Dockerfile中CMD和ENTRYPOINT命令詳解

前言

CMD 和 ENTRYPOINT 指令都是用來指定容器啟動時運行的命令。

單從功能上來看，這兩個命令幾乎是重復的。單獨使用其中的一個就可以實現絕大多數的用例。但是既然 doker 同時提供了它們，為了在使用中不至于混淆，本文試圖把它們的用法理清楚。下面話不多說了，來一起看看詳細的介紹吧。

exec 模式和 shell 模式

CMD 和 ENTRYPOINT 指令都支持 exec 模式和 shell 模式的寫法，所以要理解 CMD 和 ENTRYPOINT 指令的用法，就得先區分 exec 模式和 shell 模式。這兩種模式主要用來指定容器中的不同進程為 1 號進程。了解 linux 的朋友應該清楚 1 號進程在系統中的重要地位。筆者也在《在 docker 容器中捕獲信號》一文中介紹過 1 號進程對容器中信號處理的重要性，感興趣的朋友可以移步這里進行了解。下面我們通過 CMD 指令來學習 exec 模式和 shell 模式的特點。

exec 模式

使用 exec 模式時，容器中的任務進程就是容器內的 1 號進程，看下面的例子：

FROM ubuntu
CMD [ "top" ]

把上面的代碼保存到 test1 目錄的 Dockerfile 中，然后進入 test1 目錄構建鏡像并啟動一個容器：

$ docker build -t test1 .
$ docker run -idt --name testcon test1

然后查看容器中的進程 ID：

$ docker exec testcon ps aux

從圖中我們看到運行 top 命令的進程 ID 為 1。

exec 模式是建議的使用模式，因為當運行任務的進程作為容器中的 1 號進程時，我們可以通過 docker 的 stop 命令優雅的結束容器(詳情請參考《在 docker 容器中捕獲信號》)。

exec 模式的特點是不會通過 shell 執行相關的命令，所以像 $HOME 這樣的環境變量是取不到的：

FROM ubuntu
CMD [ "echo", "$HOME" ]

把上面的代碼保存到 test1 目錄的 Dockerfile 中，然后進入 test1 目錄構建鏡像并啟動一個容器：

$ docker build --no-cache -t test1 .
$ docker run --rm test1

通過 exec 模式執行 shell 可以獲得環境變量：

FROM ubuntu
CMD [ "sh", "-c", "echo $HOME" ]

把上面的代碼保存到 test1 目錄的 Dockerfile 中，然后進入 test1 目錄構建鏡像并啟動一個容器：

$ docker build --no-cache -t test1 .
$ docker run --rm test1

這次正確取到了 $HOME 環境變量的值。

shell 模式

使用 shell 模式時，docker 會以 /bin/sh -c "task command" 的方式執行任務命令。也就是說容器中的 1 號進程不是任務進程而是 bash 進程，看下面的例子：

FROM ubuntu
CMD top

把上面的代碼保存到 test2 目錄的 Dockerfile 中，然后進入 test2 目錄構建鏡像并啟動一個容器：

$ docker build -t test2 .
$ docker run -itd --name testcon2 test2

然后查看容器中的進程 ID：

$ docker exec testcon2 ps aux

1 號進程執行的命令居然是 /bin/sh -c top。而我們指定的 top 命令的進程 ID 為 7。這是由 docker 內部決定的，目的是讓我們執行的命令或者腳本可以取到環境變量。

CMD 指令

CMD 指令的目的是：為容器提供默認的執行命令。

CMD 指令有三種使用方式，其中的一種是為 ENTRYPOINT 提供默認的參數：

CMD ["param1","param2"]

另外兩種使用方式分別是 exec 模式和 shell 模式：

CMD ["executable","param1","param2"] // 這是 exec 模式的寫法，注意需要使用雙引號。
CMD command param1 param2 // 這是 shell 模式的寫法。

注意命令行參數可以覆蓋 CMD 指令的設置，但是只能是重寫，卻不能給 CMD 中的命令通過命令行傳遞參數。
一般的鏡像都會提供容器啟動時的默認命令，但是有些場景中用戶并不想執行默認的命令。用戶可以通過命令行參數的方式覆蓋 CMD 指令提供的默認命令。比如通過下面命令創建的鏡像：

FROM ubuntu
CMD [ "top" ]

在啟動容器時我們通過命令行指定參數 ps aux 覆蓋默認的 top 命令：

從上圖可以看到，命令行上指定的 ps aux 命令覆蓋了 Dockerfile 中的 CMD [ "top" ]。實際上，命令行上的命令同樣會覆蓋 shell 模式的 CMD 指令。

ENTRYPOINT 指令

ENTRYPOINT 指令的目的也是為容器指定默認執行的任務。

ENTRYPOINT 指令有兩種使用方式，就是我們前面介紹的 exec 模式和 shell 模式：

ENTRYPOINT ["executable", "param1", "param2"] // 這是 exec 模式的寫法，注意需要使用雙引號。
ENTRYPOINT command param1 param2 // 這是 shell 模式的寫法。

exec 模式和 shell 模式的基本用法和 CMD 指令是一樣的，下面我們介紹一些比較特殊的用法。

指定 ENTRYPOINT 指令為 exec 模式時，命令行上指定的參數會作為參數添加到 ENTRYPOINT 指定命令的參數列表中。用下面的代碼構建鏡像 test1：

FROM ubuntu
ENTRYPOINT [ "top", "-b" ]

運行下面的命令：

$ docker run --rm test1 -c

我們在命令行上添加的參數被追加到了 top 命令的參數列表中。

由 CMD 指令指定默認的可選參數：

FROM ubuntu
ENTRYPOINT [ "top", "-b" ]
CMD [ "-c" ]

使用這段代碼構建鏡像 test2 并不帶命令行參數啟動容器：

$ docker run --rm test2

這時容器中運行的命令為：top -b -c。

如果我們指定命令行參數：

$ docker run --rm test2 -n 1

-n 1 會覆蓋 通過 CMD [ "-c" ] 指定的參數，容器執行的命令為：top -b -n 1

注意上圖的輸出顯示 -c 參數被覆蓋了。

指定 ENTRYPOINT 指令為 shell 模式時，會完全忽略命令行參數：

FROM ubuntu
ENTRYPOINT echo $HOME 

把上面的代碼編譯成鏡像 test2，分別不帶命令行參數和使用命令行參數 ls 執行命令：

我們看到 ls 命令沒有被執行，這說明命令行參數被 ENTRYPOINT 指令的 shell 模式忽略了。

覆蓋默認的 ENTRYPOINT 指令：

ENTRYPOINT 指令也是可以被命令行覆蓋的，只不過不是默認的命令行參數，而是需要顯式的指定 --entrypoint 參數。比如我們通過下面的方式覆蓋上面鏡像中的 echo $HOME 命令：

$ docker run --rm --entrypoint hostname test2

這里我們使用 hostname 命令覆蓋了默認的 echo $HOME 命令。

Dockerfile 中至少要有一個

如果鏡像中既沒有指定 CMD 也沒有指定 ENTRYPOINT 那么在啟動容器時會報錯。這不算是什么問題，因為現在能見到的絕大多數鏡像都默認添加了 CMD 或 ENTRYPOINT 指令。

指定任意一個，效果差不多

從結果上看，CMD 和 ENTRYPOINT 是一樣的，我們可以通過它們實現相同的目的。下面我們分別用 CMD 和 ENTRYPOINT 設置 top -b 命令，然后觀察容器運行時的 metadata 信息：

或者：

雖然實現方式不同，但最終容器運行的命令是一樣的。

同時使用 CMD 和 ENTRYPOINT 的情況

對于 CMD 和 ENTRYPOINT 的設計而言，多數情況下它們應該是單獨使用的。當然，有一個例外是 CMD 為 ENTRYPOINT 提供默認的可選參數。

我們大概可以總結出下面幾條規律：

     • 如果 ENTRYPOINT 使用了 shell 模式，CMD 指令會被忽略。

     • 如果 ENTRYPOINT 使用了 exec 模式，CMD 指定的內容被追加為 ENTRYPOINT 指定命令的參數。

     • 如果 ENTRYPOINT 使用了 exec 模式，CMD 也應該使用 exec 模式。

真實的情況要遠比這三條規律復雜，好在 docker 給出了官方的解釋，如下圖所示：

當我們無法理解容器中運行命令的行為時，說不定通過這個表格可以解開疑惑！

總結

對于 Dockerfile 來說，CMD 和 ENTRYPOINT 是非常重要的指令。它們不是在構建鏡像的過程中執行，而是在啟動容器時執行，所以主要用來指定容器默認執行的命令。但是提供兩個功能類似的指令，必然會給用戶帶來理解上的困惑和使用中的混淆。希望本文能夠幫助大家理解二者的區別與聯系，并更好的使用二者。

參考：

Docker 官方文檔
ENTRYPOINT vs CMD: Back to Basics
Dockerfile: ENTRYPOINT vs CMD