-e5651c91ea8f4875ab4272337398cabe.JPG)
Docker镜像
Docker镜像概述
什么是Docker镜像?
Docker镜像是一种轻量级,可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的程序,它包含运行某个程序所需要所有内容,包括代码、库文件、环境变量和配置文件。
简单来说Docker镜像就好比是一个模板,可以通过这个模板来创建容器服务;一个镜像可以创建多个容器(程序运行在容器中)。
docker存储驱动
docker提供了多种存储驱动来实现不同的方式存储镜像,下面是常用的几种存储驱动:
- AUFS
- OverlayFS
- Devicemapper
- Btrfs
- VFS
AUFS
AUFS(AnotherUnionFS)是一种Union FS,是文件级的存储驱动。AUFS是一个能透明覆盖一个或多个现有文件系统的层状文件系统,把多层合并成文件系统的单层表示。简单来说就是支持将不同目录挂载到同一个虚拟文件系统下的文件系统。这种文件系统可以一层一层地叠加修改文件。无论底下有多少层都是只读的,只有最上层的文件系统是可写的。当需要修改一个文件时,AUFS创建该文件的一个副本,使用CoW将文件从只读层复制到可写层进行修改,结果也保存在可写层。在Docker中,底下的只读层就是image,可写层就是Container。
AUFS文件系统据说有3W行代码,而ext4文件系统却只有4000-5000行左右代码,这些代码是要被整合进内核的,后来AUFS申请要被合并进内核代码的时候,linuz觉得它这代码太过臃肿,于是拒绝了。因此AUFS这个文件系统一直以来就不是linux内核中自有的文件系统,想用AUFS这个文件系统的话,必须自己向内核打补丁并去编译使用它,但redhat系列的操作系统一向以稳定著称,不会干这种出格的事,所以在redhat系列操作系统中使用AUFS并无可能。而ubuntu上的docker默认使用的就是AUFS。
OverlayFS
Overlay是Linux内核3.18后支持的,也是一种Union FS,和AUFS的多层不同的是Overlay只有两层:一个upper文件系统和一个lower文件系统,分别代表Docker的镜像层和容器层。当需要修改一个文件时,使用CoW将文件从只读的lower复制到可写的upper进行修改,结果也保存在upper层。在Docker中,底下的只读层就是image,可写层就是Container。目前最新的OverlayFS为Overlay2。
AUFS和Overlay都是联合文件系统,但AUFS有多层,而Overlay只有两层,所以在做写时复制操作时,如果文件比较大且存在比较低的层,则AUSF会慢一些。而且Overlay并入了linux kernel mainline,AUFS没有。目前AUFS已基本被淘汰。
DeviceMapper
Device mapper是Linux内核2.6.9后支持的,提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略。AUFS和OverlayFS都是文件级存储,而Device mapper是块级存储,所有的操作都是直接对块进行操作,而不是文件。Device mapper驱动会先在块设备上创建一个资源池,然后在资源池上创建一个带有文件系统的基本设备,所有镜像都是这个基本设备的快照,而容器则是镜像的快照。所以在容器里看到文件系统是资源池上基本设备的文件系统的快照,并没有为容器分配空间。当要写入一个新文件时,在容器的镜像内为其分配新的块并写入数据,这个叫用时分配。当要修改已有文件时,再使用CoW为容器快照分配块空间,将要修改的数据复制到在容器快照中新的块里再进行修改。
OverlayFS是文件级存储,Device mapper是块级存储,当文件特别大而修改的内容很小,Overlay不管修改的内容大小都会复制整个文件,对大文件进行修改显然要比小文件要消耗更多的时间,而块级无论是大文件还是小文件都只复制需要修改的块,并不是整个文件,在这种场景下,显然device mapper要快一些。因为块级的是直接访问逻辑盘,适合IO密集的场景。而对于程序内部复杂,大并发但少IO的场景,Overlay的性能相对要强一些。
docker registry
启动容器时,docker daemon会试图从本地获取相关的镜像,本地镜像不存在时,其将从Registry中下载该镜像并保存到本地。
Registry用于保存docker镜像,包括镜像的层次结构和元数据。用户可以自建Registry,亦可使用官方的Docker Hub。
docker registry的分类:
- Sponsor Registry:第三方的Registry,供客户和Docker社区使用
- Mirror Registry:第三方的Registry,只让客户使用
- Vendor Registry:由发布docker镜像的供应商提供的registry
- Private Registry:通过设有防火墙和额外的安全层的私有实体提供的registry
docker registry的组成:
- Repository
- 由某特定的docker镜像的所有迭代版本组成的镜像仓库
- 一个Registry中可以存在多个Repository
- Repository可分为“顶层仓库”和“用户仓库”
- 用户仓库名称格式为“用户名/仓库名”
- 每个仓库可包含多个Tag(标签),每个标签对应一个镜像
- Index
- 维护用户帐户、镜像的检验以及公共命名空间的信息
- 相当于为Registry提供了一个完成用户认证等功能的检索接口
Docker Registry中的镜像通常由开发人员制作,而后推送至“公共”或“私有”Registry上保存,供其他人员使用,例如“部署”到生产环境。
Docker镜像详解
UnionFS(联合文件系统)
UnionFS(联合文件系统)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层一层的叠加,同时可以将不同的文件系统挂载到同一个虚拟文件系统下。UnionFS(联合文件系统)是Docker镜像的基础,镜像可以通过分层来进行继承,基于基础镜像可以制作各种应用镜像。
UnionFS(联合文件系统)特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录。
基于联合文件系统的镜像分层
Docker的镜像实际上由一层一层的文件系统组成,使用层级的文件系统UnionFS。
典型的Linux文件系统由bootfs和rootfs两部分组成。
- bootfs(boot file system)主要包含bootloader和kernel, bootloader主要是引导加载kernel,Linux刚启动时会加载bootfs文件系统,在Docker镜像的最底层是bootfs。这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。
- rootfs (root file system) ,在bootfs之上。包含的就是典型Linux系统中的/dev, /proc, /bin, /etc等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如:Centos、Ubuntu等等。
这里也解释了为什么虚拟机占用空间非常大通常以G为单位,为什么docker这里才几十上百M?
- 对于一个精简的OS,rootfs可以很小,只需要包括最基本的命令、工具和程序库就可以了,因为底层直接用Host的kernel,自己只需要提供rootfs就行了。由此可见对于不同的linux发行版, bootfs基本是一致的, rootfs会有差别, 因此不同的发行版可以公用bootfs。
基于联合文件系统的镜像分层工作原理:
基于联合文件系统的镜像分层优缺点:
优点:
- 便于镜像的修改。
- 有助于共享资源。具有相同环境的应用程序的镜像共享同一个环境镜像,不需要每个镜像都创建一个底层环境,运行时也只需要加载同一个底层环境。
不足:
- 会导致镜像的层数越来越多,而联合文件系统所允许的层数是有限的。
- 当需要修改大文件时,以文件为粒度的写时拷贝需要复制整个大文件进行修改,会影响操作效率。
- 一些上层的镜像都基于相同的底层基础镜像,一旦基础镜像需要修改,而基于它的上层镜像如果是通过容器生成的,则维护工作量会变得相当大。
- 镜像的使用者无法对镜像进行审计,存在一定的安全隐患。
基于Dockerfile文件的镜像分层
为克服镜像分层方式的不足,Docker推荐选择Dockerfile文件逐层构建镜像。
大多数Docker镜像都是在其他镜像的基础上逐层建立起来的。Dockerfile文件在构建镜像时每一层都由镜像的Dockerfile指令所决定。除了最后一层,每层都是只读的。
FROM Centos:7
RUN yum -y install vim
CMD ["/bin/bash"]
Docker镜像为什么分层?
镜像分层最大的一个好处就是共享资源。
比如说有多个镜像都从相同的底层镜像构建而来,那么Docker Host只需保存一份底层镜像;同时运行时内存中也只需加载一份底层镜像,就可以为所有容器服务了;而且镜像的每一层都可以被共享。
容器在运行时也用到了镜像分层技术。
如果多个容器使用同一份基础镜像启动,当某个容器修改了基础镜像的内容,比如/etc下的文件,这时镜像和其他容器的/etc是不会被修改的,修改只会被限制在单个容器内。这就是容器Copy-on-Write特性。
Docker镜像都是只读的,当容器加载镜像启动时,一个新的可写层被加载到镜像的顶部,这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。所有对容器的改动,无论添加、删除、还是修改文件都只会发生在容器层中;只有容器层是可写的,容器层下面的所有镜像层都是只读的。
docker镜像的制作
多数情况下,我们做镜像是基于别人已存在的某个基础镜像来实现的,我们把它称为base image。比如一个纯净版的最小化的centos、ubuntu或debian。
那么这个最小化的centos镜像从何而来呢?其实这个基础镜像一般是由Docker Hub的相关维护人员,也就是Docker官方手动制作的。这个基础镜像的制作对于Docker官方的专业人员来说是非常容易的,但对于终端用户来说就不是那么容易制作的了。
Docker Hub
Docker Hub是一种基于云的注册服务,它允许您链接到代码存储库、构建图像并测试它们、存储手动推送的图像以及指向Docker cloud的链接,以便您可以将图像部署到主机。
它为容器映像发现、分发和更改管理、用户和团队协作以及整个开发管道中的工作流自动化提供了一个集中化的资源
Docker Hub提供以下主要功能:
- 图像存储库
- 从社区和官方图书馆中查找和提取图像,以及从您可以访问的私人图像库中管理、推送和提取图像。
- 自动构建
- 在对源代码存储库进行更改时自动创建新映像。
- 网钩
- 作为自动构建的一项功能,Webhooks允许您在成功推送到存储库后触发操作。
- 组织机构
- 创建工作组以管理对图像存储库的访问。
- GitHub和Bitbucket集成
- 将中心和Docker图像添加到当前工作流中。
docker镜像的获取
要从远程注册表(如您自己的Docker注册表)获取Docker映像并将其添加到本地系统,请使用Docker pull命令:
# docker pull <registry>[:<port>]/[<namespace>/]<name>:<tag>
是在TCP上提供docker分发服务的主机(默认值:5000)
并在注册表中标识由控制的特定图像
- 一些注册中心还支持原始数据;对于这些,是可选的
- 但是,当包含它时,提供的附加层次结构级别可用于区分具有相同属性的图像
层次结构的附加层次
| Namespace | Examples( |
|---|---|
| organization | redhat/kubernetes, google/kubernetes |
| login(username) | Alice/application, bob/application |
| role | devel/database, test/database, prod/database |
镜像的生成
镜像的生成途径:
- Dockerfile
- 基于容器制作
- Docker Hub automated builds
基于容器制作镜像
根据容器的更改创建新图像
用法:
docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]
| Options | Default | Description |
|---|---|---|
| —author, -a | Author (e.g., "John Hannibal Smith hannibal@a-team.com") | |
| -c, --change list | Apply Dockerfile instruction to the created image | |
| -m, --message string | Commit message | |
| -p, --pause | true | Pause container during commit |
[root@localhost ~]# docker pull busybox
Using default tag: latest
latest: Pulling from library/busybox
3aab638df1a9: Pull complete
Digest: sha256:52817dece4cfe26f581c834d27a8e1bcc82194f914afe6d50afad5a101234ef1
Status: Downloaded newer image for busybox:latest
docker.io/library/busybox:latest
[root@localhost ~]# docker run -it --name nginx busybox /bin/sh
/ # ls
bin dev etc home proc root sys tmp usr var
/ # mkdir data
/ # cd data/
/data # echo "WelCome to Myhome." > index.html
/data # cat index.html
WelCome to Myhome.
在创建镜像时,我们不能关闭容器,必须使其处于运行状态,所以我们必须要另起一个终端,然后执行
[root@localhost ~]# docker commit -p nginx
sha256:b49e3bec45b5efecb925f9954bfa57f3eda31bbbc38ed00a757d3304076dede6
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
<none> <none> b49e3bec45b5 16 seconds ago 1.24MB
busybox latest d23834f29b38 2 days ago 1.24MB
[root@localhost ~]# docker tag b49e3bec45b5 dengzichen/nginx:1.0.0
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
dengzichen/nginx 1.0.0 b49e3bec45b5 2 minutes ago 1.24MB
busybox latest d23834f29b38 2 days ago 1.24MB
此时要注意的是,我们的仓库名叫nginx,所以我们要在Docker Hub上创建一个名为nginx的仓库,然后再将我们做好的镜像push上去
[root@localhost ~]# docker login
Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username: dengzichen
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
[root@localhost ~]# docker push dengzichen/nginx:1.0.0
The push refers to repository [docker.io/dengzichen/nginx]
f1e9e3e3bed2: Pushed
9f2549622fec: Mounted from library/busybox
Head "https://production.cloudflare.docker.com/registry-v2/docker/registry/v2/blobs/sha256/b4/b49e3bec45b5efecb925f9954bfa57f3eda31bbbc38ed00a757d3304076dede6/data?verify=1638463333-VtSlC%2FkHDFaGOqiHnn5C9W04kJo%3D": net/http: TLS handshake timeout
镜像的导入与导出
假如有2台主机,我们在主机1上做了一个镜像,主机2想用这个镜像怎么办呢?
我们可以在主机1上push镜像到镜像仓库中,然后在主机2上pull把镜像拉下来使用,这种方式就显得比较麻烦,假如我只是测试用的,在一台主机上做好镜像后在另一台主机上跑一下就行了,没必要推到仓库上然后又把它拉到本地来。
此时我们可以在已有镜像的基础上把镜像打包成一个压缩文件,然后拷贝到另一台主机上将其导入,这就是镜像的导入和导出功能。
docker中我们使用docker save进行导出,使用docker load进行导入。
评论区