下文的。例如，如果构建上下文是当前目录，ADD file.txt / 会将 ./file.txt 处的文件添加到构建容器中文件系统的根目录。

从构建上下文添加源文件时，它们的路径被解释为相对于上下文的根目录。如果您指定了一个指向构建上下文之外的相对路径，例如 ADD ../something /something，父目录路径会被自动剥离。此示例中的有效源路径变为 ADD something /something。

如果源是目录，则复制目录的内容，包括文件系统元数据。目录本身不会被复制，只会复制其内容。如果包含子目录，这些子目录也会被复制，并与目标位置现有的目录合并。任何冲突都会逐个文件地解决，优先保留正在添加的内容，除非您尝试将目录复制到现有文件上，在这种情况下会引发错误。

如果源是文件，则该文件及其元数据将被复制到目标位置。文件权限将被保留。如果源是文件，且目标位置已存在同名目录，则会引发错误。

如果你通过 stdin 将 Dockerfile 传递给构建命令（docker build - < Dockerfile），则没有构建上下文。在这种情况下，你只能使用 ADD 指令来复制远程文件。你也可以通过 stdin 传递一个 tar 归档文件：（docker build - < archive.tar），归档文件根目录下的 Dockerfile 和归档文件的其余部分将用作构建的上下文。

模式匹配

对于本地文件，每个 <src> 可能包含通配符，并且将使用 Go 语言的 filepath.Match 规则进行匹配。

例如，添加构建上下文根目录下所有以 .png 结尾的文件和目录：

ADD *.png /dest/

在以下示例中，? 是单字符通配符，匹配例如 index.js 和 index.ts。

ADD index.?s /dest/

添加包含特殊字符（例如 [ 和 ]）的文件或目录时，您需要按照 Golang 规则对这些路径进行转义，以防止它们被视为匹配模式。例如，要添加名为 arr[0].txt 的文件，请使用以下命令；

ADD arr[[]0].txt /dest/

添加本地 tar 归档

当使用本地 tar 归档文件作为 ADD 的源，并且该归档文件采用可识别的压缩格式（gzip、bzip2 或 xz，或未压缩）时，该归档文件将被解压并提取到指定目的地。只有本地 tar 归档文件会被提取。如果 tar 归档文件是远程 URL，则不会提取该归档文件，而是将其下载并放置在目的地。

当解压一个目录时，它的行为与 tar -x 相同。 结果是以下各项的并集：

1. 无论目标路径下存在什么，以及
2. 源代码树的内容，在逐个文件的基础上，冲突解决优先采用正在添加的内容。

注意

判断文件是否被识别为已知的压缩格式，完全基于文件的内容，而非文件名。例如，如果一个空文件恰好以 .tar.gz 结尾，它不会被识别为压缩文件，也不会产生任何解压错误消息，而是会直接将该文件复制到目标位置。

从URL添加文件

如果源是远程文件 URL，目标将具有 600 的权限。如果 HTTP 响应包含 Last-Modified 标头，则来自该标头的时间戳将用于设置目标文件的 mtime。但是，就像在 ADD 期间处理的任何其他文件一样，mtime 不包含在确定文件是否已更改以及是否应更新缓存的判断中。

如果目标路径以斜杠结尾，则文件名将从 URL 路径推断。例如，ADD http://example.com/foobar / 将创建文件 /foobar。URL 必须具有非空路径，以便能够发现合适的文件名（http://example.com 不起作用）。

如果目标路径不以斜杠结尾，则目标路径将成为从 URL 下载的文件的文件名。例如，ADD http://example.com/foo /bar 创建文件 /bar。

如果您的 URL 文件受身份验证保护，您需要使用 RUN wget、 RUN curl 或在容器内使用其他工具，因为 ADD 指令 不支持身份验证。

从 Git 仓库添加文件

要将 Git 仓库用作 ADD 的源，您可以将仓库的 HTTP 或 SSH 地址引用为源。该仓库会被克隆到镜像中的指定目标位置。

ADD https://github.com/user/repo.git /mydir/

您可以使用 URL 片段来指定特定的分支、标签、提交或子目录。例如，要添加 buildkit 仓库的 v0.14.1 标签下的 docs 目录：

ADD git@github.com:moby/buildkit.git#v0.14.1:docs /buildkit-docs

有关 Git URL 片段的更多信息， 请参阅 URL 片段。

从 Git 仓库添加时，文件的权限位为 644。如果仓库中的文件设置了可执行位，其权限将被设置为 755。目录的权限设置为 755。

当使用 Git 仓库作为源时，该仓库必须可以从构建上下文中访问。要通过 SSH 添加仓库（无论是公开还是私有），您必须传递 SSH 密钥进行身份验证。例如，给定以下 Dockerfile：

# syntax=docker/dockerfile:1
FROM alpine
ADD git@git.example.com:foo/bar.git /bar

要构建此 Dockerfile，请将 --ssh 标志传递给 docker build，以便将 SSH 代理套接字挂载到构建中。例如：

$ docker build --ssh default .

有关使用机密信息进行构建的更多信息， 请参阅 构建机密。

目的地

如果目标路径以正斜杠开头，则会被解释为绝对路径，源文件将被复制到相对于当前构建阶段根目录的指定目标位置。

# create /abs/test.txt
ADD test.txt /abs/

尾随斜杠是有意义的。例如，ADD test.txt /abs 在 /abs 创建一个文件，而 ADD test.txt /abs/ 创建 /abs/test.txt。

如果目标路径不以斜杠开头，则将其解释为相对于构建容器的工作目录。

WORKDIR /usr/src/app
# create /usr/src/app/rel/test.txt
ADD test.txt rel/

如果目标不存在，则会创建该目标，同时创建其路径中所有缺失的目录。

如果源是文件，且目标路径不以斜杠结尾，则源文件将作为文件写入目标路径。

ADD --keep-git-dir

ADD [--keep-git-dir=<boolean>] <src> ... <dir>

当 <src> 是远程 Git 仓库的 HTTP 或 SSH 地址时， BuildKit 会将 Git 仓库的内容添加到镜像中， 默认排除 .git 目录。

--keep-git-dir=true 标志允许您保留 .git 目录。

# syntax=docker/dockerfile:1
FROM alpine
ADD --keep-git-dir=true https://github.com/moby/buildkit.git#v0.10.1 /buildkit

ADD --checksum

ADD [--checksum=<hash>] <src> ... <dir>

--checksum 标志允许您验证远程资源的校验和。校验和的格式为 <algorithm>:<hash>。支持的算法有 sha256、sha384 和 sha512。

ADD --checksum=sha256:24454f830cdb571e2c4ad15481119c43b3cafd48dd869a9b2945d1036d1dc68d https://mirrors.edge.kernel.org/pub/linux/kernel/Historic/linux-0.01.tar.gz /

--checksum 标志仅支持 HTTP(S) 源。

ADD --chown --chmod

See COPY --chown --chmod.

ADD --link

See COPY --link.

ADD --exclude

See COPY --exclude.

复制

COPY 有两种形式。 对于包含空格的路径，必须使用后一种形式。

COPY [OPTIONS] <src> ... <dest>
COPY [OPTIONS] ["<src>", ... "<dest>"]

可用的 [OPTIONS] 有：

COPY 指令从 <src> 复制新文件或目录，并将它们添加到镜像文件系统的 <dest> 路径下。文件和目录可以从构建上下文、构建阶段、命名上下文或镜像中复制。

ADD 和 COPY 指令在功能上相似，但用途略有不同。 了解更多关于 ADD 和 COPY 之间的区别。

源

您可以使用 COPY 指定多个源文件或目录。最后一个参数必须始终是目标路径。例如，要将构建上下文中的两个文件 file1.txt 和 file2.txt 复制到构建容器中的 /usr/src/things/：

COPY file1.txt file2.txt /usr/src/things/

如果指定多个源文件，无论是直接指定还是使用通配符，那么 目标必须是一个目录（必须以斜杠 / 结尾）。

COPY 接受一个标志 --from=<name>，该标志允许您指定源位置为构建阶段、上下文或镜像。以下示例从名为 build 的阶段复制文件：

FROM golang AS build
WORKDIR /app
RUN --mount=type=bind,target=. go build -o /myapp ./cmd

COPY --from=build /myapp /usr/bin/

有关从命名源复制的更多信息，请参阅 --from 标志。

从构建上下文中复制

从构建上下文复制源文件时，其路径被解释为相对于上下文的根目录。如果您指定了一个通向构建上下文之外的相对路径，例如 COPY ../something /something，父目录路径将被自动剥离。此示例中的有效源路径变为 COPY something /something。

如果源是目录，则复制目录的内容，包括文件系统元数据。目录本身不会被复制，只会复制其内容。如果包含子目录，这些子目录也会被复制，并与目标位置现有的目录合并。任何冲突都会逐个文件地解决，优先保留正在添加的内容，除非您尝试将目录复制到现有文件上，在这种情况下会引发错误。

如果源是文件，则该文件及其元数据将被复制到目标位置。文件权限将被保留。如果源是文件，且目标位置已存在同名目录，则会引发错误。

如果你通过 stdin 将 Dockerfile 传递给构建命令（docker build - < Dockerfile），则没有构建上下文。在这种情况下，你只能使用 COPY 指令，配合 --from 标志，从其他阶段、命名上下文或镜像中复制文件。你也可以通过 stdin 传递一个 tar 归档文件：（docker build - < archive.tar），归档文件根目录下的 Dockerfile 和归档文件的其余部分将用作构建的上下文。

使用 Git 仓库作为构建上下文时，复制文件的权限位为 644。如果仓库中的文件设置了可执行位，其权限将设置为 755。目录的权限设置为 755。

模式匹配

对于本地文件，每个 <src> 可能包含通配符，并且将使用 Go 语言的 filepath.Match 规则进行匹配。

例如，添加构建上下文根目录下所有以 .png 结尾的文件和目录：

COPY *.png /dest/

在以下示例中，? 是单字符通配符，匹配例如 index.js 和 index.ts。

COPY index.?s /dest/

添加包含特殊字符（例如 [ 和 ]）的文件或目录时，您需要按照 Golang 规则对这些路径进行转义，以防止它们被视为匹配模式。例如，要添加名为 arr[0].txt 的文件，请使用以下命令；

COPY arr[[]0].txt /dest/

目的地

如果目标路径以正斜杠开头，则会被解释为绝对路径，源文件将被复制到相对于当前构建阶段根目录的指定目标位置。

# create /abs/test.txt
COPY test.txt /abs/

尾随斜杠是有意义的。例如，COPY test.txt /abs 在 /abs 创建一个文件，而 COPY test.txt /abs/ 创建 /abs/test.txt。

如果目标路径不以斜杠开头，则将其解释为相对于构建容器的工作目录。

WORKDIR /usr/src/app
# create /usr/src/app/rel/test.txt
COPY test.txt rel/

如果目标不存在，则会创建该目标，同时创建其路径中所有缺失的目录。

如果源是文件，且目标路径不以斜杠结尾，则源文件将作为文件写入目标路径。

COPY --from

默认情况下，COPY 指令从构建上下文复制文件。COPY --from 标志允许您改为从镜像、构建阶段或命名上下文复制文件。

COPY [--from=<image|stage|context>] <src> ... <dest>

要从 多阶段构建 中的构建阶段进行复制，请指定要复制的阶段名称。您可以使用带有 AS 指令的 FROM 关键字来指定阶段名称。

# syntax=docker/dockerfile:1
FROM alpine AS build
COPY . .
RUN apk add clang
RUN clang -o /hello hello.c

FROM scratch
COPY --from=build /hello /

您也可以直接从命名上下文（通过 --build-context <name>=<source> 指定）或镜像中复制文件。以下示例展示了如何从官方 Nginx 镜像中复制 nginx.conf 文件。

COPY --from=nginx:latest /etc/nginx/nginx.conf /nginx.conf

您指定的镜像或阶段中 COPY --from 的源路径始终是从文件系统根目录解析的。

COPY --chown --chmod

注意

目前仅支持八进制表示法。非八进制支持在 moby/buildkit#1951 中跟踪。

COPY [--chown=<user>:<group>] [--chmod=<perms> ...] <src> ... <dest>

--chown 和 --chmod 特性仅在用于构建 Linux 容器的 Dockerfiles 中受支持， 并且在 Windows 容器上不起作用。由于用户和组所有权的概念 在 Linux 和 Windows 之间无法转换，因此使用 /etc/passwd 和 /etc/group 将用户名和组名转换为 ID 的做法限制了该特性仅适用于 基于 Linux OS 的容器。

从构建上下文复制的所有文件和目录均以 UID 和 GID 为 0 创建，除非可选的 --chown 标志指定了给定的用户名、组名或 UID/GID 组合来请求所复制内容的特定所有权。--chown 标志的格式允许使用用户名和组名字符串，或以任意组合形式的直接整数 UID 和 GID。如果提供了用户名但没有组名，或者提供了 UID 但没有 GID，则将使用与 UID 相同的数值作为 GID。如果提供了用户名或组名，将使用容器根文件系统的 /etc/passwd 和 /etc/group 文件分别执行从名称到整数 UID 或 GID 的转换。以下示例展示了 --chown 标志的有效定义：

COPY --chown=55:mygroup files* /somedir/
COPY --chown=bin files* /somedir/
COPY --chown=1 files* /somedir/
COPY --chown=10:11 files* /somedir/
COPY --chown=myuser:mygroup --chmod=644 files* /somedir/

如果容器根文件系统不包含 /etc/passwd 或 /etc/group 文件，并且在 --chown 标志中使用了用户名或组名，则构建将在 COPY 操作上失败。使用数字 ID 不需要查找，并且不依赖于容器根文件系统内容。

从 Dockerfile 语法版本 1.10.0 开始， --chmod 标志支持变量插值， 这允许您使用构建参数定义权限位：

# syntax=docker/dockerfile:1.10
FROM alpine
WORKDIR /src
ARG MODE=440
COPY --chmod=$MODE . .

COPY --link

COPY [--link[=<boolean>]] <src> ... <dest>

在 COPY 或 ADD 命令中启用此标志允许您以增强的语义复制文件，其中您的文件在其自己的层上保持独立，并且当先前层上的命令发生更改时不会失效。

当使用 --link 时，您的源文件将被复制到一个空的目标目录中。该目录将变成一个层，链接在您之前状态的顶部。

# syntax=docker/dockerfile:1
FROM alpine
COPY --link /foo /bar

相当于执行两次构建：

FROM alpine

和

FROM scratch
COPY /foo /bar

并将两个镜像的所有层合并在一起。

使用 --link 的优势

使用 --link 可以在后续构建中使用 --cache-from 重用已构建的层，即使之前的层已发生更改。这对于多阶段构建尤为重要，因为如果同一阶段中的任何先前命令发生更改，COPY --from 语句就会失效，从而导致需要再次重新构建中间阶段。使用 --link，先前构建生成的层将被重用并合并到新层之上。这也意味着当基础镜像收到更新时，您可以轻松地对镜像进行变基（rebase），而无需再次执行整个构建过程。在支持此功能的后端中，BuildKit 可以执行此变基操作，而无需在客户端和镜像仓库之间推送或拉取任何层。BuildKit 会检测到这种情况，并且仅创建新的镜像清单（manifest），其中以正确的顺序包含新层和旧层。

BuildKit 能够避免拉取基础镜像的相同行为也可能在使用 --link 且没有其他需要访问基础镜像中文件的命令时发生。在这种情况下，BuildKit 将仅为 COPY 命令构建层，并直接在基础镜像的各层之上将其推送到注册表。

与 --link=false 的不兼容性

当使用 --link 时，不允许 COPY/ADD 命令读取先前状态的任何文件。这意味着如果在前一状态中目标目录是包含符号链接的路径，COPY/ADD 无法跟随它。在最终镜像中，使用 --link 创建的目标路径将始终是仅包含目录的路径。

如果您不依赖于目标路径中跟随符号链接的行为，建议始终使用 --link。--link 的性能相当于或优于默认行为，并且它为缓存重用创造了更好的条件。

COPY --parents

注意

尚无稳定语法版本，请使用 docker/dockerfile:1.7-labs 版本。

COPY [--parents[=<boolean>]] <src> ... <dest>

--parents 标志为 src 条目保留父目录。此标志默认为 false。

# syntax=docker/dockerfile:1-labs
FROM scratch

COPY ./x/a.txt ./y/a.txt /no_parents/
COPY --parents ./x/a.txt ./y/a.txt /parents/

# /no_parents/a.txt
# /parents/x/a.txt
# /parents/y/a.txt

此行为类似于 Linux cp 实用程序的 --parents 或 rsync --relative 标志。

与 Rsync 一样，可以通过在源路径中插入一个点和一个斜杠 (./) 来限制保留哪些父目录。如果存在这样的点，则仅保留该点之后的父目录。这对于使用 --from 在阶段之间进行复制可能特别有用，因为此时源路径需要是绝对路径。

# syntax=docker/dockerfile:1-labs
FROM scratch

COPY --parents ./x/./y/*.txt /parents/

# Build context:
# ./x/y/a.txt
# ./x/y/b.txt
#
# Output:
# /parents/y/a.txt
# /parents/y/b.txt

请注意，如果未指定 --parents 标志，任何文件名冲突都会导致 Linux cp 操作失败并显示明确的错误消息 （cp: will not overwrite just-created './x/a.txt' with './y/a.txt'），而 Buildkit 则会静默覆盖目标位置的文件。

虽然对于仅包含一个 src 条目的 COPY 指令来说，保留目录结构是可能的，但通常情况下，将生成的镜像中的层数保持在尽可能低的水平会更有利。因此，通过使用 --parents 标志，Buildkit 能够将多个 COPY 指令打包在一起，同时保持目录结构完整。

COPY --exclude

注意

尚无稳定语法版本，请使用 docker/dockerfile:1.7-labs 版本。

COPY [--exclude=<path> ...] <src> ... <dest>

--exclude 标志允许您指定要排除的文件路径表达式。

路径表达式遵循与 <src> 相同的格式， 支持通配符和使用 Go 语言的 filepath.Match 规则进行匹配。 例如，要添加所有以 "hom" 开头的文件，并排除带有 .txt 扩展名的文件：

# syntax=docker/dockerfile:1-labs
FROM scratch

COPY --exclude=*.txt hom* /mydir/

你可以为 --exclude 指令多次指定 COPY 选项。 多个 --excludes 是与其模式匹配但不被复制的文件， 即使文件路径与 <src> 中指定的模式匹配。 要添加所有以 "hom" 开头的文件，排除带有 .txt 或 .md 扩展名的文件：

# syntax=docker/dockerfile:1-labs
FROM scratch

COPY --exclude=*.txt --exclude=*.md hom* /mydir/

入口点（ENTRYPOINT）

ENTRYPOINT 允许您配置一个可作为可执行文件运行的容器。

ENTRYPOINT 有两种可能的形式：

• Exec 形式，这是首选的形式：

  ENTRYPOINT ["executable", "param1", "param2"]

• Shell 形式：

  ENTRYPOINT command param1 param2

有关不同形式的更多信息，请参阅 Shell 和 exec 形式。

以下命令使用默认内容从 nginx 启动容器，并在端口 80 上监听：

$ docker run -i -t --rm -p 80:80 nginx

命令行参数 docker run <image> 将被追加到 exec 形式 ENTRYPOINT 中的所有元素之后，并将覆盖使用 CMD 指定的所有元素。

这允许将参数传递给入口点，即 docker run <image> -d 将把 -d 参数传递给入口点。您可以使用 docker run --entrypoint 标志覆盖 ENTRYPOINT 指令。

ENTRYPOINT 的 shell 形式阻止使用任何 CMD 命令行参数。它还以 /bin/sh -c 子命令的形式启动 ENTRYPOINT，而该子命令不传递信号。这意味着该可执行文件将不是容器的 PID 1，也不会接收 Unix 信号。在这种情况下，您的可执行文件不会收到来自 docker stop <container> 的 SIGTERM。

只有 Dockerfile 中的最后一条 ENTRYPOINT 指令会生效。

Exec 格式 ENTRYPOINT 示例

您可以使用 ENTRYPOINT 的 exec 形式来设置相当稳定的默认命令和参数，然后使用 CMD 的任一形式来设置更有可能被更改的附加默认值。

FROM ubuntu
ENTRYPOINT ["top", "-b"]
CMD ["-c"]

当您运行容器时，您可以看到 top 是唯一的进程：

$ docker run -it --rm --name test  top -H

top - 08:25:00 up  7:27,  0 users,  load average: 0.00, 0.01, 0.05
Threads:   1 total,   1 running,   0 sleeping,   0 stopped,   0 zombie
%Cpu(s):  0.1 us,  0.1 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem:   2056668 total,  1616832 used,   439836 free,    99352 buffers
KiB Swap:  1441840 total,        0 used,  1441840 free.  1324440 cached Mem

  PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND
    1 root      20   0   19744   2336   2080 R  0.0  0.1   0:00.04 top

要进一步检查结果，可以使用 docker exec：

$ docker exec -it test ps aux

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  2.6  0.1  19752  2352 ?        Ss+  08:24   0:00 top -b -H
root         7  0.0  0.1  15572  2164 ?        R+   08:25   0:00 ps aux

你可以优雅地使用 docker stop test 请求 top 关闭。

以下 Dockerfile 展示了使用 ENTRYPOINT 在前台运行 Apache（即作为 PID 1）：

FROM debian:stable
RUN apt-get update && apt-get install -y --force-yes apache2
EXPOSE 80 443
VOLUME ["/var/www", "/var/log/apache2", "/etc/apache2"]
ENTRYPOINT ["/usr/sbin/apache2ctl", "-D", "FOREGROUND"]

如果您需要为单个可执行文件编写启动脚本，可以使用 exec 和 gosu 命令来确保最终的可执行文件接收到 Unix 信号：

#!/usr/bin/env bash
set -e

if [ "$1" = 'postgres' ]; then
    chown -R postgres "$PGDATA"

    if [ -z "$(ls -A "$PGDATA")" ]; then
        gosu postgres initdb
    fi

    exec gosu postgres "$@"
fi

exec "$@"

最后，如果您需要在关闭时进行一些额外的清理工作（或与其他容器通信），或者正在协调多个可执行文件，您可能需要确保 ENTRYPOINT 脚本接收 Unix 信号，将其传递，然后进行更多工作：

#!/bin/sh
# Note: I've written this using sh so it works in the busybox container too

# USE the trap if you need to also do manual cleanup after the service is stopped,
#     or need to start multiple services in the one container
trap "echo TRAPed signal" HUP INT QUIT TERM

# start service in background here
/usr/sbin/apachectl start

echo "[hit enter key to exit] or run 'docker stop <container>'"
read

# stop service and clean up here
echo "stopping apache"
/usr/sbin/apachectl stop

echo "exited $0"

如果您使用 docker run -it --rm -p 80:80 --name test apache 运行此镜像， 则可以使用 docker exec 或 docker top 检查容器的进程， 然后让脚本停止 Apache：

$ docker exec -it test ps aux

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.1  0.0   4448   692 ?        Ss+  00:42   0:00 /bin/sh /run.sh 123 cmd cmd2
root        19  0.0  0.2  71304  4440 ?        Ss   00:42   0:00 /usr/sbin/apache2 -k start
www-data    20  0.2  0.2 360468  6004 ?        Sl   00:42   0:00 /usr/sbin/apache2 -k start
www-data    21  0.2  0.2 360468  6000 ?        Sl   00:42   0:00 /usr/sbin/apache2 -k start
root        81  0.0  0.1  15572  2140 ?        R+   00:44   0:00 ps aux

$ docker top test

PID                 USER                COMMAND
10035               root                {run.sh} /bin/sh /run.sh 123 cmd cmd2
10054               root                /usr/sbin/apache2 -k start
10055               33                  /usr/sbin/apache2 -k start
10056               33                  /usr/sbin/apache2 -k start

$ /usr/bin/time docker stop test

test
real	0m 0.27s
user	0m 0.03s
sys	0m 0.03s

注意

您可以使用 --entrypoint 覆盖 ENTRYPOINT 设置， 但这只能设置要执行的Binaries（不会使用 sh -c）。

Shell形式 ENTRYPOINT 示例

您可以为 ENTRYPOINT 指定一个普通字符串，它将在 /bin/sh -c 中执行。 这种形式将使用 shell 处理来替换 shell 环境变量， 并且会忽略任何 CMD 或 docker run 命令行参数。 为了确保 docker stop 能正确地向任何长时间运行的 ENTRYPOINT 可执行文件发送信号， 您需要记住使用 exec 来启动它：

FROM ubuntu
ENTRYPOINT exec top -b

当你运行此镜像时，你会看到单个 PID 1 进程：

$ docker run -it --rm --name test top

Mem: 1704520K used, 352148K free, 0K shrd, 0K buff, 140368121167873K cached
CPU:   5% usr   0% sys   0% nic  94% idle   0% io   0% irq   0% sirq
Load average: 0.08 0.03 0.05 2/98 6
  PID  PPID USER     STAT   VSZ %VSZ %CPU COMMAND
    1     0 root     R     3164   0%   0% top -b

在 docker stop 时正常退出：

$ /usr/bin/time docker stop test

test
real	0m 0.20s
user	0m 0.02s
sys	0m 0.04s

如果您忘记在 ENTRYPOINT 的开头添加 exec：

FROM ubuntu
ENTRYPOINT top -b
CMD -- --ignored-param1

然后您可以运行它（为下一步指定一个名称）：

$ docker run -it --name test top --ignored-param2

top - 13:58:24 up 17 min,  0 users,  load average: 0.00, 0.00, 0.00
Tasks:   2 total,   1 running,   1 sleeping,   0 stopped,   0 zombie
%Cpu(s): 16.7 us, 33.3 sy,  0.0 ni, 50.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
MiB Mem :   1990.8 total,   1354.6 free,    231.4 used,    404.7 buff/cache
MiB Swap:   1024.0 total,   1024.0 free,      0.0 used.   1639.8 avail Mem

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND
    1 root      20   0    2612    604    536 S   0.0   0.0   0:00.02 sh
    6 root      20   0    5956   3188   2768 R   0.0   0.2   0:00.00 top

您可以从 top 的输出中看出，指定的 ENTRYPOINT 不是 PID 1。

如果你随后运行 docker stop test，容器将无法正常退出 - 在超时之后，stop 命令将被强制发送一个 SIGKILL：

$ docker exec -it test ps waux

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.4  0.0   2612   604 pts/0    Ss+  13:58   0:00 /bin/sh -c top -b --ignored-param2
root         6  0.0  0.1   5956  3188 pts/0    S+   13:58   0:00 top -b
root         7  0.0  0.1   5884  2816 pts/1    Rs+  13:58   0:00 ps waux

$ /usr/bin/time docker stop test

test
real	0m 10.19s
user	0m 0.04s
sys	0m 0.03s

了解 CMD 和 ENTRYPOINT 如何交互

CMD 和 ENTRYPOINT 指令都定义了运行容器时执行的命令。 只有少数规则描述了它们的协作方式。

1. Dockerfile 应至少指定 CMD 或 ENTRYPOINT 命令中的一个。

2. ENTRYPOINT 应该在将容器作为可执行文件使用时被定义。

3. CMD 应作为定义 ENTRYPOINT 命令默认参数的一种方式， 或用于在容器中执行临时命令。

4. CMD 将在使用替代参数运行容器时被覆盖。

下表显示了不同 ENTRYPOINT / CMD 组合所执行的命令：

注意

如果基础镜像定义了 CMD，设置 ENTRYPOINT 会将 CMD 重置为空值。在这种情况下，必须在当前镜像中定义 CMD 才能使其具有值。

卷

VOLUME ["/data"]

VOLUME 指令创建一个具有指定名称的挂载点，并将其标记为持有来自本机主机或其他容器的外部挂载卷。该值可以是 JSON 数组 VOLUME ["/var/log/"]，或者是带有多个参数的普通字符串，例如 VOLUME /var/log 或 VOLUME /var/log /var/db。有关通过 Docker 客户端获取更多信息/示例和挂载说明，请参阅 通过卷共享目录 文档。

docker run 命令使用基础镜像指定位置存在的任何数据初始化新创建的卷。例如，考虑以下 Dockerfile 片段：

FROM ubuntu
RUN mkdir /myvol
RUN echo "hello world" > /myvol/greeting
VOLUME /myvol

此 Dockerfile 生成的镜像会导致 docker run 在 /myvol 处创建新的挂载点，并将 greeting 文件复制到新创建的卷中。

关于指定卷的说明

请牢记 Dockerfile 中关于数据卷的以下事项。

• 基于 Windows 的容器中的卷：使用基于 Windows 的容器时， 容器内卷的目标必须是以下之一：

  • 一个不存在或空的目录
  • 除 C: 以外的驱动器

• 在 Dockerfile 中更改卷：如果在声明卷之后有任何构建步骤更改了卷中的数据，那么在使用传统构建器时，这些更改将被丢弃。而在使用 Buildkit 时，这些更改将被保留。

• JSON 格式化: 该列表被解析为 JSON 数组。 您必须使用双引号 (") 而不是单引号 (') 将单词括起来。

• 主机目录在容器运行时声明：主机目录（挂载点）本质上依赖于主机。这是为了保持镜像的可移植性，因为无法保证给定的主机目录在所有主机上都可用。因此，您不能在 Dockerfile 中挂载主机目录。VOLUME 指令不支持指定 host-dir 参数。您必须在创建或运行容器时指定挂载点。

用户

USER <user>[:<group>]

or

USER <UID>[:<GID>]

USER 指令设置用户名（或 UID）以及可选的用户组（或 GID），作为当前阶段剩余部分的默认用户和用户组。指定的用户用于 RUN 指令，并在运行时运行相关的 ENTRYPOINT 和 CMD 命令。

请注意，为用户指定组时，该用户将仅拥有指定的组成员身份。任何其他配置的组成员身份将被忽略。

警告

当用户没有主组时，镜像（或后续指令）将以 root 组运行。

在 Windows 上，如果用户不是内置帐户，则必须先创建用户。 这可以通过在 Dockerfile 中调用 net user 命令来完成。

FROM microsoft/windowsservercore
# Create Windows user in the container
RUN net user /add patrick
# Set it for subsequent commands
USER patrick

工作目录（WORKDIR）

WORKDIR /path/to/workdir

WORKDIR 指令为 Dockerfile 中紧随其后的 RUN、CMD、 ENTRYPOINT、COPY 和 ADD 指令设置工作目录。 如果 WORKDIR 不存在，即使它在后续的 Dockerfile 指令中未被使用，也会被创建。

WORKDIR 指令可以在 Dockerfile 中多次使用。如果提供了相对路径，它将相对于上一个 WORKDIR 指令的路径。例如：

WORKDIR /a
WORKDIR b
WORKDIR c
RUN pwd

此 Dockerfile 中最后一个 pwd 命令的输出将是 /a/b/c。

WORKDIR 指令可以解析先前使用 ENV 设置的环境变量。您只能使用在 Dockerfile 中显式设置的环境变量。 例如：

ENV DIRPATH=/path
WORKDIR $DIRPATH/$DIRNAME
RUN pwd

此 Dockerfile 中最后一个 pwd 命令的输出将是 /path/$DIRNAME

如果未指定，默认工作目录为 /。实际上，如果您不是从头开始构建 Dockerfile (FROM scratch)， 那么 WORKDIR 很可能由您使用的基础镜像设置。

因此，为了避免在未知目录中出现意外操作，最佳做法是显式设置您的 WORKDIR。

ARG

ARG <name>[=<default value>] [<name>[=<default value>]...]

ARG 指令定义了一个变量，用户可以在构建时使用 --build-arg <varname>=<value> 标志通过 docker build 命令将其传递给构建器。

警告

不建议使用构建参数传递机密信息，例如用户凭据、API 令牌等。构建参数在 docker history 命令和 max 模式来源证明中可见，如果您使用 Buildx GitHub Actions 且您的 GitHub 仓库是公开的，这些证明默认会附加到镜像中。

请参阅 RUN --mount=type=secret 部分， 了解在构建镜像时使用密钥的安全方法。

Dockerfile 可能包含一个或多个 ARG 条指令。例如，以下是一个有效的 Dockerfile：

FROM busybox
ARG user1
ARG buildno
# ...

默认值

一条 ARG 指令可以选择性地包含一个默认值：

FROM busybox
ARG user1=someuser
ARG buildno=1
# ...

如果 ARG 指令具有默认值，并且在构建时未传递任何值，则构建器使用该默认值。

范围

一个 ARG 变量从 Dockerfile 中声明它的那一行开始生效。例如，考虑这个 Dockerfile：

FROM busybox
USER ${username:-some_user}
ARG username
USER $username
# ...

用户通过调用以下命令构建此文件：

$ docker build --build-arg username=what_user .

• 第 2 行的 USER 指令求值为 some_user 回退值， 因为 username 变量尚未声明。
• username 变量在第 3 行声明，从该行开始，可以在 Dockerfile 指令中引用它。
• 第 4 行的 USER 指令计算结果为 what_user，因为在那一刻 username 参数的值为 what_user，该值是在命令行中传递的。在通过 ARG 指令定义之前，任何对变量的使用都会导致空字符串。

在构建阶段中声明的 ARG 变量会被基于该阶段的其他阶段自动继承。不相关的构建阶段无法访问该变量。若要在多个不同的阶段中使用某个参数，每个阶段都必须包含 ARG 指令，或者它们都必须基于同一个 Dockerfile 中声明了该变量的共享基础阶段。

欲了解更多信息，请参阅 变量作用域。

使用 ARG 变量

您可以使用 ARG 或 ENV 指令来指定可供 RUN 指令使用的变量。使用 ENV 指令定义的环境变量总是会覆盖同名的 ARG 指令。请考虑 这个包含 ENV 和 ARG 指令的 Dockerfile。

FROM ubuntu
ARG CONT_IMG_VER
ENV CONT_IMG_VER=v1.0.0
RUN echo $CONT_IMG_VER

然后，假设此镜像使用以下命令构建：

$ docker build --build-arg CONT_IMG_VER=v2.0.1 .

在这种情况下，RUN 指令使用 v1.0.0 而不是用户传递的 ARG 设置：v2.0.1 此行为类似于 shell 脚本，其中局部作用域的变量会覆盖作为参数传递或从环境继承的变量，从其定义点开始生效。

使用上面的示例但指定不同的 ENV 你可以在 ARG 和 ENV 指令之间创建更有用的交互：

FROM ubuntu
ARG CONT_IMG_VER
ENV CONT_IMG_VER=${CONT_IMG_VER:-v1.0.0}
RUN echo $CONT_IMG_VER

与 ARG 指令不同，ENV 值总是保存在构建好的镜像中。考虑一个不带 --build-arg 标志的 docker build：

$ docker build .

使用此 Dockerfile 示例，CONT_IMG_VER 仍然保留在镜像中，但其值将是 v1.0.0，因为它是第 3 行中由 ENV 指令设置的默认值。

本示例中的变量扩展技术允许您从命令行传递参数，并通过利用 ENV 指令将其持久化在最终镜像中。变量扩展仅支持 有限的 Dockerfile 指令集。

预定义 ARG

Docker 有一组预定义的 ARG 变量，您可以在 Dockerfile 中没有相应 ARG 指令的情况下使用它们。

• HTTP_PROXY
• http_proxy
• HTTPS_PROXY
• https_proxy
• FTP_PROXY
• ftp_proxy
• NO_PROXY
• no_proxy
• ALL_PROXY
• all_proxy

要使用这些，请在命令行中使用 --build-arg 标志传递它们，例如：

$ docker build --build-arg HTTPS_PROXY=https://my-proxy.example.com .

默认情况下,这些预定义变量被排除在 docker history 的输出之外。排除它们可以降低在 HTTP_PROXY 变量中意外泄露敏感认证信息的风险。

例如，考虑使用 --build-arg HTTP_PROXY=http://user:pass@proxy.lon.example.com 构建以下 Dockerfile

FROM ubuntu
RUN echo "Hello World"

在这种情况下，HTTP_PROXY 变量的值在 docker history 中不可用，并且未被缓存。如果您更改位置，并且您的代理服务器更改为 http://user:pass@proxy.sfo.example.com，随后的构建不会导致缓存未命中。

如果您需要覆盖此行为，则可以通过在 Dockerfile 中添加 ARG 语句来实现，如下所示：

FROM ubuntu
ARG HTTP_PROXY
RUN echo "Hello World"

构建此 Dockerfile 时，HTTP_PROXY 会保留在 docker history 中，更改其值会使构建缓存失效。

全局范围内的自动平台 ARGs

此功能仅在使用 BuildKit 后端时可用。

BuildKit 支持一组预定义的 ARG 变量，其中包含有关执行构建的节点平台（构建平台）和生成的镜像平台（目标平台）的信息。可以使用 docker build 上的 --platform 标志来指定目标平台。

以下 ARG 个变量会被自动设置：

• TARGETPLATFORM - 构建结果的平台。例如 linux/amd64, linux/arm/v7, windows/amd64。
• TARGETOS - TARGETPLATFORM 的 OS 组件
• TARGETARCH - TARGETPLATFORM 的架构组件
• TARGETVARIANT - TARGETPLATFORM 的变体组件
• BUILDPLATFORM - 执行构建的节点平台。
• BUILDOS - BUILDPLATFORM 的 OS 组件
• BUILDARCH - BUILDPLATFORM 的架构组件
• BUILDVARIANT - BUILDPLATFORM 的变体组件

这些参数是在全局作用域中定义的，因此不会自动在构建阶段内部或您的 RUN 命令中可用。要在构建阶段内暴露其中一个参数，请在不指定值的情况下重新定义它。

例如：

FROM alpine
ARG TARGETPLATFORM
RUN echo "I'm building for $TARGETPLATFORM"

BuildKit 内置构建参数

示例：保留 .git 目录

使用 Git 上下文时，.git 目录不会在检出时保留。如果您想在构建过程中获取 git 信息，保留它会很有用：

# syntax=docker/dockerfile:1
FROM alpine
WORKDIR /src
RUN --mount=target=. \
  make REVISION=$(git rev-parse HEAD) build

$ docker build --build-arg BUILDKIT_CONTEXT_KEEP_GIT_DIR=1 https://github.com/user/repo.git#main

对构建缓存的影响

ARG 变量不会像 ENV 变量那样持久化到构建的镜像中。 然而，ARG 变量确实以类似的方式影响构建缓存。如果 Dockerfile 定义了一个 ARG 变量，其值与之前的构建不同， 那么在其首次使用时会发生“缓存未命中”，而不是在其定义时。特别 是，所有紧跟在 ARG 指令之后的 RUN 指令都会隐式地使用 ARG 变量（作为环境变量），因此可能导致缓存未命中。 除非 Dockerfile 中有匹配的 ARG 语句，否则所有预定义的 ARG 变量都免于缓存。

例如，考虑这两个 Dockerfile：

FROM ubuntu
ARG CONT_IMG_VER
RUN echo $CONT_IMG_VER

FROM ubuntu
ARG CONT_IMG_VER
RUN echo hello

如果在命令行中指定 --build-arg CONT_IMG_VER=<value>，在这两种情况下，第 2 行的规范不会导致缓存未命中；第 3 行确实会导致缓存未命中。ARG CONT_IMG_VER 导致 RUN 行被识别为与运行 CONT_IMG_VER=<value> echo hello 相同，因此如果 <value> 发生变化，就会出现缓存未命中。

考虑同一命令行下的另一个示例：

FROM ubuntu
ARG CONT_IMG_VER
ENV CONT_IMG_VER=$CONT_IMG_VER
RUN echo $CONT_IMG_VER

在此示例中，缓存未命中发生在第 3 行。发生未命中是因为 ENV 中的变量值引用了 ARG 变量，并且该 变量通过命令行进行了更改。在此示例中，ENV 命令导致镜像包含该值。

如果一条 ENV 指令覆盖了同名的 ARG 指令，如下面的 Dockerfile：

FROM ubuntu
ARG CONT_IMG_VER
ENV CONT_IMG_VER=hello
RUN echo $CONT_IMG_VER

第 3 行不会导致缓存未命中，因为 CONT_IMG_VER 的值是一个常量 (hello)。因此，在 RUN (第 4 行) 上使用的环境变量和值在构建之间不会改变。

ONBUILD

ONBUILD <INSTRUCTION>

ONBUILD 指令向镜像添加一个触发器指令，以便在稍后该镜像作为其他构建的基础镜像时执行。该触发器将在下游构建的上下文中执行，就像它被插入到下游 Dockerfile 中的 FROM 指令之后一样。

如果您正在构建一个将作为基础镜像来构建其他镜像的镜像，例如应用程序构建环境或可以使用用户特定配置进行自定义的守护进程，这非常有用。

例如，如果您的镜像是一个可重用的 Python 应用程序构建器，它将要求将应用程序源代码添加到特定目录中，并且之后可能需要调用构建脚本。您现在不能直接调用 ADD 和 RUN，因为您还没有访问应用程序源代码的权限，而且每次应用程序构建时源代码都会有所不同。您可以简单地向应用程序开发者提供一个样板 Dockerfile 以便将其复制粘贴到他们的应用程序中，但这效率低下、容易出错且难以更新，因为它会与应用程序特定的代码混合在一起。

解决方案是使用 ONBUILD 注册预先指令，以便在下一个构建阶段稍后运行。

它是这样工作的：

1. 当遇到 ONBUILD 指令时，构建器会向正在构建的镜像的元数据中添加一个触发器。该指令不会以其他方式影响当前的构建。
2. 在构建结束时，所有触发器的列表存储在镜像清单中，位于键 OnBuild 下。可以使用 docker inspect 命令检查它们。
3. 之后，该镜像可以使用 FROM 指令作为新构建的基础。作为处理 FROM 指令的一部分，下游构建器会查找 ONBUILD 触发器，并按照它们注册的相同顺序执行它们。如果任何触发器失败，FROM 指令将被中止，进而导致构建失败。如果所有触发器都成功，FROM 指令将完成，构建照常继续。
4. 触发器在执行后会从最终镜像中清除。换句话说，它们不会被“孙”构建继承。

例如，您可以添加如下内容：

ONBUILD ADD . /app/src
ONBUILD RUN /usr/local/bin/python-build --dir /app/src

从阶段、镜像或上下文复制或挂载

从 Dockerfile 语法 1.11 开始，您可以在从其他阶段、镜像或构建上下文复制或挂载文件的指令中使用 ONBUILD。例如：

# syntax=docker/dockerfile:1.11
FROM alpine AS baseimage
ONBUILD COPY --from=build /usr/bin/app /app
ONBUILD RUN --mount=from=config,target=/opt/appconfig ...

如果 from 的来源是一个构建阶段，则该阶段必须在触发 ONBUILD 的 Dockerfile 中定义。如果是命名上下文，则该上下文必须传递给下游构建。

ONBUILD 限制

• 不允许使用 ONBUILD ONBUILD 链接 ONBUILD 条指令。
• ONBUILD 指令可能不会触发 FROM 或 MAINTAINER 指令。

STOPSIGNAL

STOPSIGNAL signal

STOPSIGNAL 指令设置发送给容器以使其退出的系统调用信号。该信号可以是格式为 SIG<NAME> 的信号名称，例如 SIGKILL，或者是与内核系统调用表中的位置匹配的无符号数字，例如 9。如果未定义，则默认为 SIGTERM。

可以使用 docker run 和 docker create 上的 --stop-signal 标志来覆盖每个容器的镜像默认停止信号。

健康检查

HEALTHCHECK 指令有两种形式：

• HEALTHCHECK [OPTIONS] CMD command (通过在容器内运行命令来检查容器健康状况)
• HEALTHCHECK NONE (禁用从基础镜像继承的任何健康检查)

HEALTHCHECK 指令告诉 Docker 如何测试容器以检查它是否仍在工作。这可以检测到诸如 Web 服务器陷入无限循环且无法处理新连接的情况，即使服务器进程仍在运行。

当容器指定了健康检查时，除了其正常状态外，它还有一个健康状态。此状态初始值为 starting。每当健康检查通过时，它变为 healthy（无论之前处于何种状态）。在一定次数的连续失败后，它变为 unhealthy。

可以出现在 CMD 之前的选项有：

• --interval=DURATION (默认: 30s)
• --timeout=DURATION (默认: 30s)
• --start-period=DURATION (默认: 0s)
• --start-interval=DURATION (默认: 5s)
• --retries=N (默认: 3)

健康检查将在容器启动后的 interval 秒首次运行，然后在每次上一次检查完成后的 interval 秒再次运行。

如果单次检查运行时间超过 timeout 秒，则认为检查失败。

需要连续 重试 次健康检查失败，容器才会被视为 unhealthy。

启动期限 为需要时间进行引导启动的容器提供了初始化时间。 在该期限内发生的探测失败将不计入最大重试次数。 然而，如果在启动期限内健康检查成功，则容器被视为已启动， 后续所有的连续失败都将计入最大重试次数。

启动间隔 是启动期间健康检查之间的时间。 此选项需要 Docker Engine 版本 25.0 或更高版本。

Dockerfile 中只能有一条 HEALTHCHECK 指令。如果你列出了多条，那么只有最后一条 HEALTHCHECK 会生效。

CMD 关键字之后的命令可以是 shell 命令（例如 HEALTHCHECK CMD /bin/check-running）或 exec 数组（与其他 Dockerfile 命令一样；详情请参见 ENTRYPOINT）。

该命令的退出状态码指示容器的健康状态。 可能的值有：

• 0: 成功 - 容器健康且已就绪
• 1: unhealthy - 容器工作不正常
• 2: 已保留 - 请勿使用此退出代码

例如，每隔五分钟左右检查一次 Web 服务器能否在三秒内提供网站主页：

HEALTHCHECK --interval=5m --timeout=3s \
  CMD curl -f http://localhost/ || exit 1

为了帮助调试失败的探测，命令在 stdout 或 stderr 上写入的任何输出文本（UTF-8 编码）都将存储在健康状态中，并且可以使用 docker inspect 进行查询。此类输出应保持简短（当前仅存储前 4096 字节）。

当容器的健康状态发生变化时，会生成一个带有新状态的 health_status 事件。

Shell

SHELL ["executable", "parameters"]

SHELL 指令允许覆盖用于命令 shell 格式的默认 shell。Linux 上的默认 shell 是 ["/bin/sh", "-c"]，Windows 上的是 ["cmd", "/S", "/C"]。SHELL 指令必须在 Dockerfile 中以 JSON 格式编写。

SHELL 指令在 Windows 上特别有用，因为 Windows 有两个常用且截然不同的原生 shell：cmd 和 powershell，以及包括 sh 在内的其他可用 shell。

SHELL 指令可以出现多次。每条 SHELL 指令会覆盖所有之前的 SHELL 指令，并影响所有后续指令。例如：

FROM microsoft/windowsservercore

# Executed as cmd /S /C echo default
RUN echo default

# Executed as cmd /S /C powershell -command Write-Host default
RUN powershell -command Write-Host default

# Executed as powershell -command Write-Host hello
SHELL ["powershell", "-command"]
RUN Write-Host hello

# Executed as cmd /S /C echo hello
SHELL ["cmd", "/S", "/C"]
RUN echo hello

在 Dockerfile 中使用 shell 形式时，以下指令可能会受到 SHELL 指令的影响：RUN、CMD 和 ENTRYPOINT。

下面的示例是 Windows 上的一种常见模式，可以通过使用 SHELL 指令来简化：

RUN powershell -command Execute-MyCmdlet -param1 "c:\foo.txt"

构建器调用的命令将是：

cmd /S /C powershell -command Execute-MyCmdlet -param1 "c:\foo.txt"

这样做效率低下有两个原因。首先，启动了一个不必要的 cmd.exe 命令处理器（即 shell）。其次，shell 形式中的每条 RUN 指令都需要在命令前额外添加 powershell -command 前缀。

为了使这一过程更高效，可以采用以下两种机制之一。一种方法是使用 RUN 命令的 JSON 形式，例如：

RUN ["powershell", "-command", "Execute-MyCmdlet", "-param1 \"c:\\foo.txt\""]

虽然 JSON 格式明确且不使用不必要的 cmd.exe， 但它确实需要更多的冗余，通过双引号和转义来实现。另一种 机制是使用 SHELL 指令和 shell 格式， 为 Windows 用户提供更自然的语法，特别是当与 escape 解析器指令结合使用时：

# escape=`

FROM microsoft/nanoserver
SHELL ["powershell","-command"]
RUN New-Item -ItemType Directory C:\Example
ADD Execute-MyCmdlet.ps1 c:\example\
RUN c:\example\Execute-MyCmdlet -sample 'hello world'

结果为：

PS E:\myproject> docker build -t shell .

Sending build context to Docker daemon 4.096 kB
Step 1/5 : FROM microsoft/nanoserver
 ---> 22738ff49c6d
Step 2/5 : SHELL powershell -command
 ---> Running in 6fcdb6855ae2
 ---> 6331462d4300
Removing intermediate container 6fcdb6855ae2
Step 3/5 : RUN New-Item -ItemType Directory C:\Example
 ---> Running in d0eef8386e97


    Directory: C:\


Mode         LastWriteTime              Length Name
----         -------------              ------ ----
d-----       10/28/2016  11:26 AM              Example


 ---> 3f2fbf1395d9
Removing intermediate container d0eef8386e97
Step 4/5 : ADD Execute-MyCmdlet.ps1 c:\example\
 ---> a955b2621c31
Removing intermediate container b825593d39fc
Step 5/5 : RUN c:\example\Execute-MyCmdlet 'hello world'
 ---> Running in be6d8e63fe75
hello world
 ---> 8e559e9bf424
Removing intermediate container be6d8e63fe75
Successfully built 8e559e9bf424
PS E:\myproject>

SHELL 指令也可用于修改 shell 的操作方式。例如，在 Windows 上使用 SHELL cmd /S /C /V:ON|OFF，可以修改延迟环境变量扩展语义。

如果需要替代 shell，例如 zsh、csh、tcsh 等，SHELL 指令也可以在 Linux 上使用。

Here-Documents

Here-documents 允许将后续 Dockerfile 行重定向到 RUN 或 COPY 个命令的输入。如果此类命令包含 here-document，Dockerfile 会将后续行（直到仅包含 here-doc 定界符的行为止）视为同一命令的一部分。

示例：运行多行脚本

# syntax=docker/dockerfile:1
FROM debian
RUN <<EOT bash
  set -ex
  apt-get update
  apt-get install -y vim
EOT

如果命令仅包含一个 here-document，其内容将使用默认 shell 进行评估。

# syntax=docker/dockerfile:1
FROM debian
RUN <<EOT
  mkdir -p foo/bar
EOT

或者，可以使用 shebang 头来定义解释器。

# syntax=docker/dockerfile:1
FROM python:3.6
RUN <<EOT
#!/usr/bin/env python
print("hello world")
EOT

更复杂的示例可能会使用多个 here-document。

# syntax=docker/dockerfile:1
FROM alpine
RUN <<FILE1 cat > file1 && <<FILE2 cat > file2
I am
first
FILE1
I am
second
FILE2

示例：创建内联文件

使用 COPY 指令，你可以用 here-doc 指示符替换源参数，将 here-document 的内容直接写入文件。以下示例使用 COPY 指令创建包含 hello world 的 greeting.txt 文件。

# syntax=docker/dockerfile:1
FROM alpine
COPY <<EOF greeting.txt
hello world
EOF

常规的 here-doc 变量扩展和制表符去除规则 适用。 以下示例展示了一个小型 Dockerfile，它使用带有 here-document 的 COPY 指令 创建了一个 hello.sh 脚本文件。

# syntax=docker/dockerfile:1
FROM alpine
ARG FOO=bar
COPY <<-EOT /script.sh
  echo "hello ${FOO}"
EOT
ENTRYPOINT ash /script.sh

在这种情况下，文件脚本打印“hello bar”，因为当执行 COPY 指令时，变量被展开。

$ docker build -t heredoc .
$ docker run heredoc
hello bar

相反，如果您引用了 here-document 单词 EOT 的任何部分，变量将不会在构建时展开。

# syntax=docker/dockerfile:1
FROM alpine
ARG FOO=bar
COPY <<-"EOT" /script.sh
  echo "hello ${FOO}"
EOT
ENTRYPOINT ash /script.sh

注意，这里的 ARG FOO=bar 是多余的，可以移除。该变量在脚本被调用时于运行时进行解释：

$ docker build -t heredoc .
$ docker run -e FOO=world heredoc
hello world

Dockerfile 示例

有关 Dockerfile 的示例，请参考：

• Docker容器平台 构建最佳实践页面
• 开始 入门教程
• The 语言特定的入门指南