Docker镜像

是什么

  • 是一种轻量级、可执行的独立软件包,它包含运行某个软件所需的所有内容,我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等),这个打包好的运行环境就是image镜像文件。

分层的镜像

  • 比如我们拉取Tomcat镜像的时候

    看起来不仅仅是拉取一整个tomcat镜像

而是分成多个进行拉取,这就是分层的镜像

Docker镜像详解 - 图1

联合文件系统(UnionFS)

  • Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。Union文件系统是 Docker 镜像的基础镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。
  • 特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录

Docker镜像加载原理

  • 之前我们说可以把容器看做一个简易版的Linux环境(其中包括root用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序
  • Docker镜像的最底层就是引导文件系统bootfs(boot file system)。bootfs主要包含bootloader和kernel。bootloader主要是引导加载kernel,Linux刚启动时会加载bootfs文件系统。这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。
  • rootfs (root file system) ,在bootfs之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等。
  • 对于一个精简的OS,rootfs可以很小,只需要包括最基本的命令、工具和程序库就可以了,因为底层直接用Host的kernel,自己只需要提供 rootfs 就行了。由此可见对于不同的linux发行版, bootfs基本是一致的, rootfs会有差别, 因此不同的发行版可以公用bootfs。

  • 这也解释了为什么Docker上的CentOS镜像为什么都那么小

    • 底层直接用主机的内核,自己只需要提供rootfs就行了,所以rootfs可以很小,只需要包含最基本的命令、工具和程序库即可。

为什么镜像分层

  • 镜像分层最大的一个好处就是共享资源,方便复制迁移,就是为了复用。
  • 比如说有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享

注意点

  • Docker的镜像层都是只读的,可以共享
  • Docker的容器层是可写的
  • 容器启动时,一个新的可写层被加载到镜像的顶部。这一层通常被称为”容器层“。”容器层“之下的都是”镜像层“。

Docker Commit

  • 默认的CentOS是没有vim功能的

    Docker镜像详解 - 图2

  • 安装vim

    Docker镜像详解 - 图3

  • 提交容器副本,使之成为一个新的镜像

    docker commit -m="提交信息" -a="作者" 容器ID 镜像名:标签名

Docker镜像详解 - 图4

从这里也可以看到分层的好处,我们只需要在原本的centos镜像上,添加新的功能,然后生成新的镜像,来进行迭代。

镜像发布到阿里云

  • 容器镜像服务-实例中心-镜像仓库-基本信息

    Docker镜像详解 - 图5

Docker镜像详解 - 图6

  • 在阿里云可以对镜像进行安全扫描以及显示分层信息

    镜像安全扫描
    Docker镜像详解 - 图7

镜像分层信息

Docker镜像详解 - 图8

Docker私有库

搭建Docker私有库

  • Docker提供了构建私有仓库的镜像:Docker Registry,可以使用此镜像来搭建私有仓库

  • 拉取registry镜像:docker pull registry

    Docker镜像详解 - 图9

  • 运行私有仓库:docker run -d -p 5000:5000 --privileged=true registry

    Docker镜像详解 - 图10

  • 查看私有库中的镜像:curl -XGET http://localhost:5000/v2/_catalog

    Docker镜像详解 - 图11

  • 修改镜像的Tag:docker tag tomcat:latest localhost:5000/mytomcat:1.0

    Docker镜像详解 - 图12

  • 配置Docker私服支持Http

    默认情况下,Docker私服库不支持Http,需要添加配置信息

  1.  "insecure-registries": ["host:port"]

Docker镜像详解 - 图13

为了以防万一 可以重启Docker

  • 推送镜像到私服库

    Docker镜像详解 - 图14

查看仓库中的镜像文件

Docker镜像详解 - 图15

  • 从私服库中下载镜像:docker pull localhost:5000/mytomcat:1.0

    Docker镜像详解 - 图16