镜像层级
在下载的过程中可以看到docker的镜像好像是在一层一层的在下载,如下:
[root@localhost ~]# docker pull ansible/centos7-ansible Using default tag: latest latest: Pulling from ansible/centos7-ansible 45a2e645736c: Pull complete 1c3acf573616: Pull complete edcb61e55ccc: Pull complete cbae31bad30a: Pull complete aacbdb1e2a62: Pull complete fdeea4fb835c: Pull complete Digest: sha256:39eff7d56b96530d014083cd343f7314c23acbd1ecf37eb75a71a2f6584d0b02 Status: Downloaded newer image for ansible/centos7-ansible:latest docker.io/ansible/centos7-ansible:latest
docker的镜像实际上由一层一层的文件系统组成。
docker镜像含有启动容器所需要的文件系统及其内容,因此,其用于创建并启动容器。
docker镜像采用分层构建机制,最底层为bootfs,其上为rootfs
- bootfs:用于系统引导的文件系统,包括bootloader和kernel,容器启动完成后会被卸载以节约内存资源
- rootfs:位于bootfs之上,表现为docker容器的根文件系
- 传统模式中,系统启动之时,内核挂载rootfs会首先将其挂载为“只读”模式,完整性自检完成后将其重新挂载为读写模式
- docker中,rootfs由内核挂载为“只读”模式,而后通过“联合挂载”技术额外挂载一个“可写”层
- 当删除容器时,这个容器自有的“可写”层会一起被删除
docker存储驱动
docker提供了多种存储驱动来实现不同的方式存储镜像,下面是常用的几种存储驱动:
- AUFS
- OverlayFS
- Devicemapper
- Btrfs
- VFS
AUFS
AUFS(AnotherUnionFS)是一种Union FS,是文件级的存储驱动。AUFS是一个能透明覆盖一个或多个现有文件系统的层状文件系统,把多层合并成文件系统的单层表示。简单来说就是支持将不同目录挂载到同一个虚拟文件系统下的文件系统。这种文件系统可以一层一层地叠加修改文件。无论底下有多少层都是只读的,只有最上层的文件系统是可写的。当需要修改一个文件时,AUFS创建该文件的一个副本,使用CoW将文件从只读层复制到可写层进行修改,结果也保存在可写层。在Docker中,底下的只读层就是image,可写层就是Container。
OverlayFS
Overlay是Linux内核3.18后支持的,也是一种Union FS,和AUFS的多层不同的是Overlay只有两层:一个upper文件系统和一个lower文件系统,分别代表Docker的镜像层和容器层。当需要修改一个文件时,使用CoW将文件从只读的lower复制到可写的upper进行修改,结果也保存在upper层。在Docker中,底下的只读层就是image,可写层就是Container。目前最新的OverlayFS为Overlay2。
AUFS和Overlay都是联合文件系统,但AUFS有多层,而Overlay只有两层,所以在做写时复制操作时,如果文件比较大且存在比较低的层,则AUSF会慢一些。而且Overlay并入了linux kernel mainline,AUFS没有。目前AUFS已基本被淘汰。
DeviceMapper
Device mapper是Linux内核2.6.9后支持的,提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略。AUFS和OverlayFS都是文件级存储,而Device mapper是块级存储,所有的操作都是直接对块进行操作,而不是文件。Device mapper驱动会先在块设备上创建一个资源池,然后在资源池上创建一个带有文件系统的基本设备,所有镜像都是这个基本设备的快照,而容器则是镜像的快照。所以在容器里看到文件系统是资源池上基本设备的文件系统的快照,并没有为容器分配空间。当要写入一个新文件时,在容器的镜像内为其分配新的块并写入数据,这个叫用时分配。当要修改已有文件时,再使用CoW为容器快照分配块空间,将要修改的数据复制到在容器快照中新的块里再进行修改。
OverlayFS是文件级存储,Device mapper是块级存储,当文件特别大而修改的内容很小,Overlay不管修改的内容大小都会复制整个文件,对大文件进行修改显然要比小文件要消耗更多的时间,而块级无论是大文件还是小文件都只复制需要修改的块,并不是整个文件,在这种场景下,显然device mapper要快一些。因为块级的是直接访问逻辑盘,适合IO密集的场景。而对于程序内部复杂,大并发但少IO的场景,Overlay的性能相对要强一些。
btrfs
Btrfs存储驱动的主要特性就是超配,copy-on-write和快照。与AuFS或者devmapper不同,要在Docker上使用Btrfs,要求整个/var/lib/docker所处的文件系统就是Btrfs。此外,btrfs存储驱动由于现在还在重度开发中,现在最多的就是各种性能问题。所以,官方也不建议直接在Docker生产环境中使用,除非,你在Btrfs上有着丰富的经验。
docker镜像的制作
多数情况下,我们做镜像是基于别人已存在的某个基础镜像来实现的,我们把它称为base image。比如一个纯净版的最小化的centos、ubuntu或debian。
那么这个最小化的centos镜像从何而来呢?其实这个基础镜像一般是由Docker Hub的相关维护人员,也就是Docker官方手动制作的。
基于容器制作镜像
docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]
| Options | Default | Description |
|---|---|---|
| —author, -a | 提交的镜像作者; | |
| -c, --change list | 使用Dockerfile指令来创建镜像 | |
| -m, --message string | 提交时的说明文字 | |
| -p, --pause | true | 在commit时,将容器暂停 |
[root@localhost ~]# docker run --name test -it -d busybox 08b2c4c5ccbffb6e08c948b611240b4a8c8ced7e59c5bd18e3369fb11b80dca4 [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 08b2c4c5ccbf busybox "sh" 4 minutes ago Up 4 minutes test [root@localhost ~]# docker exec -it test /bin/sh / # ls bin dev etc home proc root sys tmp usr var / # mkdir test / # echo 'Busybox page test.' > test/index.html / # cat test/index.html Busybox page test. / # exit
在创建镜像时,我们不能关闭容器,必须使其处于运行状态
[root@localhost ~]# docker commit test diqiyao/test:v0.1 sha256:117347934aaec61698841b8510506b3ac9861dfa052df68113c32e1e6466e54a [root@localhost ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE diqiyao/test v0.1 117347934aae 2 seconds ago 1.23MB busybox latest b97242f89c8a 6 weeks ago 1.23MB
此时要注意的是,仓库名叫test,所以要在Docker Hub上创建一个名为test的仓库,然后再将做好的镜像push上去
[root@localhostl ~]# docker login Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one. Username: ******** Password: WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Configure a credential helper to remove this warning. See https://docs.docker.com/engine/reference/commandline/login/#credentials-store
上传生成的镜像
[root@localhost ~]# docker push diqiyao/test:v0.1 The push refers to repository [docker.io/diqiyao/test] ee7ee00bd6ce: Layer already exists 0064d0478d00: Layer already exists v0.1: digest: sha256:00c6fa071063bbfd13f3170665c17732c8f6b2464820029927011e9747abda65 size: 734
删除刚刚生成的的镜像
[root@localhost ~]# docker rmi diqiyao/test:v0.1 Untagged: diqiyao/test:v0.1 Untagged: diqiyao/test@sha256:00c6fa071063bbfd13f3170665c17732c8f6b2464820029927011e9747abda65 Deleted: sha256:117347934aaec61698841b8510506b3ac9861dfa052df68113c32e1e6466e54a Deleted: sha256:6b02fe68197ed80d49ba6d7a48bf159c84f82e760e6d1f53fb663db7b0c8e50b [root@localhost ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE busybox latest b97242f89c8a 6 weeks ago 1.23MB
拉取刚刚上传的镜像
[root@localhost ~]# docker pull diqiyao/test:v0.1 v0.1: Pulling from diqiyao/test e5d9363303dd: Already exists 37c2d9ea828c: Pull complete Digest: sha256:00c6fa071063bbfd13f3170665c17732c8f6b2464820029927011e9747abda65 Status: Downloaded newer image for diqiyao/test:v0.1 docker.io/diqiyao/test:v0.1
使用新生成的镜像创建容器
[root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 569ef3849bf7 diqiyao/test:v0.1 "sh" 33 seconds ago Up 32 seconds hardcore_proskuriakova [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 569ef3849bf7 diqiyao/test:v0.1 "sh" 33 seconds ago Up 32 seconds hardcore_proskuriakova
在这里,默认情况下是启动的sh进程,但我们是要启动一个http站点,所以我们要在创建镜像时将容器默认启动的进程设为httpd,这样一来我们就可以通过新生成的镜像来快速构建一个简单的http站点了。
使用docker inspect命令查看容器启动的默认进程是什么
[root@localhost ~]# docker inspect 569ef3849bf7
...................................
................................
"Cmd": [
"sh"
],
....................................
............................
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.2",
...................................
.............................
重新生成并上传镜像
[root@localhost ~]# docker run -it --rm diqiyao/test:v0.1 #新开个终端执行,把test:v0.1版本的启动进程修改为httpd。 [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 6ce077ab3d83 diqiyao/test:v0.1 "sh" About a minute ago Up About a minute affectionate_mccarthy #-a作者信息,-c修改默认启动命令,/bin/httpd为启动进程,-f是不让它在后台运行,-h指定目录。 [root@localhost ~]# docker commit -a "diqiyao test@123" -c 'CMD ["/bin/httpd","-f","-h","/test/"]' -p 6ce077ab3d83 diqiyao/test:v0.2 sha256:86847697779818e7e8ace2b48229dc4f9d8ad12e84bebb1b835b589e143d47c6 [root@localhost ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE diqiyao/test v0.2 868476977798 7 seconds ago 1.23MB diqiyao/test v0.1 117347934aae 17 hours ago 1.23MB busybox latest b97242f89c8a 6 weeks ago 1.23MB #上传镜像到hub.docker仓库中 [root@localhost ~]# docker push diqiyao/test:v0.2 The push refers to repository [docker.io/diqiyao/test] ee7ee00bd6ce: Layer already exists 0064d0478d00: Layer already exists v0.2: digest: sha256:883131944bba6904df7ff256bfbb4be9c6270435a6052b55ecc624353d1a43e3 size: 734 #删除镜像 [root@localhost ~]# docker rmi diqiyao/test:v0.2 Untagged: diqiyao/test:v0.2 Untagged: diqiyao/test@sha256:883131944bba6904df7ff256bfbb4be9c6270435a6052b55ecc624353d1a43e3 Deleted: sha256:27c00d31f5b9e0e2068c0340b18a555eb4d1d6c1edaf28f312f0abe512d1cc8c [root@localhost ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE diqiyao/test v0.1 117347934aae 22 hours ago 1.23MB busybox latest 491198851f0c 8 days ago 1.23MB
拉取镜像运行,可以看到启动进程变成/bin/httpd
[root@localhost ~]# docker pull diqiyao/test:v0.2 v0.2: Pulling from diqiyao/test e5d9363303dd: Already exists 37c2d9ea828c: Already exists Digest: sha256:883131944bba6904df7ff256bfbb4be9c6270435a6052b55ecc624353d1a43e3 Status: Downloaded newer image for diqiyao/test:v0.2 docker.io/diqiyao/test:v0.2 [root@localhost ~]# docker run --name test -d diqiyao/test:v0.2 155b1a5fede28177f2778c5e5fb61cd1c57c538cd4e28485e386a4b0d89138a6 [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 155b1a5fede2 diqiyao/test:v0.2 "/bin/httpd -f -h /t…" 7 seconds ago Up 6 seconds test
使用docker inspect命令查看t2容器启动的默认进程是什么,以及其IP地址,然后用curl命令访问该IP,看是否能访问到网页
[root@localhost ~]# curl 172.17.0.2 Busybox page test.
镜像的导入与导出
可以上传push镜像到镜像仓库中,然后pull把镜像拉下来使用,这种方式就显得比较麻烦,假如我只是测试用的,在一台主机上做好镜像后在另一台主机上跑一下就行了,没必要推到仓库上然后又把它拉到本地来。
此时我们可以在已有镜像的基础上把镜像打包成一个压缩文件,然后拷贝到另一台主机上将其导入,这就是镜像的导入和导出功能。
docker中我们使用docker save进行导出,使用docker load进行导入。
在已生成镜像的主机上执行docker save导出镜像
#导出镜像 [root@localhost ~]# docker save -o test.tar diqiyao/test:v0.2 [root@localhost ~]# ls test.tar [root@localhost ~]# docker rmi -f diqiyao/test:v0.2 Untagged: diqiyao/test:v0.2 Untagged: diqiyao/test@sha256:883131944bba6904df7ff256bfbb4be9c6270435a6052b55ecc624353d1a43e3 Deleted: sha256:27c00d31f5b9e0e2068c0340b18a555eb4d1d6c1edaf28f312f0abe512d1cc8c [root@localhost ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE diqiyao/test v0.1 117347934aae 22 hours ago 1.23MB busybox latest 491198851f0c 8 days ago 1.23MB #导入镜像用-i或者--input [root@localhost ~]# docker load --input test.tar Loaded image: diqiyao/test:v0.2 [root@localhost ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE diqiyao/test v0.2 27c00d31f5b9 51 minutes ago 1.23MB diqiyao/test v0.1 117347934aae 22 hours ago 1.23MB busybox latest 491198851f0c 8 days ago 1.23MB