如何在Docker文件中使用“ADD”命令包含Docker构建上下文之外的文件?
从Docker文档中:
路径必须位于生成的上下文中;您不能添加../something/something,因为docker构建的第一步是将上下文目录(和子目录)发送到docker守护进程。
我不想重组我的整个项目,只是为了在这件事上适应Docker。我想将所有Docker文件保存在同一个子目录中。
此外,Docker似乎还不支持符号链接:Dockerfile ADD命令不支持主机#1676上的符号链接。
我唯一能想到的另一件事是包含一个预构建步骤,将文件复制到Docker构建上下文中(并配置我的版本控制以忽略这些文件)。还有比这更好的解决方法吗?
当前回答
如果您阅读第2745期中的讨论,不仅docker可能永远不支持符号链接,他们也可能永远不会支持在您的上下文之外添加文件。这似乎是一种设计理念,即进入docker构建的文件应该明确地成为其上下文的一部分,或者来自一个URL,在该URL中,它可能也会以固定版本部署,这样构建就可以用docker容器附带的公知URL或文件重复。
我更喜欢从版本控制的源代码构建,即docker构建-t东西http://my.git.org/repo-否则我会在随机的地方用随机文件进行构建。从根本上说,不是……——斯文·多维迪特,多克公司
只是我的看法,但我认为您应该进行重组,以分离代码和docker存储库。这样,容器可以是通用的,并在运行时而不是构建时引入任何版本的代码。
或者,使用docker作为基本的代码部署工件,然后将dockerfile放在代码存储库的根目录中。如果您这样做,那么使用父docker容器获取更一般的系统级详细信息和子容器获取特定于您的代码的设置可能是有意义的。
其他回答
正如GitHub问题中所描述的那样,构建实际上发生在/tmp/docker-12345中,因此相对路径如/相对添加/some文件是相对于/tmp/docker-12345的。因此,它将搜索/tmp/relative add/some文件,该文件也显示在错误消息中*
不允许包含来自构建目录之外的文件,因此这将导致“禁止路径”消息。"
一种快速而肮脏的方法是将构建上下文设置为所需的多个级别,但这可能会产生后果。如果您使用的是这样的微服务架构:
./Code/Repo1
./Code/Repo2
...
您可以将构建上下文设置为父代码目录,然后访问所有内容,但事实证明,对于大量存储库,这可能会导致构建花费很长时间。
示例情况可能是另一个团队在Repo1中维护数据库模式,而您的团队在Repo2中的代码依赖于此。您希望在不担心模式更改或污染其他团队的存储库的情况下,将这种依赖关系与您自己的种子数据固定在一起(当然,根据更改的内容,您可能仍然需要更改种子数据脚本)第二种方法很粗糙,但避开了长构建的问题:
在中创建sh(或ps1)脚本/Code/Rep2复制所需文件并调用所需的docker命令,例如:
#!/bin/bash
rm -r ./db/schema
mkdir ./db/schema
cp -r ../Repo1/db/schema ./db/schema
docker-compose -f docker-compose.yml down
docker container prune -f
docker-compose -f docker-compose.yml up --build
在docker compose文件中,只需将上下文设置为Repo2根目录并使用的内容/dockerfile中的db/schema目录,而不必担心路径。请记住,您可能会意外地将此目录提交给源代码管理,但脚本清理操作应该足够简单。
我在一个项目和一些数据文件中遇到了同样的问题,由于HIPAA的原因,我无法在回购上下文中移动这些文件。我最终使用了2个Dockerfile。一个构建主应用程序,而不需要我在容器外部所需的东西,并将其发布到内部存储库。然后,第二个dockerfile提取该图像并添加数据,然后创建一个新图像,然后将其部署并永远不会存储在任何地方。不太理想,但它对我将敏感信息排除在回购之外的目的起到了作用。
我经常发现自己为此使用--buildarg选项。例如,在Dockerfile中放入以下内容后:
ARG SSH_KEY
RUN echo "$SSH_KEY" > /root/.ssh/id_rsa
你可以这样做:
docker build -t some-app --build-arg SSH_KEY="$(cat ~/file/outside/build/context/id_rsa)" .
但请注意Docker文档中的以下警告:
警告:不建议使用构建时间变量来传递密钥,如github密钥、用户凭据等。使用docker history命令,映像的任何用户都可以看到构建时间变量值。
如果您阅读第2745期中的讨论,不仅docker可能永远不支持符号链接,他们也可能永远不会支持在您的上下文之外添加文件。这似乎是一种设计理念,即进入docker构建的文件应该明确地成为其上下文的一部分,或者来自一个URL,在该URL中,它可能也会以固定版本部署,这样构建就可以用docker容器附带的公知URL或文件重复。
我更喜欢从版本控制的源代码构建,即docker构建-t东西http://my.git.org/repo-否则我会在随机的地方用随机文件进行构建。从根本上说,不是……——斯文·多维迪特,多克公司
只是我的看法,但我认为您应该进行重组,以分离代码和docker存储库。这样,容器可以是通用的,并在运行时而不是构建时引入任何版本的代码。
或者,使用docker作为基本的代码部署工件,然后将dockerfile放在代码存储库的根目录中。如果您这样做,那么使用父docker容器获取更一般的系统级详细信息和子容器获取特定于您的代码的设置可能是有意义的。
