本文檔介紹了構建高效鏡像的最佳實踐和方法。

Docker通過從Dockerfile(按順序包含構建給定鏡像所需的所有命令的文本文件)讀取命令來自動構建鏡像。Dockerfile遵循特定的格式和一組命令，您可以在Dockerfile reference中找到這些命令。

Docker鏡像由只讀層組成，每個只讀層表示Dockerfile指令。這些層被堆疊起來，每一層都是前一層變化的增量。考慮一下這個Dockerfile:

FROM ubuntu:18.04
COPY . /app
RUN make /app
CMD python /app/app.py

每一個指令會創建一個層:

· FROM從docker image ubuntu:18.04 創建層 。

· COPY從Docker 客戶端添加文件到當前目錄。

· RUN使用make 命令構建應用。

· CMD指定在容器裡運行的命令。

當您運行一個鏡像並生成一個容器時，您將在底層之上添加一個新的可寫層("容器層")。對正在運行的容器所做的所有更改，例如寫入新文件、修改現有文件和刪除文件，都被寫入這個可寫容器層。

通用概覽和建議

創建臨時容器

Dockerfile定義的鏡像應該生成儘可能"短暫"的容器。所謂"臨時性"，是指容器可以停止和銷燬，然後用絕對最小的設置和配置重新構建和替換。

理解構建上下文

當您發出docker構建命令時，當前工作目錄稱為構建上下文。默認情況下， Dockerfile在當前目錄，但是您可以使用file標誌(-f)指定一個不同的位置。無論Dockerfile實際位於何處，當前目錄中文件和目錄的所有遞歸內容都作為構建上下文發送到Docker守護進程。

構建上下文:

為構建上下文創建一個目錄並將cd放入其中。將"hello"寫入一個名為hello的文本文件中，並創建一個運行cat的Dockerfile。從構建上下文中構建鏡像(.):

mkdir myproject && cd myproject
echo "hello" > hello
echo -e "FROM busybox\\nCOPY /hello /\\nRUN cat /hello" > Dockerfile
docker build -t helloapp:v1 .

將Dockerfile和hello移到單獨的目錄中，並構建鏡像的第二個版本(不依賴於上一個構建的緩存)。使用-f指向Dockerfile並指定構建上下文的目錄:

mkdir -p dockerfiles context
mv Dockerfile dockerfiles && mv hello context
docker build --no-cache -t helloapp:v2 -f dockerfiles/Dockerfile context

無意中包含了構建鏡像所不需要的文件，會導致構建上下文和鏡像大小變大。這可以增加構建鏡像的時間、拖放鏡像的時間和容器運行時大小。要查看構建上下文的大小，請在構建Dockerfile時查看類似這樣的消息:

Sending build context to Docker daemon 187.8MB

通過stdin使用Dockerfile 管道

Docker能夠通過使用本地或遠程構建上下文通過stdin管道傳輸Dockerfile來構建鏡像。通過stdin管道傳輸Dockerfile對於執行一次性構建非常有用，不需要將Dockerfile寫入磁盤，或者在生成Dockerfile的情況下，不應該在生成後保存Dockerfile。

為了方便起見，本節中的示例使用here文檔【http://tldp.org/LDP/abs/html/here-docs.html】，但是可以使用在stdin上提供Dockerfile的任何方法。

例如: 下面的命令是等價的:

echo -e 'FROM busybox\\nRUN echo "hello world"' | docker build -
docker build -<FROM busybox
RUN echo "hello world"
EOF

您可以用您喜歡的方法或者最適合您用例的方法來替代這些例子。

使用STDIN中的DOCKERFILE構建鏡像，而不發送構建上下文

使用此語法可以從stdin中用Dockerfile構建映像，而不需要發送額外的文件作為構建上下文。連字符(-)佔據路徑的位置，指示Docker從stdin而不是目錄中讀取構建上下文(其中只包含Dockerfile):

docker build [OPTIONS] –

下面的示例使用通過stdin傳遞的Dockerfile構建一個鏡像。沒有文件作為構建上下文發送到守護進程。

docker build -t myimage:latest -<FROM busybox
RUN echo "hello world"
EOF

在Dockerfile不需要將文件複製到鏡像中的情況下，省略構建上下文是非常有用的，並且可以提高構建速度，因為沒有文件被髮送到守護進程。

注意:如果使用這種語法，嘗試構建使用COPY或ADD的Dockerfile將會失敗。下面的例子說明了這一點:

# create a directory to work in
mkdir example
cd example
# create an example file
touch somefile.txt
docker build -t myimage:latest -<FROM busybox
COPY somefile.txt . 

RUN cat /somefile.txt
EOF
# observe that the build fails
...
Step 2/3 : COPY somefile.txt .
COPY failed: stat /var/lib/docker/tmp/docker-builder249218248/somefile.txt: no such file or directory

使用STDIN中的DOCKERFILE從本地構建上下文構建

使用此語法可以使用本地文件系統上的文件構建映像，但要使用stdin中的Dockerfile。語法使用(-f或--file)選項指定要使用的Dockerfile，使用連字符(-)作為文件名，指示Docker從stdin中讀取Dockerfile:

docker build [OPTIONS] -f- PATH

下面這個例子我們用當前目錄作為構建上下文，並且構建鏡像用到的Dockerfile是通過stdin傳進去的。例子在這裡【http://tldp.org/LDP/abs/html/here-docs.html】

# create a directory to work in
mkdir example
cd example
# create an example file
touch somefile.txt
# build an image using the current directory as context, and a Dockerfile passed through stdin
docker build -t myimage:latest -f- . <FROM busybox
COPY somefile.txt .
RUN cat /somefile.txt
EOF

使用STDIN中的DOCKERFILE從遠程構建上下文構建

使用此語法，使用來自遠程git存儲庫的文件(使用來自stdin的Dockerfile)構建一個鏡像。語法使用(-f或--file)選項指定要使用的Dockerfile，使用連字符(-)作為文件名，指示Docker從stdin中讀取Dockerfile:

docker build [OPTIONS] -f- PATH

當您希望從不包含Dockerfile的存儲庫構建鏡像，或者希望使用自定義Dockerfile構建鏡像，而不需要維護存儲庫的分支時，這種語法非常有用。

下面的示例使用來自stdin的Dockerfile構建一個鏡像，並添加hello.c文件從git 倉裡庫【https://github.com/docker-library/hello-world】

docker build -t myimage:latest -f- https://github.com/docker-library/hello-world.git <FROM busybox
COPY hello.c .
EOF
Note：

當使用遠程Git存儲庫作為構建上下文構建鏡像時，Docker在本地 執行存儲庫的Git clone，並將這些文件作為構建上下文發送給守護進程。該特性要求git安裝在運行docker構建命令的主機上。

使用.dockerignore忽略不需要的文件

要排除與構建不相關的文件(不需要調整資源庫)，請使用.dockerignore文件。該文件支持類似於.gitignore文件的排除模式。 更多信息請查看【https://docs.docker.com/engine/reference/builder/#dockerignore-file】

使用多級構建

多階段構建允許您大幅度減小最終映像的大小，而不必費力地減少中間層和文件的數量。

因為鏡像是在構建過程的最後階段構建的，所以可以通過利用構建緩存最小化鏡像層。【https://docs.docker.com/develop/develop-images/dockerfile_best-practices/#leverage-build-cache】

例如，如果您的構建包含多個層，您可以將它們排序從更改頻率較低的層(以確保構建緩存可重用)到更改頻率較高的層:

· 安裝構建應用程序所需的工具

· 安裝或者更改依賴的庫

· 生成應用

下面是一個構建golang應用的Dockerfile 文件:

FROM golang:1.11-alpine AS build
# Install tools required for project
# Run `docker build --no-cache .` to update dependencies
RUN apk add --no-cache git
RUN go get github.com/golang/dep/cmd/dep
# List project dependencies with Gopkg.toml and Gopkg.lock
# These layers are only re-built when Gopkg files are updated
COPY Gopkg.lock Gopkg.toml /go/src/project/
WORKDIR /go/src/project/
# Install library dependencies
RUN dep ensure -vendor-only
# Copy the entire project and build it
# This layer is rebuilt when a file changes in the project directory
COPY . /go/src/project/
RUN go build -o /bin/project
# This results in a single layer image
FROM scratch
COPY --from=build /bin/project /bin/project
ENTRYPOINT ["/bin/project"]
CMD ["--help"]

不安裝不必要的包

為了減少複雜、依賴、文件尺寸和構建時間，避免安裝額外的和不需要的包。一個高水準的Dockerfile必須要注意這些細節。

解耦

每個容器應該只有一個關注點。將應用程序解耦到多個容器可以更容易地水平伸縮和重用容器。例如，web應用程序棧可能由三個獨立的容器組成，每個容器都有自己獨特的鏡像，以解耦的方式管理web應用程序、數據庫和內存緩存。

限制每個容器只運行一個進程是一個很好的經驗法則。但是，這並不準確。因為很多應用都會有很多進程。比如，Celery就會有很多worker進程。Apache每個request就會有一個進程。容器自己也有init進程。

所以，用你的嚴謹和專業來保持容器儘可能的乾淨和模塊化。如果容器彼此依賴，可以使用Docker容器網絡來確保這些容器能夠通信。

保存最小數量的層

在老一點的docker版本中，保持層數的最少是非常重要的，因為要保證性能。

為了減少這樣的限制，增加了一下的特性:

· 只有指令RUN，COPY，ADD創建層。其他指令創建臨時中間鏡像，並且不增加構建的大小

· 在可能的情況下，使用多階段構建，並且只將您需要的工件複製到最終鏡像中。這允許您在中間構建階段包含工具和調試信息，而不需要增加最終映像的大小。

命令行參數排序

只要方便，可以通過對多行參數進行字母數字排序來簡化後面的更改。這有助於避免包的重複，並使列表更容易更新。這也使得PRs更容易閱讀和審查。在反斜槓(\\)之前添加空格也有幫助。

下面是一個參數排列的例子：

RUN apt-get update && apt-get install -y \\
bzr \\
cvs \\
git \\
mercurial \\
subversion

利用構建緩存

在構建映像時，Docker逐步讀取 Dockerfile中的指令，並且按照順序執行。在檢查每條指令時，Docker會在緩存中查找可以重用的現有鏡像，而不是創建一個新的(重複的)鏡像。

如果，你就是不想用cache，可以使用—no-cache=true來關閉在執行docker build的時候。當然，如果你開啟了cacha，docker 在構建是找到緩存，如果沒有匹配到，就創建新的鏡像。 Docker遵循的基本規則如下:

· 從緩存中已經存在的父鏡像開始，將下一條指令與從該基本鏡像派生的所有子鏡像進行比較，看看其中一條是否使用完全相同的指令構建。否則，緩存將無效

· 在大多數情況下，只需將Dockerfile中的指令與其中一個子鏡像進行比較就足夠了。然而，某些指示需要更多的檢查和解釋。

· 對於ADD和COPY指令，將檢查鏡像中文件的內容，並且檢查和校驗每個文件 。最後修改時間和最後訪問時間不會被校驗。在緩存查找期間，將校驗和與現有鏡像中的校驗和進行比較。如果文件中有任何更改，比如內容和元數據，那麼緩存將無效。

· 除了ADD和COPY命令外，緩存檢查不會查看容器中的文件來確定緩存匹配。例如，在處理RUN apt-get -y update命令時，不會檢查容器中更新的文件，以確定是否存在緩存命中。在這種情況下，僅使用命令字符串本身來查找匹配項。

一旦緩存失效，所有後續的Dockerfile命令都會生成新的鏡像，而緩存則不被使用。

Dockerfile 指令

這些建議旨在幫助您創建一個高效且可維護的Dockerfile。

FROM

只要可能，使用當前的官方鏡像作為你的鏡像的基礎鏡像。我們推薦Alpine鏡像【https://hub.docker.com/_/alpine/】，因為編寫這個鏡像是非常嚴格的，並且很小(目前小於5 MB)，但仍然是一個完整的Linux發行版。

LABEL

您可以將標籤添加到鏡像中，以幫助按項目組織鏡像、記錄許可信息、幫助實現自動化或出於其他原因。對於每個標籤，用LABEL標記開始，用一個或者多個鍵值對 。下面的示例顯示了不同的可接受格式。解釋性註釋是內聯的。

必須引用帶空格的字符串，否則必須轉義空格。內部引號字符(")也必須轉義。

# Set one or more individual labels
LABEL com.example.version="0.0.1-beta"
LABEL vendor1="ACME Incorporated"
LABEL vendor2=ZENITH\\ Incorporated
LABEL com.example.release-date="2015-02-12"
LABEL com.example.version.is-production=""

一個鏡像可以有多個標籤。在Docker 1.10之前，建議將所有標籤合併到一個標籤指令中，以防止創建額外的層。這不再需要，但是仍然支持組合標籤。

# Set multiple labels on one line
LABEL com.example.version="0.0.1-beta" com.example.release-date="2015-02-12"

上面的這個例子還可以寫成下面這樣：

# Set multiple labels at once, using line-continuation characters to break long lines
LABEL vendor=ACME\\ Incorporated \\
com.example.is-beta= \\
com.example.is-production="" \\
com.example.version="0.0.1-beta" \\
com.example.release-date="2015-02-12"
RUN

使用反斜槓(\\) 來分隔獨立的命令行可以使RUN命令更有可讀性、易於維護。

APT-GET

Apt-get 命令是很多Docker經常使用的命令。因為，他是安裝各種包必須使用的命令。

避免運行apt-get升級和distl -upgrade，因為來自父鏡像的許多"基本"包無法在非特權容器中升級。如果父鏡像中包含的包過期了，請聯繫它的維護人員。如果您知道有一個特定的包foo需要更新，那麼使用apt-get install -y foo自動更新。

始終將RUN apt-get update與apt-get install組合在同一個RUN語句中。例如:

RUN apt-get update && apt-get install -y \\
package-bar \\
package-baz \\
package-foo
 

在RUN語句中單獨使用apt-get update會導致緩存問題，隨後的apt-get安裝指令會失敗。例如，假設您有一個Dockerfile:

FROM ubuntu:18.04
RUN apt-get update
RUN apt-get install -y curl

當構建完鏡像後，所有的層都已經被緩存了，假設之後你修改了apt-get install 增加了其他的包：

FROM ubuntu:18.04
RUN apt-get update
RUN apt-get install -y curl nginx

Docker將初始指令和修改後的指令視為相同的，並重用前面步驟中的緩存。因此，apt-get更新不會執行，因為構建使用緩存的版本。由於apt-get更新沒有運行，您的構建可能會得到一個過時版本的curl和nginx包。

使用RUN apt-get update && apt-get install -y確保您的Dockerfile安裝最新的包版本，而無需進一步編碼或手動干預。這種技術稱為"緩存破壞"。還可以通過指定包版本來實現緩存崩潰。這就是所謂的版本固定，例如:

RUN apt-get update && apt-get install -y \\
package-bar \\
package-baz \\
package-foo=1.3.*

版本固定強制構建以檢索特定版本，而不管緩存中的內容是什麼。這種技術還可以減少由於所需包中的意外更改而導致的故障。

下面是一個格式良好的運行指令，演示了所有apt-get 的最佳實踐。

RUN apt-get update && apt-get install -y \\
aufs-tools \\
automake \\
build-essential \\
curl \\
dpkg-sig \\
libcap-dev \\
libsqlite3-dev \\
mercurial \\
reprepro \\
ruby1.9.1 \\
ruby1.9.1-dev \\
s3cmd=1.1.* \\
&& rm -rf /var/lib/apt/lists/*

s3cmd指定了一個新的版本。如果之前的鏡像安裝的是一箇舊的版本。apt-get update 會導致緩存失效，從而安裝新的版本。

在這樣的條件下，當你清除apt緩存並且移除/var/lib/apt/lists 目錄，來減小文件尺寸。當RUN 聲明以apt-get update開始，在執行apt-get install的時候，緩存依然會被刷新。

注:

Debian和ubuntu的官方鏡像會自動運行apt-get clecn命令。所以不需要顯示調用。

使用管道

有些運行命令依賴於使用管道字符(|)將一個命令的輸出管道到另一個命令的能力，如下例所示:

RUN wget -O - https://some.site | wc -l > /number

Docker使用/bin/sh -c解釋器執行這些命令，解釋器只計算管道中最後一個操作的退出代碼來確定是否成功。在上面的示例中，只要wc -l命令成功，即使wget命令失敗，這個構建步驟就會成功並生成一個新映像。

如果您希望命令在管道中的任何階段由於錯誤而失敗，請預先設置-o pipefail &&，以確保意外錯誤防止構建意外成功。例如:

RUN set -o pipefail && wget -O - https://some.site | wc -l > /number

注：

不是所有的shell都支持 –o pipfail 選項

在基於debian的鏡像上使用dash shell的情況下，可以考慮使用exec形式的RUN顯式地選擇一個支持pipefail選項的shell。例如:

RUN ["/bin/bash", "-c", "set -o pipefail && wget -O - https://some.site | wc -l > /number"]

CMD

CMD指令應該用於運行鏡像所包含的軟件，以及任何參數。CMD幾乎總是以CMD["executable"、"param1"、"param2"…]的形式使用。因此，如果鏡像是用於服務的，比如Apache和Rails，您將運行類似CMD ["apache2"，"-DFOREGROUND "]的東西。實際上，對於任何基於服務的鏡像，都推薦使用這種形式的指令。

在大多數其他情況下，應該為CMD提供一個交互式shell，如bash、python和perl。例如,CMD ["perl"、"-de0"], CMD ("python"),或CMD ("php","-a")。使用這種形式意味著，當您執行像docker run - python這樣的東西時，您將被放入一個可用的shell中，準備就緒。CMD應該很少與ENTRYPOINT一起以CMD ["param"， "param"]的方式使用，除非您和您的預期用戶已經非常熟悉ENTRYPOINT的工作方式。

EXPOSE

EXPOSE指令指示容器監聽連接的端口。因此，您應該為您的應用程序使用公共的、傳統的端口。例如，包含Apache web服務器的鏡像使用 80端口，而包含MongoDB的映像將使用 27017 端口，以此類推。

對於外部訪問，用戶可以使用一個標誌執行docker run，該標誌指示如何將指定的端口映射到他們選擇的端口。對於容器鏈接，Docker為從接收容器返回到源容器的路徑提供了環境變量(即MYSQL_PORT_3306_TCP)。

ENV

為了使新軟件更容易運行，可以使用ENV更新容器安裝的軟件的PATH環境變量。例如，ENV PATH /usr/local/nginx/bin:$PATH確保CMD ["nginx"]正常工作。

ENV指令對於提供特定於您希望封裝的服務的所需環境變量也很有用，比如Postgres的PGDATA。

最後，ENV還可以用來設置常用的版本號，以便更容易維護版本，如下例所示:

ENV PG_MAJOR 9.3
ENV PG_VERSION 9.3.4
RUN curl -SL http://example.com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/postgress && …
ENV PATH /usr/local/postgres-$PG_MAJOR/bin:$PATH

類似於在程序中使用常量變量(而不是硬編碼值)，這種方法允許您更改單個ENV指令，從而自動地在容器中神奇地彈出軟件版本。

每個ENV行創建一個新的中間層，就像RUN命令一樣。這意味著，即使您在未來的層中取消了環境變量的設置，它仍然保留在這個層中，並且它的值可以被轉儲。您可以通過創建一個Dockerfile(如下所示)來測試它，然後構建它。

FROM alpine
ENV ADMIN_USER="mark"
RUN echo $ADMIN_USER > ./mark
RUN unset ADMIN_USER
$ docker run --rm test sh -c 'echo $ADMIN_USER'
mark

為了防止這種情況發生，並真正取消對環境變量的設置，可以使用一個帶有shell命令的RUN命令，在一個單層中設置、使用和取消對變量的設置。你可以用;和& &。如果使用第二種方法，並且其中一個命令失敗，docker構建也會失敗。這通常是個好主意。使用\\作為Linux Dockerfiles的行延續字符可以提高可讀性。您還可以將所有命令放入shell腳本中，並讓RUN命令運行該shell腳本。

FROM alpine
RUN export ADMIN_USER="mark" \\
&& echo $ADMIN_USER > ./mark \\
&& unset ADMIN_USER
CMD sh
docker run --rm test sh -c 'echo $ADMIN_USER'

ADD 或者COPY

雖然ADD和COPY在功能上是相似的，但是一般來說，COPY是首選的。這是因為它比ADD更透明，COPY只支持將本地文件基本複製到容器中，而ADD的一些特性(比如只本地的tar提取和遠程URL支持)不是很有效。因此，ADD的最佳用途是將本地tar文件自動提取到映像中，如ADD rootfs.tar.xz / 。

如果有多個Dockerfile步驟使用與上下文不同的文件，請分別複製它們，而不是一次全部複製。這確保只有在特定需要的文件發生更改時，每個步驟的構建緩存才會失效(強制重新運行該步驟)。

例如:

COPY requirements.txt /tmp/
RUN pip install --requirement /tmp/requirements.txt
COPY . /tmp/

將COPY . /tmp/放到RUN前面，會使緩存失效？？？

由於鏡像的大小很重要，因此強烈反對使用ADD從遠程url獲取包;您應該使用curl或wget來代替。這樣，你可以刪除你不再需要的文件後，他們已經被提取出來，你不需要添加另一層在您的鏡像。例如，你應該避免做以下事情:

ADD http://example.com/big.tar.xz /usr/src/things/
RUN tar -xJf /usr/src/things/big.tar.xz -C /usr/src/things
RUN make -C /usr/src/things all
我們用下面的命令取代:
RUN mkdir -p /usr/src/things \\
&& curl -SL http://example.com/big.tar.xz \\
| tar -xJC /usr/src/things \\
&& make -C /usr/src/things all

如果不需要提取tar (文件、目錄)的話，應該始終使用COPY。

ENTRYPOINT

ENTRYPOINT的最佳用法是設置鏡像的主命令，允許像運行該命令一樣運行該鏡像(然後使用CMD作為默認標誌)。

讓我們從命令行工具s3cmd的鏡像示例開始:

ENTRYPOINT ["s3cmd"]

CMD ["--help"]

現在，這個鏡像可以像這樣運行：

$ docker run s3cmd

也可以傳參數執行:

$ docker run s3cmd ls s3://mybucket

這很有用，因為鏡像的名字可以同時作為對二進制文件的引用，如上面的命令所示。

ENTRYPOINT指令也可以與helper腳本結合使用，允許它以類似於上面命令的方式運行，即使在啟動工具時可能需要不止一個步驟。

例如，Postgres官方鏡像使用以下腳本作為其入口點:

#!/bin/bash
set -e
if [ "$1" = 'postgres' ]; then
chown -R postgres "$PGDATA"
if [ -z "$(ls -A "$PGDATA")" ]; then
gosu postgres initdb
fi
exec gosu postgres "$@"
fi
exec "$@"

注：

設置應用的PID為1，這樣，PG會結構linux的任何信號。

helper腳本被複制到容器中，並在容器開始時通過ENTRYPOINT運行:

COPY ./docker-entrypoint.sh /
ENTRYPOINT ["/docker-entrypoint.sh"]
CMD ["postgres"]

這個腳本允許用戶以多種方式與Postgres交互。

它可以簡單地啟動Postgres:

$ docker run postgres

或者，它可以用來運行Postgres並將參數傳遞給服務器:

$ docker run postgres postgres –help

最後，它也可以用來啟動一個完全不同的工具，如Bash:

$ docker run --rm -it postgres bash

VOLUME

卷指令應該用於公開由docker容器創建的任何數據庫存儲區域、配置存儲或文件/文件夾。強烈建議對鏡像的任何可變和或用戶可服務的部分使用VOLUME。

USER

如果服務可以在沒有特權的情況下運行，請使用USER將其更改為非root用戶。首先在Dockerfile中創建用戶和組，使用類似於RUN groupadd -r postgres && useradd——no-log-init -r -g postgres postgres的東西。

鏡像中的用戶和組被分配一個不確定的UID/GID，因為"下一個"UID/GID被分配，而不考慮鏡像的重建。因此，如果它是必須要使用的，您應該分配一個顯式的UID/GID。

由於Go archive/tar包在處理稀疏文件時存在一個未解決的bug，試圖在Docker容器中創建一個UID非常大的用戶可能會導致磁盤耗盡，因為容器層中的/var/log/faillog中填充了NULL(\\0)字符。一個解決方案是將——no-log-init標誌傳遞給useradd。Debian/Ubuntu adduser包裝器不支持這個標誌。

避免安裝或使用sudo，因為它具有不可預知的TTY和信號轉發行為，可能會導致問題。如果您絕對需要類似於sudo的功能，比如將守護進程初始化為根進程，但以非根進程的形式運行它，那麼可以考慮使用"gosu"。

最後，為了減少層次和複雜性，避免頻繁地來回切換用戶。

WORKER

為了清晰和可靠，您應該始終為您的WORKDIR使用絕對路徑。此外，您應該使用WORKDIR，而不是像RUN cd…&& do-something這樣的指令，這些指令很難閱讀、排除故障和維護。

ONBUILD

ONBUILD命令在當前Dockerfile構建完成後執行。ONBUILD在從當前鏡像派生的任何子鏡像中執行。將ONBUILD命令看作是父Dockerfile給子Dockerfile的一條指令。

Docker構建在子Dockerfile中的任何命令之前執行ONBUILD命令。

ONBUILD對於將從給定鏡像構建的鏡像非常有用。例如，您可以對一個語言堆棧鏡像使用ONBUILD，該鏡像可以在Dockerfile中構建用該語言編寫的任意用戶軟件，正如您可以在Ruby的ONBUILD變體中看到的那樣。

使用ONBUILD構建的鏡像應該有一個單獨的標記，例如:ruby:1.9-onbuild或ruby:2.0-onbuild。

在ONBUILD中添加或複製時要小心。如果新構建的上下文缺少正在添加的資源，則"onbuild"鏡像將災難性地失敗。如上面建議的那樣，添加一個單獨的標記，通過允許Dockerfile作者做出選擇，可以幫助緩解這種情況。