之所以之前讲了镜像，这次还讲，不会炒回锅肉，老生常谈吧？不是，是因为之前的那就是粗浅的理解，这次才是真正的底层原理。

0x00 镜像定义

镜像是一种轻量级、可执行的独立软件包，它包含运行某个软件所需的所有内容，我们把应用程序和配置依赖打包好形成一个可交付的运行环境（包括代码、运行时需要的库、环境变量和配置文件等），这个打包好的运行环境就是image镜像文件。只有通过这个镜像文件才能生成Docker容器实例（类似Java中new出来的一个对象）。

0x01 分层的镜像

有没有注意到下载镜像的时候，是层层下载的？罗马不是一天建成的。

镜像就像是一块蛋糕，里面是面包，然后是奶油，再者是水果等层层堆叠出来的。之前都是用的别人的镜像，我们这次来试试做自己的蛋糕。

0x02镜像底层原理

首先我们以tomcat为例，tomcat是一款高性能的中间件，提供了各种各样的服务。里面也就涉及到了一块一块，一层一层的功能点。所以镜像想要模拟出来，也是一样的。就跟乐高搭积木一样。

UnionFS（联合文件系统）

UnionFS（联合文件系统）：Union文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下（unite serveral directories into a single virtual filesystem）。Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。就像下面这个花卷一样。

特性：一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

0x03 Docker镜像加载原理

再次复习容器知识：可以把容器看做一个简易版的Linux环境。

docker的镜像实际上由一层一层的文件系统组成，这种层级的文件系统UnionFS。

bootfs(boot file system)主要包含bootloader和kernel，bootloader主要是引导加载kernel，Linux刚启动时会加载bootfs文件系统，在Docker镜像的最低层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs。

rootfs(root file system)，在bootfs之上，包含的就是典型Linux系统中的/dev，/proc，/bin，/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如ubuntu，centos等。

平时安装虚拟机都是好几个G，为什么docker里面才170多兆？说白了就是只要kernel和rootfs，尽量的瘦身对于一个精简的OS，rootfs可以很小，只需要包括最基本的命令、工具和程序就可以了，因为底层直接用Host的kernel，自己只需要提供rootfs就行了。由此可见对于不同的Linux发行版，bootfs基本是一致的，rootfs会有差别，因此不同的发行版可以公用bootfs。

0x04 为什么采用分层结构？

镜像分层最大的一个好处就是共享资源，方便复制迁移，就是为了复用。

比如说有多个镜像都从相同的base镜像构建而来，那么Docker Host只需在磁盘上保存一份base镜像；同时内存中也只需加载一份base镜像，就可以为所有容器服务了。而且镜像的每一层都可以被共享。

理解：假设我们拉取了一个ubuntu，里面什么功能都没有，这次我们在里面新建了vim编辑器，我们在把它打包成一个新的ubuntu扩展版本。我不用从头来吧，我可以继承最小的那个ubuntu即可！

0x05 重点理解

Docker镜像层都是只读的，容器层是可写的，当容器启动时，一个新的可写层被加载到镜像和顶部。这一层通常被称作“容器层”，“容器层”之下的都叫“景象层”。

当容器启动时，一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。

所有对容器的改动-无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的，容器层下面的所有镜像层都是只读的。就跟抽烟一样，里面的烟都是一层一层的，烟盒都是底层容器；再好比你吃蛋糕，先从奶油开始吃，一层一层吃到底，但是蛋糕那个塑料托子你不会吃吧。。塑料托子就是kernel。

记住，docker的镜像是分层的，每一层的功能是复用。

0x06 案例加深理解

docker commit提交容器副本使之成为一个新的镜像，说人话就是我们拉取的ubuntu中，没有vim命令，我现在给它安装一个，再将安装vim后的ubuntu变成一个镜像。

docker ubuntu安装vim

1、从Hub上下载ubuntu镜像到本地并成功运行

2、原始的默认ubuntu镜像是不带着vim命令的

3、外网连通的情况下，安装vim

apt-get update		//升级包管理工具
apt-get install -y vim	//安装vim

4、安装完成后，commit我们自己的新镜像

docker commit -m="描述如：add vim cmd" -a="作者" 容器ID 组织名/镜像名:版本号 

5、启动我们的新镜像并和原来的对比

仅仅加了一个vim功能，就提升了100MB

0x07 总结

Docker中的镜像分层，支持通过扩展现有镜像，创建新的镜像。类似Java继承于一个Base基础类，自己再按需扩展。新镜像是从base镜像一层一层叠加生成。每安装一个软件，就在现有镜像的基础上增加一层。

0x08 本地镜像发布到阿里云

当我们自己处理完一个容器后，我们可以通过commit命令和dockerfile构建出一个新的image。如果想要共用，可以传到阿里云或者私有云。

1、新建本地镜像素材原型

即使用commit命令做一个蛋糕，做一个新的镜像。

2、进入到阿里云开发者平台，容器镜像服务

https://cr.console.aliyun.com/cn-hangzhou/instances觉着长直接输入aliyun.com就行

3、创建仓库镜像

01、选择个人实例

02、命名空间

类似于Java创建一个包。

03、创建命名空间

然后可以选择公开，不过注意，这个是免费的，只是为了让你尝尝这个功能怎么使用罢了，要是真的想要让公司的人都用，

随后选择镜像仓库，选择这个命名空间即可

04、创建镜像仓库

我们在刚刚创建的命名空间中，还没有特定的镜像仓库，所以需要新建一个

05、进入管理界面，获得脚本命令

这些命令，不用敲，自己复制粘贴，然后更改一下数值即可。

0x09 docker 私有库简介

1、官方Docker Hub地址：https://hub.docker.com/，*访问太慢了，且准备被阿里云取代的趋势，不太主流

2、Dockerhub、阿里云这样的公共镜像仓库可能不太方便，涉及机密的公司不可能提供镜像给公网，所以需要创建一个本地私人仓库供给团队使用，基于公司内部项目构建镜像。

Docker Registry 是官方提供的工具，可以用于构建私有镜像仓库。

说白了，自己建立一个镜像仓库

1、下载镜像docker registry

docker pull registry

2、运行私有库Registry，相当于本地有个私有Docker hub

docker run -d -p 5000:5000 -v /zzyyuse/myregistry/:/tmp/registry --privileged=true registry

中间的-v开始到后面，我们暂时先不用了解，涉及到数据卷问题

3、案例演示创建一个新镜像，ubuntu安装ifconfig命令

• 从Hub上下载ubuntu镜像到本地并成功运行，原始的ubuntu镜像是不带着ifconfig命令的

docker pull ubuntu
docker run -it ubuntu /bin/bash
ifconfig

• 外网连通的情况下，安装ifconfig命令并测试通过。随后commit制作新镜像

apt update
apt install net-tools
ifconfig
docker commit -m 

4、curl验证、查看私有库上有什么镜像

curl -XGET http://127.0.0.1:5000/v2/_catalog		#{"repositories":[]}表示什么都没有

5、将新镜像修改符合私服规范的tag

docker tag 镜像:tag Host:Port/Repository:Tag
docker tag zzyyubuntu:1.2 127.0.0.1:5000/zzyyubuntu:1.2		#举例子

6、修改配置文件使之支持http

上一步修改完镜像tag后，我们就要开始上传了。上传前因为docker registry做了安全加固，默认不允许使用http上传，所以需要取消这个限制。

vim /etc/docker/daemon.json
{
"registry-mirrors":["https://ddd.com"],		#这个逗号千万不要忘记
"insecure-registries":["192.168.75.122:5000"]	#添加这么一句话，改称自己ip
}
systemctl restart docker		#重启了docker之后，还需要重新run之前的registry
docker run -d -p 5000:5000 -v /zzyyuse/myregistry/:/tmp/registry --privileged=true registry

7、push推送到私服库

docker push 127.0.0.1:5000/ubuntu

8、再次curl验证私服库上有什么镜像

curl -XGET http://127.0.0.1:5000/v2/_catalog

9、pull验证

可以看到其实就是从本地的一个文件夹中拉下来的。