前言

CMD 和 ENTRYPOINT 指令都是用來指定容器啟動(dòng)時(shí)運(yùn)行的命令。

單從功能上來看，這兩個(gè)命令幾乎是重復(fù)的。單獨(dú)使用其中的一個(gè)就可以實(shí)現(xiàn)絕大多數(shù)的用例。但是既然 doker 同時(shí)提供了它們，為了在使用中不至于混淆，本文試圖把它們的用法理清楚。下面話不多說了，來一起看看詳細(xì)的介紹吧。

exec 模式和 shell 模式

CMD 和 ENTRYPOINT 指令都支持 exec 模式和 shell 模式的寫法，所以要理解 CMD 和 ENTRYPOINT 指令的用法，就得先區(qū)分 exec 模式和 shell 模式。這兩種模式主要用來指定容器中的不同進(jìn)程為 1 號(hào)進(jìn)程。了解 linux 的朋友應(yīng)該清楚 1 號(hào)進(jìn)程在系統(tǒng)中的重要地位。筆者也在《在 docker 容器中捕獲信號(hào)》一文中介紹過 1 號(hào)進(jìn)程對(duì)容器中信號(hào)處理的重要性，感興趣的朋友可以移步這里進(jìn)行了解。下面我們通過 CMD 指令來學(xué)習(xí) exec 模式和 shell 模式的特點(diǎn)。

exec 模式

使用 exec 模式時(shí)，容器中的任務(wù)進(jìn)程就是容器內(nèi)的 1 號(hào)進(jìn)程，看下面的例子：

FROM ubuntu
CMD [ "top" ]

把上面的代碼保存到 test1 目錄的 Dockerfile 中，然后進(jìn)入 test1 目錄構(gòu)建鏡像并啟動(dòng)一個(gè)容器：

$ docker build -t test1 .
$ docker run -idt --name testcon test1

然后查看容器中的進(jìn)程 ID：

$ docker exec testcon ps aux

從圖中我們看到運(yùn)行 top 命令的進(jìn)程 ID 為 1。

exec 模式是建議的使用模式，因?yàn)楫?dāng)運(yùn)行任務(wù)的進(jìn)程作為容器中的 1 號(hào)進(jìn)程時(shí)，我們可以通過 docker 的 stop 命令優(yōu)雅的結(jié)束容器(詳情請(qǐng)參考《在 docker 容器中捕獲信號(hào)》)。

exec 模式的特點(diǎn)是不會(huì)通過 shell 執(zhí)行相關(guān)的命令，所以像 $HOME 這樣的環(huán)境變量是取不到的：

FROM ubuntu
CMD [ "echo", "$HOME" ]

把上面的代碼保存到 test1 目錄的 Dockerfile 中，然后進(jìn)入 test1 目錄構(gòu)建鏡像并啟動(dòng)一個(gè)容器：

$ docker build --no-cache -t test1 .
$ docker run --rm test1

通過 exec 模式執(zhí)行 shell 可以獲得環(huán)境變量：

FROM ubuntu
CMD [ "sh", "-c", "echo $HOME" ]

把上面的代碼保存到 test1 目錄的 Dockerfile 中，然后進(jìn)入 test1 目錄構(gòu)建鏡像并啟動(dòng)一個(gè)容器：

$ docker build --no-cache -t test1 .
$ docker run --rm test1

這次正確取到了 $HOME 環(huán)境變量的值。

shell 模式

使用 shell 模式時(shí)，docker 會(huì)以 /bin/sh -c "task command" 的方式執(zhí)行任務(wù)命令。也就是說容器中的 1 號(hào)進(jìn)程不是任務(wù)進(jìn)程而是 bash 進(jìn)程，看下面的例子：

FROM ubuntu
CMD top

把上面的代碼保存到 test2 目錄的 Dockerfile 中，然后進(jìn)入 test2 目錄構(gòu)建鏡像并啟動(dòng)一個(gè)容器：

$ docker build -t test2 .
$ docker run -itd --name testcon2 test2

然后查看容器中的進(jìn)程 ID：

$ docker exec testcon2 ps aux

1 號(hào)進(jìn)程執(zhí)行的命令居然是 /bin/sh -c top。而我們指定的 top 命令的進(jìn)程 ID 為 7。這是由 docker 內(nèi)部決定的，目的是讓我們執(zhí)行的命令或者腳本可以取到環(huán)境變量。

CMD 指令

CMD 指令的目的是：為容器提供默認(rèn)的執(zhí)行命令。

CMD 指令有三種使用方式，其中的一種是為 ENTRYPOINT 提供默認(rèn)的參數(shù)：

CMD ["param1","param2"]

另外兩種使用方式分別是 exec 模式和 shell 模式：

CMD ["executable","param1","param2"] // 這是 exec 模式的寫法，注意需要使用雙引號(hào)。
CMD command param1 param2 // 這是 shell 模式的寫法。

注意命令行參數(shù)可以覆蓋 CMD 指令的設(shè)置，但是只能是重寫，卻不能給 CMD 中的命令通過命令行傳遞參數(shù)。
一般的鏡像都會(huì)提供容器啟動(dòng)時(shí)的默認(rèn)命令，但是有些場(chǎng)景中用戶并不想執(zhí)行默認(rèn)的命令。用戶可以通過命令行參數(shù)的方式覆蓋 CMD 指令提供的默認(rèn)命令。比如通過下面命令創(chuàng)建的鏡像：

FROM ubuntu
CMD [ "top" ]

在啟動(dòng)容器時(shí)我們通過命令行指定參數(shù) ps aux 覆蓋默認(rèn)的 top 命令：

從上圖可以看到，命令行上指定的 ps aux 命令覆蓋了 Dockerfile 中的 CMD [ "top" ]。實(shí)際上，命令行上的命令同樣會(huì)覆蓋 shell 模式的 CMD 指令。

ENTRYPOINT 指令

ENTRYPOINT 指令的目的也是為容器指定默認(rèn)執(zhí)行的任務(wù)。

ENTRYPOINT 指令有兩種使用方式，就是我們前面介紹的 exec 模式和 shell 模式：

ENTRYPOINT ["executable", "param1", "param2"] // 這是 exec 模式的寫法，注意需要使用雙引號(hào)。
ENTRYPOINT command param1 param2 // 這是 shell 模式的寫法。

exec 模式和 shell 模式的基本用法和 CMD 指令是一樣的，下面我們介紹一些比較特殊的用法。

指定 ENTRYPOINT 指令為 exec 模式時(shí)，命令行上指定的參數(shù)會(huì)作為參數(shù)添加到 ENTRYPOINT 指定命令的參數(shù)列表中。用下面的代碼構(gòu)建鏡像 test1：

FROM ubuntu
ENTRYPOINT [ "top", "-b" ]

運(yùn)行下面的命令：

$ docker run --rm test1 -c

我們?cè)诿钚猩咸砑拥膮?shù)被追加到了 top 命令的參數(shù)列表中。

由 CMD 指令指定默認(rèn)的可選參數(shù)：

FROM ubuntu
ENTRYPOINT [ "top", "-b" ]
CMD [ "-c" ]

使用這段代碼構(gòu)建鏡像 test2 并不帶命令行參數(shù)啟動(dòng)容器：

$ docker run --rm test2

這時(shí)容器中運(yùn)行的命令為：top -b -c。

如果我們指定命令行參數(shù)：

$ docker run --rm test2 -n 1

-n 1 會(huì)覆蓋 通過 CMD [ "-c" ] 指定的參數(shù)，容器執(zhí)行的命令為：top -b -n 1

注意上圖的輸出顯示 -c 參數(shù)被覆蓋了。

指定 ENTRYPOINT 指令為 shell 模式時(shí)，會(huì)完全忽略命令行參數(shù)：

FROM ubuntu
ENTRYPOINT echo $HOME 

把上面的代碼編譯成鏡像 test2，分別不帶命令行參數(shù)和使用命令行參數(shù) ls 執(zhí)行命令：

我們看到 ls 命令沒有被執(zhí)行，這說明命令行參數(shù)被 ENTRYPOINT 指令的 shell 模式忽略了。

覆蓋默認(rèn)的 ENTRYPOINT 指令：

ENTRYPOINT 指令也是可以被命令行覆蓋的，只不過不是默認(rèn)的命令行參數(shù)，而是需要顯式的指定 --entrypoint 參數(shù)。比如我們通過下面的方式覆蓋上面鏡像中的 echo $HOME 命令：

$ docker run --rm --entrypoint hostname test2

這里我們使用 hostname 命令覆蓋了默認(rèn)的 echo $HOME 命令。

Dockerfile 中至少要有一個(gè)

如果鏡像中既沒有指定 CMD 也沒有指定 ENTRYPOINT 那么在啟動(dòng)容器時(shí)會(huì)報(bào)錯(cuò)。這不算是什么問題，因?yàn)楝F(xiàn)在能見到的絕大多數(shù)鏡像都默認(rèn)添加了 CMD 或 ENTRYPOINT 指令。

指定任意一個(gè)，效果差不多

從結(jié)果上看，CMD 和 ENTRYPOINT 是一樣的，我們可以通過它們實(shí)現(xiàn)相同的目的。下面我們分別用 CMD 和 ENTRYPOINT 設(shè)置 top -b 命令，然后觀察容器運(yùn)行時(shí)的 metadata 信息：

或者：

雖然實(shí)現(xiàn)方式不同，但最終容器運(yùn)行的命令是一樣的。

同時(shí)使用 CMD 和 ENTRYPOINT 的情況

對(duì)于 CMD 和 ENTRYPOINT 的設(shè)計(jì)而言，多數(shù)情況下它們應(yīng)該是單獨(dú)使用的。當(dāng)然，有一個(gè)例外是 CMD 為 ENTRYPOINT 提供默認(rèn)的可選參數(shù)。

我們大概可以總結(jié)出下面幾條規(guī)律：

     • 如果 ENTRYPOINT 使用了 shell 模式，CMD 指令會(huì)被忽略。

     • 如果 ENTRYPOINT 使用了 exec 模式，CMD 指定的內(nèi)容被追加為 ENTRYPOINT 指定命令的參數(shù)。

     • 如果 ENTRYPOINT 使用了 exec 模式，CMD 也應(yīng)該使用 exec 模式。

真實(shí)的情況要遠(yuǎn)比這三條規(guī)律復(fù)雜，好在 docker 給出了官方的解釋，如下圖所示：

當(dāng)我們無法理解容器中運(yùn)行命令的行為時(shí)，說不定通過這個(gè)表格可以解開疑惑！

總結(jié)

對(duì)于 Dockerfile 來說，CMD 和 ENTRYPOINT 是非常重要的指令。它們不是在構(gòu)建鏡像的過程中執(zhí)行，而是在啟動(dòng)容器時(shí)執(zhí)行，所以主要用來指定容器默認(rèn)執(zhí)行的命令。但是提供兩個(gè)功能類似的指令，必然會(huì)給用戶帶來理解上的困惑和使用中的混淆。希望本文能夠幫助大家理解二者的區(qū)別與聯(lián)系，并更好的使用二者。

參考：

Docker 官方文檔
ENTRYPOINT vs CMD: Back to Basics
Dockerfile: ENTRYPOINT vs CMD

最新評(píng)論