文章目录
-
- 镜像的概念
- docker镜像层
- docker存储驱动
- [docker registry](#docker registry)
- docker镜像的制作
-
- [Docker Hub](#Docker Hub)
- docker镜像的获取
- 镜像的生成
- 基于容器制作镜像
- 镜像的导入与导出
镜像的概念
镜像可以理解为应用程序的集装箱,而docker用来装卸集装箱。
docker镜像含有启动容器所需要的文件系统及其内容,因此,其用于创建并启动容器。
docker镜像采用分层构建机制,最底层为bootfs,其上为rootfs
- bootfs:用于系统引导的文件系统,包括bootloader和kernel,容器启动完成后会被卸载以节约内存资源
- rootfs:位于bootfs之上,表现为docker容器的根文件系统
- 传统模式中,系统启动之时,内核挂载rootfs会首先将其挂载为"只读"模式,完整性自检完成后将其重新挂载为读写模式
- docker中,rootfs由内核挂载为"只读"模式,而后通过"联合挂载"技术额外挂载一个"可写"层
注意:当删除容器时,这个容器自有的"可写"层也会一起被删除
docker镜像层
位于下层的镜像称为父镜像(parrent image),最底层的称为基础镜像(base image);
最上层为"可读写"层,其下的均为"只读"层。
docker存储驱动
docker提供了多种存储驱动来实现不同的方式存储镜像,下面是常用的几种存储驱动:
- AUFS
- OverlayFS
- Devicemapper
- Btrfs
- VFS
AUFS
AUFS(AnotherUnionFS)是一种Union FS,是文件级的存储驱动。AUFS是一个能透明覆盖一个或多个现有文件系统的层状文件系统,把多层合并成文件系统的单层表示。简单来说就是支持将不同目录挂载到同一个虚拟文件系统下的文件系统。这种文件系统可以一层一层地叠加修改文件。无论底下有多少层都是只读的,只有最上层的文件系统是可写的。当需要修改一个文件时,AUFS创建该文件的一个副本,使用CoW(Copy Write 写时复制)将文件从只读层复制到可写层进行修改,结果也保存在可写层。在Docker中,底下的只读层就是image,可写层就是Container。
AUFS文件系统据说有3W行代码,而ext4文件系统却只有4000-5000行左右代码,这些代码是要被整合进内核的,后来AUFS申请要被合并进内核代码的时候,linux觉得它这代码太过臃肿,于是拒绝了。因此AUFS这个文件系统一直以来就不是linux内核中自有的文件系统,想用AUFS这个文件系统的话,必须自己向内核打补丁并去编译使用它,但redhat系列的操作系统一向以稳定著称,不会干这种出格的事,所以在redhat系列操作系统中使用AUFS并无可能。而ubuntu上的docker默认使用的就是AUFS。
OverlayFS
Overlay是Linux内核3.18后支持的,也是一种Union FS,和AUFS的多层不同的是Overlay只有两层:一个upper文件系统和一个lower文件系统,分别代表Docker的镜像层和容器层。当需要修改一个文件时,使用CoW(Copy Write 写时复制)将文件从只读的lower复制到可写的upper进行修改,结果也保存在upper层。在Docker中,底下的只读层就是image,可写层就是Container。目前最新的OverlayFS为Overlay2。
AUFS和Overlay都是联合文件系统,但AUFS有多层,而Overlay只有两层,所以在做写时复制操作时,如果文件比较大且存在比较低的层,则AUSF会慢一些。而且Overlay并入了linux kernel mainline,AUFS没有。目前AUFS已基本被淘汰。
DeviceMapper
Device mapper是Linux内核2.6.9后支持的,提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略。AUFS和OverlayFS都是文件级存储,而Device mapper是块级存储,所有的操作都是直接对块进行操作,而不是文件。Device mapper驱动会先在块设备上创建一个资源池,然后在资源池上创建一个带有文件系统的基本设备,所有镜像都是这个基本设备的快照,而容器则是镜像的快照。所以在容器里看到文件系统是资源池上基本设备的文件系统的快照,并没有为容器分配空间。当要写入一个新文件时,在容器的镜像内为其分配新的块并写入数据,这个叫用时分配。当要修改已有文件时,再使用CoW为容器快照分配块空间,将要修改的数据复制到在容器快照中新的块里再进行修改。
OverlayFS是文件级存储,Device mapper是块级存储,当文件特别大而修改的内容很小,Overlay不管修改的内容大小都会复制整个文件,对大文件进行修改显然要比小文件要消耗更多的时间,而块级无论是大文件还是小文件都只复制需要修改的块,并不是整个文件,在这种场景下,显然device mapper要快一些。因为块级的是直接访问逻辑盘,适合IO密集的场景。而对于程序内部复杂,大并发但少IO的场景,Overlay的性能相对要强一些。
text
总之一句话,一个文件很大而需要修改的东西很小,应当用Device mapper。
Overlay使用场景IO很少,修改内容很少,基本用来访问。
Device mapper 需要修改文件,它只会复制需要修改的那一部分出来修改。
而Overlay需要修改文件,它会把整个文件都复制出来,才能修改。
比如有一个很大的文件20G需要修改一小部分,Overlay会把整个文件都复制出来然后修改,效率就会很慢,要消耗更多的时间。而Device mapper只会把需要修改的那一部分复制出来修改。效率就会比Overlay效率高。
docker存储驱动:如何选择到底使用 Overlay/还是 Device mapper
举个例子:
一个容器,它只用来访问很少在里面做修改动作,这时候就应该用Overlay存储驱动。
一个容器,经常在里面用做修改动作,就需要用Device mapper存储驱动
当需要修改一个文件时,AUFS/Overlay/Device mapper创建该文件的一个副本,使用CoW(Copy Write 写时复制)将文件从只读层复制到可写层进行修改,结果也保存在可写层。在Docker中,底下的只读层就是image,可写层就是Container。docker registry
启动容器时,docker daemon会试图从本地获取相关的镜像,本地镜像不存在时,其将从Registry中下载该镜像并保存到本地。
Registry用于保存docker镜像,包括镜像的层次结构和元数据。用户可以自建Registry,亦可使用官方的Docker Hub。
docker registry的分类:
- Sponsor Registry:第三方的Registry,供客户和Docker社区使用
- Mirror Registry:第三方的Registry,只让客户使用
- Vendor Registry:由发布docker镜像的供应商提供的registry
- Private Registry:通过设有防火墙和额外的安全层的私有实体提供的registry (在公司里使用的是这个,上面仅了解)
docker registry的组成:
- Repository
- 由某特定的docker镜像的所有迭代版本组成的镜像仓库
- 一个Registry中可以存在多个Repository
- Repository可分为"顶层仓库"和"用户仓库"
- 用户仓库名称格式为"用户名/仓库名"
- 每个仓库可包含多个Tag(标签),每个标签对应一个镜像
- Index
- 维护用户帐户、镜像的检验以及公共命名空间的信息
- 相当于为Registry提供了一个完成用户认证等功能的检索接口
Docker Registry中的镜像通常由开发人员制作,而后推送至"公共"或"私有"Registry上保存,供其他人员使用,例如"部署"到生产环境。
docker镜像的制作
多数情况下,我们做镜像是基于别人已存在的某个基础镜像来实现的,我们把它称为base image。比如一个纯净版的最小化的centos、ubuntu或debian、。
那么这个最小化的centos镜像从何而来呢?其实这个基础镜像一般是由Docker Hub的相关维护人员,也就是Docker官方手动制作的。这个基础镜像的制作对于Docker官方的专业人员来说是非常容易的,但对于终端用户来说就不是那么容易制作的了。
Docker Hub
Docker Hub是一个基于云的注册服务,它允许你链接到代码库,构建和测试镜像,存储手动推送的镜像,并链接到Docker Cloud,这样你就可以将镜像部署到你的主机上。
它为容器镜像发现、分发和变更管理、用户和团队协作以及整个开发管道中的工作流自动化提供了一个集中的资源。
Docker Hub提供了以下主要特性:
- 镜像存储库
- 从社区和官方库中查找和提取镜像,管理、推送和从您可以访问的私有镜像库中提取镜像。
- 自动化的构建
- 自动构建在更改源代码存储库时自动创建新镜像。
- Webhooks
- 自动构建的一个特性,Webhooks可以让你在成功推送到存储库后触发操作。
- 组织机构
- 组织创建工作组来管理对镜像存储库的访问。
- GitHub和Bitbucket集成
- 添加枢纽和您的Docker镜像到您的当前工作流程。
docker镜像的获取
要从远程仓库(比如你自己的仓库)获取Docker镜像并将它们添加到你的本地系统,使用Docker pull命令:
text
# docker pull <registry>[:<port>]/[<namespace>/]<name>:<tag>
指定仓库的位置 <registry> # 如果不指定默认拉取官方的仓库
指定端口号 <port>
指定命名空间 <namespace>
指定名字 <name>
指定版本 <tag> # 不指定版本默认是latest版本是在TCP上提供docker分发服务的主机(默认值:5000)
合在一起,并在注册表(仓库)上识别由控制的特定镜像
- 有些注册表也支持行级的;对于这些注册表,是可选的
- 然而,当包含它时,提供的附加层次结构级别对于区分相同的镜像很有用的附加层次结构
| 命名空间 | 例子(/) |
|---|---|
| 组织 | redhat / kubernetes,谷歌/ kubernetes |
| 登录用户名 | Alice,登录(用户名)/应用程序/应用程序 |
| role | 开发/数据库,数据库测试/产品/数据库 |
镜像的生成
镜像的生成途径:
- Dockerfile
- 基于容器制作
- Docker Hub automated builds
基于容器制作镜像
- 根据容器的更改创建一个新镜像
使用方法:
text
docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]| Options | Default | Description |
|---|---|---|
| --author, -a | 作者(例如,"tom、Jerry hannibal@a-team.com") | |
| -c, --change list | 对创建的镜像应用Dockerfile指令 | |
| -m, --message string | 提交信息 | |
| -p, --pause | true | 提交期间暂停容器 |
shell
# 拉取busybox镜像
[root@localhost ~]# docker pull busybox
Using default tag: latest
latest: Pulling from library/busybox
bdbbaa22dec6: Pull complete
Digest: sha256:6915be4043561d64e0ab0f8f098dc2ac48e077fe23f488ac24b665166898115a
Status: Downloaded newer image for busybox:latest
docker.io/library/busybox:latest
# 查看当前有哪些镜像
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
busybox latest beae173ccac6 6 months ago 1.24MB
httpd latest dabbfbe0c57b 7 months ago 144MB
[root@localhost ~]#
# 使用busybox镜像启动成容器然后制作成新镜像
[root@localhost ~]# docker run -it --name b1 busybox
/ # pwd
/
/ # mkdir data # 在根下面创建data目录
/ # echo 'hello world' > data/index.html
/ # cat data/index.html
hello world
/ #在创建镜像时,我们不能关闭容器,必须使其处于运行状态,所以我们必须要另起一个终端,然后执行
shell
# commit 提交、-p 是提交期间暂停容器,不让他人再往这个容器写数据。
# 在这里不指定名字跟版本,所以docker images的时候是没有名字跟版本的
[root@localhost ~]# docker commit -p b1 # tkl9639/busybox:v0.1
sha256:49f5bb27f3eaff417c9a215615a03bf793bf6578a98db41dbb3748d53c738ae5
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
<none> <none> 49f5bb27f3ea 21 seconds ago 1.24MB # 没有名字跟版本号
busybox latest beae173ccac6 6 months ago 1.24MB
httpd latest dabbfbe0c57b 7 months ago 144MB
[root@localhost ~]#
# 没有名字跟版本,加上去,使用tag命令
[root@localhost ~]# docker tag 49f5bb27f3ea tkl9639/b1:v0.1
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
tkl9639/b1 v0.1 49f5bb27f3ea 5 minutes ago 1.24MB
busybox latest beae173ccac6 6 months ago 1.24MB
httpd latest dabbfbe0c57b 7 months ago 144MB
[root@localhost ~]#上传到镜像仓库使用push命令
shell
# 登录账号
[root@localhost ~]# docker login
Login with your Docker ID to push and pull images from Docker Hub. If youdon't have a Docker ID, head over to https://hub.docker.com to create one.
Username: tkl9639 # 账号
Password: # 输入账号的密码
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded # 看到这个表示成功
# 上传镜像到仓库里
[root@localhost ~]# docker push tkl9639/b1:v0.1
The push refers to repository [docker.io/seancheng1002/b1]
b91c804c38c2: Pushed
195be5f8be1d: Mounted from library/bus ybox
v0.1: digest: sha256:67be9d39f8a31405078567f51a447fe60b52f398bc6c0e9f351c083e5e512e2d size: 734使用新生成的镜像创建容器
shell
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
tkl9639/busybox v0.1 ce754d979fbc 10 seconds ago 1.24MB
busybox latest beae173ccac6 6 months ago 1.24MB
httpd latest dabbfbe0c57b 7 months ago 144MB
[root@localhost ~]# docker run -it --name test1 tkl9639/busybox:v0.1
/ # ls
bin data dev etc home proc root sys tmp usr var
/ # cat data/index.html
hello world
/ #由此可见,新生成的镜像中是包含了新增的内容的,但是此时有一个问题,那就是容器默认要启动的进程是什么?在这里,busybox镜像启动的容器默认情况下是启动的sh进程,但我们是要启动一个http站点,所以我们要在创建镜像时将容器默认启动的进程设为httpd,这样一来我们就可以通过新生成的镜像来快速构建一个简单的http站点了。
使用docker inspect命令查看b1容器启动的默认进程是什么
text
[root@localhost ~]# docker inspect b1
[
...此处省略N行
"Cmd": [
"sh" # 容器默认启动 sh
],
...此处省略N行
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.2",
...此处省略N行
]重新生成镜像并上传
shell
[root@localhost ~]# docker commit -a 'agan <agan9639@163.com>' -c 'CMD ["/bin/httpd","-f","-h","/data"]' -p b1 tkl9639/testweb:v0.2
sha256:bdf96f8e7dec95c843f023efeb0673a9533b040793bc1cd030574ae6f9ae90ab
-f 不要运行守护模式,意思就是让它在前台运行
-h 指定网站存放的位置
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
tkl9639/testweb v0.2 bdf96f8e7dec 17 seconds ago 1.24MB
tkl9639/busybox v0.1 ce754d979fbc 16 minutes ago 1.24MB
busybox latest beae173ccac6 6 months ago 1.24MB
httpd latest dabbfbe0c57b 7 months ago 144MB
[root@localhost ~]#
# 把制作好的镜像上传到镜像仓库
[root@localhost ~]# docker push tkl9639/testweb:v0.2使用新生成的镜像创建容器
shell
[root@localhost ~]# docker run -d --name test2 tkl9639/testweb:v0.2
1da94372564e6920a6bde04d7efa54771fdaa877fe14ab4ef71c54d92acdd41a
[root@localhost ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
1da94372564e tkl9639/testweb:v0.2 "/bin/httpd -f -h /d..." 4 seconds ago Up 3 seconds test2
391fb0671017 busybox "sh" 19 minutes ago Up 19 minutes b1
[root@localhost ~]#使用docker inspect命令查看t2容器启动的默认进程是什么,以及其IP地址,然后用curl命令访问该IP,看是否能访问到网页
shell
[root@localhost ~]# docker inspect test2
"Cmd": [
"/bin/httpd",
"-f",
"-h",
"/data"
......省略N
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.3",
[root@localhost ~]# curl 172.17.0.3 # 访问
hello world
[root@localhost ~]#镜像的导入与导出
假如有2台主机,我们在主机1上做了一个镜像,主机2想用这个镜像怎么办呢?
建议使用scp命令传输
我们可以在主机1上push镜像到镜像仓库中,然后在主机2上pull把镜像拉下来使用,这种方式就显得比较麻烦,假如我只是测试用的,在一台主机上做好镜像后在另一台主机上跑一下就行了,没必要推到仓库上然后又把它拉到本地来。
此时我们可以在已有镜像的基础上把镜像打包成一个压缩文件,然后拷贝到另一台主机上将其导入,这就是镜像的导入和导出功能。
docker中我们使用docker save进行导出,使用docker load进行导入。
在已生成镜像的主机上执行docker save导出镜像
shell
# 查看当前有那些镜像
[root@k8s-node02 ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
httpd 2.4.58 ac45b24b92cc 8 weeks ago 167MB
busybox latest beae173ccac6 2 years ago 1.24MB
nginx latest 605c77e624dd 2 years ago 141MB
mysql 8 3218b38490ce 2 years ago 516MB
mysql latest 3218b38490ce 2 years ago 516MB
httpd latest dabbfbe0c57b 2 years ago 144MB
centos 7 eeb6ee3f44bd 2 years ago 204MB
centos latest 5d0da3dc9764 2 years ago 231MB
[root@k8s-node02 ~]#
[root@k8s-node02 ~]# docker save -o busybox.tar.gz busybox:latest
[root@k8s-node02 ~]# ls
anaconda-ks.cfg busybox.tar.gz dongfangtong.iso
[root@k8s-node02 ~]# file busybox.tar.gz
busybox.tar.gz: POSIX tar archive
[root@k8s-node02 ~]#
[root@k8s-node02 ~]# scp busybox.tar.gz k8s-node01.example.com:/root/
busybox.tar.gz 100% 1437KB 62.7MB/s 00:00 在另一台没有镜像的主机上执行docker load导入镜像
shell
# 查看另一台 当前是没有镜像的
[root@k8s-node01 ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
[root@k8s-node01 ~]#
[root@k8s-node01 ~]# ls -l
total 1444
-rw-------. 1 root root 1243 Feb 26 09:44 anaconda-ks.cfg
-rw------- 1 root root 1470976 Mar 16 17:55 busybox.tar.gz
[root@k8s-node01 ~]#
[root@k8s-node01 ~]# docker load -i busybox.tar.gz
01fd6df81c8e: Loading layer [==================================================>] 1.459MB/1.459MB
Loaded image: busybox:latest
[root@k8s-node01 ~]# docker images # 查看当前有镜像
REPOSITORY TAG IMAGE ID CREATED SIZE
busybox latest beae173ccac6 2 years ago 1.24MB
[root@k8s-node01 ~]#