本文详细介绍了Docker镜像的概念,包括其分层结构、存储驱动(AUFS, OverlayFS, DeviceMapper)以及Docker Registry。还讨论了如何制作、获取、上传和验证Docker镜像,以及镜像的导入与导出。镜像的分层特性允许高效存储和管理,而Docker Registry则负责镜像的分发。"
132633428,19694601,使用C#动态规划解决背包问题,"['动态规划', '算法', 'C#']
文章目录
1. 镜像的概念
镜像可以理解为应用程序的集装箱,而docker用来装卸集装箱。
docker镜像含有启动器所需要的文件系统及其内容,所以其用于创建并启动docker容器
采用分层构建机制,最底层为bootfs,上层为rootfs
- bootfs:用于系统引导的文件系统,包括bootloader和kernel,容器启动完成后或被卸载以节约内存资源
- rootfs:位于bootfs之上,表现为docker容器的根文件系统
- 传统模式中,系统启动时,内核挂载rootfs时会首先将其挂载为只读模式,完整性自检完成后将其挂载为读写模式
- docker中,rootfs由内核挂载为只读模式,而后通过联合挂载技术额外挂载一个可写层
2. Docker的镜像层
位于下层的镜像成为父镜像(parent image),最底层的成为基础镜像(base image)
最上层为"可读写"层,其下的均为"只读"层。
分层构建是在纯净的Debian镜像之上添加一个emacs,然后在emacs之上再添加apache。每添加一个软件都是一个独立的层次,bootfs/Kernel层在容器启动时,rootfs一旦被引导完成,会被从内存中移除。
真正的用户空间运行的只有Debian、emacs、apache这三层,同时这三层是有层级关系的。最底层的是base image,是供给一个系统的基本构成(比如bin、sbin等),但是它是最小化的,没有依赖的应用程序。
如果需要用到某些额外的应用程序的话,需要在其上面进行安装操作。比如最小化安装了centos,然后在centos上安装vim。注意对于镜像来讲,是只读的,需要创建的centos镜像是最小化,是不会动的,安装vim时会在这个镜像上生成一个新的层次,这个层次只包含vim程序。如果安装httpd的话,需要在vim层安装一个新的层次。如果要启动nginx的,就要把centos、vim和nginx这三层都启动起来。
容器启动起来之后,如果需要创建临时文件,一般是放在/tmp目录下的,但是在docker中/tmp是位于底层基础镜像中是不允许编辑的,所以就要在最上层添加可读写层。
注意:如果删除了容器,最上层的"可读写"层也会被删除。
3. Docker存储驱动
docker提供了多种存储驱动来实现不同的方式存储镜像
3.1 AUFS
AUFS(AnotherUnionFS)是一种Union FS,是文件级的存储驱动。AUFS是一个能透明覆盖一个或多个现有文件系统的层状文件系统,把多层合并成文件系统的单层表示。简单来说就是支持将不同目录挂载到同一个虚拟文件系统下的文件系统。这种文件系统可以一层一层地叠加修改文件。无论底下有多少层都是只读的,只有最上层的文件系统是可写的。当需要修改一个文件时,AUFS创建该文件的一个副本,使用CoW将文件从只读层复制到可写层进行修改,结果也保存在可写层。在Docker中,底下的只读层就是image,可写层就是Container。
AUFS文件系统据说有3W行代码,而ext4文件系统却只有4000-5000行左右代码,这些代码是要被整合进内核的,后来AUFS申请要被合并进内核代码的时候,linuz觉得它这代码太过臃肿,于是拒绝了。因此AUFS这个文件系统一直以来就不是linux内核中自有的文件系统,想用AUFS这个文件系统的话,必须自己向内核打补丁并去编译使用它,但redhat系列的操作系统一向以稳定著称,不会干这种出格的事,所以在redhat系列操作系统中使用AUFS并无可能。而ubuntu上的docker默认使用的就是AUFS。
3.2 OverlayFS
Overlay是Linux内核3.18后支持的,也是一种Union FS,和AUFS的多层不同的是Overlay只有两层:一个upper文件系统和一个lower文件系统,分别代表Docker的镜像层和容器层。当需要修改一个文件时,使用CoW将文件从只读的lower复制到可写的upper进行修改,结果也保存在upper层。在Docker中,底下的只读层就是image,可写层就是Container。目前最新的OverlayFS为Overlay2。
AUFS和Overlay都是联合文件系统,但AUFS有多层,而Overlay只有两层,所以在做写时复制操作时,如果文件比较大且存在比较低的层,则AUSF会慢一些。而且Overlay并入了linux kernel mainline,AUFS没有。目前AUFS已基本被淘汰。
3.3 DeviceMapper
Device mapper是Linux内核2.6.9后支持的,提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略。AUFS和OverlayFS都是文件级存储,而Device mapper是块级存储,所有的操作都是直接对块进行操作,而不是文件。Device mapper驱动会先在块设备上创建一个资源池,然后在资源池上创建一个带有文件系统的基本设备,所有镜像都是这个基本设备的快照,而容器则是镜像的快照。所以在容器里看到文件系统是资源池上基本设备的文件系统的快照,并没有为容器分配空间。当要写入一个新文件时,在容器的镜像内为其分配新的块并写入数据,这个叫用时分配。当要修改已有文件时,再使用CoW为容器快照分配块空间,将要修改的数据复制到在容器快照中新的块里再进行修改。
OverlayFS是文件级存储,Device mapper是块级存储,当文件特别大而修改的内容很小,Overlay不管修改的内容大小都会复制整个文件,对大文件进行修改显然要比小文件要消耗更多的时间,而块级无论是大文件还是小文件都只复制需要修改的块,并不是整个文件,在这种场景下,显然device mapper要快一些。因为块级的是直接访问逻辑盘,适合IO密集的场景。而对于程序内部复杂,大并发但少IO的场景,Overlay的性能相对要强一些。
4. Docker Registry
启动容器时,docker daemon会试图从本地获取相关的镜像;
本地镜像不存在时,其将从Registry中下载该镜像并保存到本地;
如果没有特别指定registry,那么通常就是docker hub;
如果要指向别的registry,必须在镜像的访问路径当中指明服务器地址;
如果没有服务器地址,只给了仓库名/tags,那么这个镜像一定是指docker hub。
docker registry的分类:
- Sponsor Registry:第三方的Registry,供客户和Docker社区使用
- Mirror Registry:第三方的Registry,只让客户使用
- Vendor Registry:由发布docker镜像的供应商提供的registry
- Private Registry:通过设有防火墙和额外的安全层的私有实体提供的registry
docker registry的组成:
- Repository
- 由某特定的docker镜像的所有迭代版本组成的镜像仓库
- 一个Registry中可以存在多个Repository
- Repository可分为“顶层仓库”和“用户仓库”
- 用户仓库名称格式为“用户名/仓库名”
- 每个仓库可包含多个Tag(标签),每个标签对应一个镜像
- Index
- 维护用户帐户、镜像的检验以及公共命名空间的信息
- 相当于为Registry提供了一个完成用户认证等功能的检索接口
5. 制作Docker镜像
多数情况下,我们做镜像是基于别人已存在的某个基础镜像来实现的,我们把它称为base image。比如一个纯净版的最小化的centos、ubuntu或debian。
5.1 获取镜像
获取镜像的方式:Docker Hub
要从远程Registry(如您自己的Docker Registry)获取Docker图像并将其添加到您的本地系统,需要使用docker pull命令
语法:docker pull <registry>[:<port>]/[<namespace>/]<name>:<tag>
例:
[root@node01 ~]# docker pull httpd
5.2 生成镜像
镜像的生成途径:
- Dockerfile
- 基于容器制作
- Docker Hub automated builds
基于容器制作镜像
语法:
docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]
OPTIONS:
-a 指定作者
-c 对创建的镜像应用Dockerfile指令
-m 提交消息
-p 提交期间暂停容器
下载镜像并进行修改
[root@node01 ~]# docker pull busybox
[root@node01 ~]# docker run -it busybox
/ # ls
bin etc proc sys usr
dev home root tmp var
/ # mkdir data
/ # echo 'hello word !' > data/index.html
/ # cat data/index.html
hello word !
在创建镜像时,我们不能关闭容器,必须使其处于运行状态,所以我们必须要另起一个终端,然后执行下面的操作
将镜像进行打包
[root@node01 ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
c76cebe33bdb busybox "sh" 2 minutes ago Up 2 minutes vigilant_shamir
[root@node01 ~]# docker commit -p c76cebe33bdb
[root@node01 ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
<none> <none> f0c0ef57cf20 2 minutes ago 1.22MB
httpd latest a6ea92c35c43 3 weeks ago 166MB
busybox latest 018c9d7b792b 4 weeks ago 1.22MB
5.3 上传镜像
要在Docker Hub上创建一个仓库,然后再将我们做好的镜像push上去
给镜像打标签,这里的标签要和我们上一步创建的仓库名字一样
[root@node01 ~]# docker tag f0c0ef57cf20 pengzh10/httpd:v1.0
[root@node01 ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
pengzh10/httpd v1.0 f0c0ef57cf20 10 minutes ago 1.22MB
httpd latest a6ea92c35c43 3 weeks ago 166MB
busybox latest 018c9d7b792b 4 weeks ago 1.22MB
登陆docker hub,将镜像上传至docker hub
[root@node01 ~]# docker login
Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username: pengzh10
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
[root@node01 ~]# docker push pengzh10/httpd:v1.0
The push refers to repository [docker.io/pengzh10/httpd]
b96e50e55455: Pushed
514c3a3e64d4: Pushed
v1.0: digest: sha256:ad9ad7373ad73cb10c2055b68cc2f842b64cb5b1a0f9eb4b20fbd936099893da size: 734
在docker hub上查看是否上传成功
5.4 使用新镜像验证
使用新生成的镜像创建容器
[root@node01 ~]# docker run -it pengzh10/httpd:v1.0
[root@node01 ~]# docker run -it pengzh10/httpd:v1.0
/ # ls
bin dev home root tmp var
data etc proc sys usr
/ # cat data/index.html
hello word !
由此可见,新生成的镜像中是包含了新增的内容的,但是此时有一个问题,那就是容器默认要启动的进程是什么?在这里,默认情况下是启动的sh进程,但我们是要启动一个http站点,所以我们要在创建镜像时将容器默认启动的进程设为httpd,这样一来我们就可以通过新生成的镜像来快速构建一个简单的http站点了。
使用docker inspect命令查看b1容器启动的默认进程是什么
[root@node01 ~]# docker inspect e8300ab8ac1d
[
...
"Cmd": [
"sh"
],
...
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.2",
...
]
重新生成镜像并上传
[root@node01 ~]# docker commit -a 'pengzh' -c 'CMD ["/bin/httpd","-f","-h","/data"]' -p e8300ab8ac1d pengzh10/httpd:v2.0
sha256:1f2ec39b7f8f2680ae85a1c8513b9551860999dc2dcacfe75ba99dc9343fc849
[root@node01 ~]# docker push pengzh10/httpd:v2.0
The push refers to repository [docker.io/pengzh10/httpd]
777e1d15c5a5: Pushed
b96e50e55455: Layer already exists
514c3a3e64d4: Layer already exists
v2.0: digest: sha256:7c75e2dcdb48e21bd31e89e7d4a4b4bbbf882e002f25b8f8a753fa98d89caddc size: 941
使用新生成的镜像创建容器
[root@node01 ~]# docker run -d pengzh10/httpd:v2.0
4b9910541f2ec3a4d8e9dc2b8f6f9e69414b4ef816bf6080c6a527b5fad46e77
[root@node01 ~]# docker container ls
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
4b9910541f2e pengzh10/httpd:v2.0 "/bin/httpd -f -h /d…" 18 seconds ago Up 17 seconds gifted_nightingale
使用docker inspect命令查看容器启动的默认进程是什么,以及其IP地址,然后用curl命令访问该IP,看是否能访问到网页
[root@node01 ~]# docker inspect 4b9910541f2e
...
"Cmd": [
"/bin/httpd",
...
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.2",
...
[root@node01 ~]# curl 172.17.0.2
hello word !
6. 镜像的导入与导出
docker中我们使用docker save进行导出,使用docker load进行导入。
在已生成镜像的主机上执行docker save导出镜像
[root@node01 ~]# docker save -o images.gz pengzh10/httpd:v2.0
[root@node01 ~]# ls
images.gz
在另一台没有镜像的主机上执行docker load导入镜像
[root@node02 ~]# docker load -i images.gz
扫一扫
7909
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
