如何在Docker文件中使用“ADD”命令包含Docker构建上下文之外的文件?
从Docker文档中:
路径必须位于生成的上下文中;您不能添加../something/something,因为docker构建的第一步是将上下文目录(和子目录)发送到docker守护进程。
我不想重组我的整个项目,只是为了在这件事上适应Docker。我想将所有Docker文件保存在同一个子目录中。
此外,Docker似乎还不支持符号链接:Dockerfile ADD命令不支持主机#1676上的符号链接。
我唯一能想到的另一件事是包含一个预构建步骤,将文件复制到Docker构建上下文中(并配置我的版本控制以忽略这些文件)。还有比这更好的解决方法吗?
当前回答
我经常发现自己为此使用--buildarg选项。例如,在Dockerfile中放入以下内容后:
ARG SSH_KEY
RUN echo "$SSH_KEY" > /root/.ssh/id_rsa
你可以这样做:
docker build -t some-app --build-arg SSH_KEY="$(cat ~/file/outside/build/context/id_rsa)" .
但请注意Docker文档中的以下警告:
警告:不建议使用构建时间变量来传递密钥,如github密钥、用户凭据等。使用docker history命令,映像的任何用户都可以看到构建时间变量值。
其他回答
创建一个包装docker构建shell脚本,该脚本获取文件,然后调用docker构建,然后删除文件。
在我的快速浏览中,这里没有提到一个简单的解决方案:
有一个名为docker_build.sh的包装脚本让它创建tarball,将大文件复制到当前工作目录调用docker构建清理油布球、大文件等
这个解决方案很好,因为(1.)它没有复制SSH私钥的安全漏洞(2.)另一个解决方案使用sudo绑定,所以它有另一个安全漏洞,因为它需要root权限才能进行绑定。
解决此问题的最佳方法是使用-f独立于构建上下文指定Dockerfile。
例如,此命令将赋予ADD命令访问当前目录中任何内容的权限。
docker build -f docker-files/Dockerfile .
更新:Docker现在允许在构建上下文之外使用Dockerfile(已在18.03.0-ce中修复)
docker build -f ../Dockerfile .
在Linux上,您可以装载其他目录,而不是符号链接它们
mount --bind olddir newdir
看见https://superuser.com/questions/842642了解更多详情。
我不知道其他操作系统是否也有类似的功能。我还尝试使用Samba共享一个文件夹并将其重新安装到Docker上下文中,这同样有效。
该行为由docker或podman用于向构建过程呈现文件的上下文目录提供。这里有一个很好的技巧,就是在构建指令期间将上下文dir更改为要向守护进程公开的目录的完整路径。例如:
docker build -t imageName:tag -f /path/to/the/Dockerfile /mysrc/path
使用/myrc/path代替。(当前目录),您将使用该目录作为上下文,因此构建过程可以看到该目录下的任何文件。在这个示例中,您将向docker守护进程公开整个/myrc/path树。当使用docker时,触发构建的用户ID必须具有从上下文目录递归读取任何单个目录或文件的权限。
如果您有/home/user/myCoolProject/Dockerfile,但希望将不在同一目录中的文件带到此容器构建上下文中,这可能非常有用。
这里有一个使用上下文dir构建的示例,但这次使用podman而不是docker。
让我们以Dockerfile为例,在Dockerfile中有一个COPY或ADD指令,它从项目外部的目录中复制文件,例如:
FROM myImage:tag
...
...
COPY /opt/externalFile ./
ADD /home/user/AnotherProject/anotherExternalFile ./
...
为了构建这个,使用位于/home/user/myCoolProject/Dockerfile中的容器文件,只需执行以下操作:
cd /home/user/myCoolProject
podman build -t imageName:tag -f Dockefile /
更改上下文目录的一些已知用例是在使用容器作为工具链来构建源代码时。例如:
podman build --platform linux/s390x -t myimage:mytag -f ./Dockerfile /tmp/mysrc
或者它可以是路径相关的,例如:
podman build --platform linux/s390x -t myimage:mytag -f ./Dockerfile ../../
另一个使用这次全局路径的示例:
FROM myImage:tag
...
...
COPY externalFile ./
ADD AnotherProject ./
...
注意,现在Dockerfile命令层中省略了COPY和ADD的完整全局路径。在这种情况下,context目录必须相对于文件所在的位置,如果externalFile和AnotherProject都在/opt目录中,则用于构建它的context目录应为:
podman build -t imageName:tag -f ./Dockerfile /opt
在docker中将COPY或ADD与上下文目录一起使用时请注意:docker守护程序将尝试将上下文目录树上可见的所有文件“流式传输”到守护程序,这可能会降低构建速度。并要求用户具有上下文目录的递归权限。特别是在通过API使用构建时,这种行为的成本可能会更高。然而,使用podman,构建是即时进行的,不需要递归权限,这是因为podman不会枚举整个上下文目录,也不会使用客户端/服务器架构。当您使用不同的上下文目录来面对此类问题时,使用podman而不是docker来构建此类案例可能会更有趣。
一些参考文献:
https://docs.docker.com/engine/reference/commandline/build/https://docs.podman.io/en/latest/markdown/podman-build.1.html
我经常发现自己为此使用--buildarg选项。例如,在Dockerfile中放入以下内容后:
ARG SSH_KEY
RUN echo "$SSH_KEY" > /root/.ssh/id_rsa
你可以这样做:
docker build -t some-app --build-arg SSH_KEY="$(cat ~/file/outside/build/context/id_rsa)" .
但请注意Docker文档中的以下警告:
警告:不建议使用构建时间变量来传递密钥,如github密钥、用户凭据等。使用docker history命令,映像的任何用户都可以看到构建时间变量值。
