之所以之前讲了镜像,这次还讲,不会炒回锅肉,老生常谈吧?不是,是因为之前的那就是粗浅的理解,这次才是真正的底层原理。
0x00 镜像定义
镜像是一种轻量级、可执行的独立软件包,它包含运行某个软件所需的所有内容,我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等),这个打包好的运行环境就是image镜像文件。只有通过这个镜像文件才能生成Docker容器实例(类似Java中new出来的一个对象)。
0x01 分层的镜像
有没有注意到下载镜像的时候,是层层下载的?罗马不是一天建成的。
镜像就像是一块蛋糕,里面是面包,然后是奶油,再者是水果等层层堆叠出来的。之前都是用的别人的镜像,我们这次来试试做自己的蛋糕。
0x02镜像底层原理
首先我们以tomcat为例,tomcat是一款高性能的中间件,提供了各种各样的服务。里面也就涉及到了一块一块,一层一层的功能点。所以镜像想要模拟出来,也是一样的。就跟乐高搭积木一样。
UnionFS(联合文件系统)
UnionFS(联合文件系统):Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite serveral directories into a single virtual filesystem)。Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。就像下面这个花卷一样。
特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录。
0x03 Docker镜像加载原理
再次复习容器知识:可以把容器看做一个简易版的Linux环境。
docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。
bootfs(boot file system)主要包含bootloader和kernel,bootloader主要是引导加载kernel,Linux刚启动时会加载bootfs文件系统,在Docker镜像的最低层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。
rootfs(root file system),在bootfs之上,包含的就是典型Linux系统中的/dev,/proc,/bin,/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如ubuntu,centos等。
平时安装虚拟机都是好几个G,为什么docker里面才170多兆?说白了就是只要kernel和rootfs,尽量的瘦身对于一个精简的OS,rootfs可以很小,只需要包括最基本的命令、工具和程序就可以了,因为底层直接用Host的kernel,自己只需要提供rootfs就行了。由此可见对于不同的Linux发行版,bootfs基本是一致的,rootfs会有差别,因此不同的发行版可以公用bootfs。
0x04 为什么采用分层结构?
镜像分层最大的一个好处就是共享资源,方便复制迁移,就是为了复用。
比如说有多个镜像都从相同的base镜像构建而来,那么Docker Host只需在磁盘上保存一份base镜像;同时内存中也只需加载一份base镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。
理解:假设我们拉取了一个ubuntu,里面什么功能都没有,这次我们在里面新建了
vim
编辑器,我们在把它打包成一个新的ubuntu扩展版本。我不用从头来吧,我可以继承最小的那个ubuntu即可!
0x05 重点理解
Docker镜像层都是只读的,容器层是可写的,当容器启动时,一个新的可写层被加载到镜像和顶部。这一层通常被称作“容器层”,“容器层”之下的都叫“景象层”。
当容器启动时,一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
所有对容器的改动-无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的,容器层下面的所有镜像层都是只读的。就跟抽烟一样,里面的烟都是一层一层的,烟盒都是底层容器;再好比你吃蛋糕,先从奶油开始吃,一层一层吃到底,但是蛋糕那个塑料托子你不会吃吧。。塑料托子就是kernel。
记住,docker的镜像是分层的,每一层的功能是复用。
0x06 案例加深理解
docker commit提交容器副本使之成为一个新的镜像,说人话就是我们拉取的ubuntu中,没有vim命令,我现在给它安装一个,再将安装vim后的ubuntu变成一个镜像。
docker ubuntu安装vim
1、从Hub上下载ubuntu镜像到本地并成功运行
2、原始的默认ubuntu镜像是不带着vim命令的
3、外网连通的情况下,安装vim
apt-get update //升级包管理工具
apt-get install -y vim //安装vim
4、安装完成后,commit我们自己的新镜像
docker commit -m="描述如:add vim cmd" -a="作者" 容器ID 组织名/镜像名:版本号
5、启动我们的新镜像并和原来的对比
仅仅加了一个vim
功能,就提升了100MB
0x07 总结
Docker中的镜像分层,支持通过扩展现有镜像,创建新的镜像。类似Java继承于一个Base基础类,自己再按需扩展。新镜像是从base镜像一层一层叠加生成。每安装一个软件,就在现有镜像的基础上增加一层。
0x08 本地镜像发布到阿里云
当我们自己处理完一个容器后,我们可以通过commit
命令和dockerfile
构建出一个新的image
。如果想要共用,可以传到阿里云或者私有云。
1、新建本地镜像素材原型
即使用commit命令做一个蛋糕,做一个新的镜像。
2、进入到阿里云开发者平台,容器镜像服务
https://cr.console.aliyun.com/cn-hangzhou/instances觉着长直接输入aliyun.com
就行
3、创建仓库镜像
01、选择个人实例
02、命名空间
类似于Java创建一个包。
03、创建命名空间
然后可以选择公开,不过注意,这个是免费的,只是为了让你尝尝这个功能怎么使用罢了,要是真的想要让公司的人都用,
随后选择镜像仓库,选择这个命名空间即可
04、创建镜像仓库
我们在刚刚创建的命名空间中,还没有特定的镜像仓库,所以需要新建一个
05、进入管理界面,获得脚本命令
这些命令,不用敲,自己复制粘贴,然后更改一下数值即可。
0x09 docker 私有库简介
1、官方Docker Hub地址:https://hub.docker.com/,*访问太慢了,且准备被阿里云取代的趋势,不太主流
2、Dockerhub、阿里云这样的公共镜像仓库可能不太方便,涉及机密的公司不可能提供镜像给公网,所以需要创建一个本地私人仓库供给团队使用,基于公司内部项目构建镜像。
Docker Registry
是官方提供的工具,可以用于构建私有镜像仓库。
说白了,自己建立一个镜像仓库
1、下载镜像docker registry
docker pull registry
2、运行私有库Registry
,相当于本地有个私有Docker hub
docker run -d -p 5000:5000 -v /zzyyuse/myregistry/:/tmp/registry --privileged=true registry
中间的-v
开始到后面,我们暂时先不用了解,涉及到数据卷问题
3、案例演示创建一个新镜像,ubuntu安装ifconfig命令
- 从Hub上下载ubuntu镜像到本地并成功运行,原始的ubuntu镜像是不带着ifconfig命令的
docker pull ubuntu
docker run -it ubuntu /bin/bash
ifconfig
- 外网连通的情况下,安装ifconfig命令并测试通过。随后commit制作新镜像
apt update
apt install net-tools
ifconfig
docker commit -m
4、curl验证、查看私有库上有什么镜像
curl -XGET http://127.0.0.1:5000/v2/_catalog #{"repositories":[]}表示什么都没有
5、将新镜像修改符合私服规范的tag
docker tag 镜像:tag Host:Port/Repository:Tag
docker tag zzyyubuntu:1.2 127.0.0.1:5000/zzyyubuntu:1.2 #举例子
6、修改配置文件使之支持http
上一步修改完镜像tag后,我们就要开始上传了。上传前因为docker registry做了安全加固,默认不允许使用http上传,所以需要取消这个限制。
vim /etc/docker/daemon.json
{
"registry-mirrors":["https://ddd.com"], #这个逗号千万不要忘记
"insecure-registries":["192.168.75.122:5000"] #添加这么一句话,改称自己ip
}
systemctl restart docker #重启了docker之后,还需要重新run之前的registry
docker run -d -p 5000:5000 -v /zzyyuse/myregistry/:/tmp/registry --privileged=true registry
7、push推送到私服库
docker push 127.0.0.1:5000/ubuntu
8、再次curl验证私服库上有什么镜像
curl -XGET http://127.0.0.1:5000/v2/_catalog
9、pull验证
可以看到其实就是从本地的一个文件夹中拉下来的。