#docker镜像管理基础

  • 镜像的概念

镜像可以理解为应用程序的集装箱,而docker用来装卸集装箱。

docker镜像含有启动容器所需要的文件系统及其内容,因此,其用于创建并启动容器。

docker镜像采用分层构建机制,最底层为bootfs,其上为rootfs

bootfs:用于系统引导的文件系统,包括bootloader和kernel,容器启动完成后会被卸载以节约内存资源
rootfs:位于bootfs之上,表现为docker容器的根文件系统
传统模式中,系统启动之时,内核挂载rootfs会首先将其挂载为“只读”模式,完整性自检完成后将其重新挂载为读写模式
docker中,rootfs由内核挂载为“只读”模式,而后通过“联合挂载”技术额外挂载一个“可写”层

  • 注意:当删除容器时,这个容器自有的“可写”层会一起被删除

###docker镜像层

docker越权 docker rootfs_文件系统

位于下层的镜像称为父镜像(parrent image),最底层的称为基础镜像(base image);
最上层为“可读写”层,其下的均为“只读”层。

###docker存储驱动
docker提供了多种存储驱动来实现不同的方式存储镜像,下面是常用的几种存储驱动:

AUFS
OverlayFS
Devicemapper
Btrfs
VFS

#AUFS
AUFS(AnotherUnionFS)是一种Union FS,是文件级的存储驱动。AUFS是一个能透明覆盖一个或多个现有文件系统的层状文件系统,把多层合并成文件系统的单层表示。简单来说就是支持将不同目录挂载到同一个虚拟文件系统下的文件系统。这种文件系统可以一层一层地叠加修改文件。无论底下有多少层都是只读的,只有最上层的文件系统是可写的。当需要修改一个文件时,AUFS创建该文件的一个副本,使用CoW将文件从只读层复制到可写层进行修改,结果也保存在可写层。在Docker中,底下的只读层就是image,可写层就是Container。

AUFS文件系统据说有3W行代码,而ext4文件系统却只有4000-5000行左右代码,这些代码是要被整合进内核的,后来AUFS申请要被合并进内核代码的时候,linuz觉得它这代码太过臃肿,于是拒绝了。因此AUFS这个文件系统一直以来就不是linux内核中自有的文件系统,想用AUFS这个文件系统的话,必须自己向内核打补丁并去编译使用它,但redhat系列的操作系统一向以稳定著称,不会干这种出格的事,所以在redhat系列操作系统中使用AUFS并无可能。而ubuntu上的docker默认使用的就是AUFS。

#OverlayFS
Overlay是Linux内核3.18后支持的,也是一种Union FS,和AUFS的多层不同的是Overlay只有两层:一个upper文件系统和一个lower文件系统,分别代表Docker的镜像层和容器层。当需要修改一个文件时,使用CoW将文件从只读的lower复制到可写的upper进行修改,结果也保存在upper层。在Docker中,底下的只读层就是image,可写层就是Container。目前最新的OverlayFS为Overlay2。

AUFS和Overlay都是联合文件系统,但AUFS有多层,而Overlay只有两层,所以在做写时复制操作时,如果文件比较大且存在比较低的层,则AUSF会慢一些。而且Overlay并入了linux kernel mainline,AUFS没有。目前AUFS已基本被淘汰。

#DeviceMapper
Device mapper是Linux内核2.6.9后支持的,提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略。AUFS和OverlayFS都是文件级存储,而Device mapper是块级存储,所有的操作都是直接对块进行操作,而不是文件。Device mapper驱动会先在块设备上创建一个资源池,然后在资源池上创建一个带有文件系统的基本设备,所有镜像都是这个基本设备的快照,而容器则是镜像的快照。所以在容器里看到文件系统是资源池上基本设备的文件系统的快照,并没有为容器分配空间。当要写入一个新文件时,在容器的镜像内为其分配新的块并写入数据,这个叫用时分配。当要修改已有文件时,再使用CoW为容器快照分配块空间,将要修改的数据复制到在容器快照中新的块里再进行修改。

OverlayFS是文件级存储,Device mapper是块级存储,当文件特别大而修改的内容很小,Overlay不管修改的内容大小都会复制整个文件,对大文件进行修改显然要比小文件要消耗更多的时间,而块级无论是大文件还是小文件都只复制需要修改的块,并不是整个文件,在这种场景下,显然device mapper要快一些。因为块级的是直接访问逻辑盘,适合IO密集的场景。而对于程序内部复杂,大并发但少IO的场景,Overlay的性能相对要强一些。

#docker registry
启动容器时,docker daemon会试图从本地获取相关的镜像,本地镜像不存在时,其将从Registry中下载该镜像并保存到本地。

Registry用于保存docker镜像,包括镜像的层次结构和元数据。用户可以自建Registry,亦可使用官方的Docker Hub。

  • docker registry的分类:
    Sponsor Registry:第三方的Registry,供客户和Docker社区使用
    Mirror Registry:第三方的Registry,只让客户使用
    Vendor Registry:由发布docker镜像的供应商提供的registry
    Private Registry:通过设有防火墙和额外的安全层的私有实体提供的registry
    docker registry的组成:
  • Repository
    由某特定的docker镜像的所有迭代版本组成的镜像仓库
    一个Registry中可以存在多个Repository
    Repository可分为“顶层仓库”和“用户仓库”
    用户仓库名称格式为“用户名/仓库名”
    每个仓库可包含多个Tag(标签),每个标签对应一个镜像
    Index
    维护用户帐户、镜像的检验以及公共命名空间的信息
    相当于为Registry提供了一个完成用户认证等功能的检索接口
    Docker Registry中的镜像通常由开发人员制作,而后推送至“公共”或“私有”Registry上保存,供其他人员使用,例如“部署”到生产环境。
  • docker越权 docker rootfs_运维_02

#docker镜像的制作
多数情况下,我们做镜像是基于别人已存在的某个基础镜像来实现的,我们把它称为base image。比如一个纯净版的最小化的centos、ubuntu或debian。

Heading镜像的生成

镜像的生成途径:

Dockerfile

基于容器制作

Docker Hub automated builds

docker越权 docker rootfs_文件系统_03

###Docker Hub
Docker Hub is a cloud-based registry service which allows you to link to code repositories, build your images and test them, stores manually pushed images, and links to Docker Cloud so you can deploy images to your hosts.

It provides a centralized resource for container image discovery, distribution and change management, user and team collaboration, and workflow automation throughout the development pipeline.

那么这个最小化的centos镜像从何而来呢?其实这个基础镜像一般是由Docker Hub的相关维护人员,也就是Docker官方手动制作的。这个基础镜像的制作对于Docker官方的专业人员来说是非常容易的,但对于终端用户来说就不是那么容易制作的了。

注册并登录

docker越权 docker rootfs_文件系统_04

注册免费

docker越权 docker rootfs_文件系统_05

确认邮箱

docker越权 docker rootfs_docker_06

docker越权 docker rootfs_docker_07

docker越权 docker rootfs_docker_08

docker越权 docker rootfs_容器_09

将本地镜像上传 hub 用户库

docker越权 docker rootfs_运维_10

添加标签

docker越权 docker rootfs_容器_11

上传 hub 仓库

docker越权 docker rootfs_文件系统_12

在 docker 平台查看镜像

docker越权 docker rootfs_docker越权_13

登录阿里云平台创建仓库

阿里云注册平台

docker越权 docker rootfs_docker_14

创建仓库

docker越权 docker rootfs_docker_15

创建命令空间

docker越权 docker rootfs_运维_16

docker越权 docker rootfs_docker越权_17

docker越权 docker rootfs_容器_18

创建本地镜像

docker越权 docker rootfs_docker越权_19

自行搭建注册中心

docker越权 docker rootfs_docker越权_20

拉取镜像

docker越权 docker rootfs_docker_21

#镜像的导入与导出
假如有2台主机,我们在主机1上做了一个镜像,主机2想用这个镜像怎么办呢?

我们可以在主机1上push镜像到镜像仓库中,然后在主机2上pull把镜像拉下来使用,这种方式就显得比较麻烦,假如我只是测试用的,在一台主机上做好镜像后在另一台主机上跑一下就行了,没必要推到仓库上然后又把它拉到本地来。

此时我们可以在已有镜像的基础上把镜像打包成一个压缩文件,然后拷贝到另一台主机上将其导入,这就是镜像的导入和导出功能。

docker中我们使用docker save进行导出,使用docker load进行导入。

在已生成镜像的主机上执行docker save导出镜像

docker save -o myimages.gz seancheng1002/b1
在另一台没有镜像的主机上执行docker load导入镜像

docker load -i myimages.gz

在docker容器运行httpd服务
docker拉取centos镜像安装httpd二进制安装

[root@localhost ~]# docker pull centos
Using default tag: latest
latest: Pulling from library/centos
a1d0c7532777: Pull complete 
Digest: sha256:a27fd8080b517143cbbbab9dfb7c8571c40d67d534bbdee55bd6c473f432b177
Status: Downloaded newer image for centos:latest
docker.io/library/centos:latest
[root@localhost ~]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED         SIZE
centos       latest    5d0da3dc9764   10 months ago   231MB
[root@localhost ~]# docker run -d -it --name z1 centos
1ef60b39c6e3b6cc70034e25b76798c02fd7d7fc3f3292e8872e1c86e8324b6a
[root@localhost ~]# docker ps
CONTAINER ID   IMAGE     COMMAND       CREATED          STATUS         PORTS     NAMES
1ef60b39c6e3   centos    "/bin/bash"   19 seconds ago   Up 5 seconds             z1
[root@localhost ~]# mkdir abc
[root@localhost ~]# ls abc
apr-1.6.5.tar.bz2  apr-util-1.6.1.tar.bz2  httpd-2.4.54.tar.bz2
[root@localhost ~]# docker cp abc/ z1:/usr/src
[root@localhost ~]# docker ps
CONTAINER ID   IMAGE     COMMAND       CREATED         STATUS         PORTS     NAMES
1ef60b39c6e3   centos    "/bin/bash"   9 minutes ago   Up 9 minutes             z1
[root@localhost ~]# docker exec -it z1 /bin/bash
[root@1ef60b39c6e3 /]# ls /usr/src/abc
apr-1.6.5.tar.bz2  apr-util-1.6.1.tar.bz2  httpd-2.4.54.tar.bz2
[root@1ef60b39c6e3 /]# cd
[root@1ef60b39c6e3 ~]# cd /etc/yum.
yum.conf     yum.repos.d/ 
[root@1ef60b39c6e3 ~]# cd /etc/yum.repos.d/
[root@1ef60b39c6e3 yum.repos.d]# ls
CentOS-Linux-AppStream.repo          CentOS-Linux-Devel.repo             CentOS-Linux-Media.repo
CentOS-Linux-BaseOS.repo             CentOS-Linux-Extras.repo            CentOS-Linux-Plus.repo
CentOS-Linux-ContinuousRelease.repo  CentOS-Linux-FastTrack.repo         CentOS-Linux-PowerTools.repo
CentOS-Linux-Debuginfo.repo          CentOS-Linux-HighAvailability.repo  CentOS-Linux-Sources.repo
[root@1ef60b39c6e3 yum.repos.d]# rm -rf *
[root@1ef60b39c6e3 yum.repos.d]# ls
[root@1ef60b39c6e3 yum.repos.d]# curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-vault-8.5.2111.repo
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  2495  100  2495    0     0   4130      0 --:--:-- --:--:-- --:--:--  4130
[root@1ef60b39c6e3 yum.repos.d]# sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repo
[root@1ef60b39c6e3 yum.repos.d]# yum -y install bzip2
Failed to set locale, defaulting to C.UTF-8
CentOS-8.5.2111 - Base - mirrors.aliyun.com                                     230 kB/s | 4.6 MB     00:20    
CentOS-8.5.2111 - Extras - mirrors.aliyun.com                                    22 kB/s |  10 kB     00:00    
CentOS-8.5.2111 - AppStream - mirrors.aliyun.com                                167 kB/s | 8.4 MB     00:51    
Dependencies resolved.

下载httpd服务软件包

[root@1ef60b39c6e3 yum.repos.d]# cd
[root@1ef60b39c6e3 ~]#  dnf groupinstall -y "Development Tools"
Failed to set locale, defaulting to C.UTF-8
Last metadata expiration check: 0:00:59 ago on Tue Aug  9 00:56:07 2022.
Dependencies resolved.



[root@1ef60b39c6e3 ~]#  dnf -y install gcc gcc-c++ make wget gcc gcc-c++ make pcre-devel expat-devel libxml2-devel libxml2
Last metadata expiration check: 0:12:17 ago on Tue 09 Aug 2022 12:56:07 AM UTC.
Package gcc-8.5.0-4.el8_5.x86_64 is already installed.
Package gcc-c++-8.5.0-4.el8_5.x86_64 is already installed.
Package make-1:4.2.1-10.el8.x86_64 is already installed.
Package libxml2-2.9.7-9.el8.x86_64 is already installed.
Dependencies resolved.


[root@1ef60b39c6e3 apr-1.6.5]# vim configure
[root@1ef60b39c6e3 apr-1.6.5]# ./configure --prefix=/usr/local/apr
checking build system type... x86_64-pc-linux-gnu
checking host system type... x86_64-pc-linux-gnu
checking target system type... x86_64-pc-linux-gnu
Configuring APR library





[root@1ef60b39c6e3 apr-1.6.5]# make && make install
make[1]: Entering directory '/usr/src/abc/apr-1.6.5'
/usr/src/abc/apr-1.6.5/build/mkdir.sh tools
/bin/sh /usr/src/abc/apr-1.6.5/libtool --silent --mode=compile gcc -g -O2 -pthread   -DHAVE_CONFIG_H  -DLINUX -D_REENTRANT -D_GNU_SOURCE   -I./include -I/usr/src/abc/apr-1.6.5/include/arch/unix -I./include/arch/unix -I/usr/s




[root@1ef60b39c6e3 apr-1.6.5]# cd
[root@1ef60b39c6e3 ~]# cd /usr/src/abc/
[root@1ef60b39c6e3 abc]# ls
apr-1.6.5  apr-1.6.5.tar.bz2  apr-util-1.6.1.tar.bz2  httpd-2.4.54.tar.bz2
[root@1ef60b39c6e3 abc]# tar xf apr-util-1.6.1.tar.bz2 
[root@1ef60b39c6e3 apr-util-1.6.1]# ./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr
checking build system type... x86_64-pc-linux-gnu
checking host system type... x86_64-pc-linux-gnu
checking target system type... x86_64-pc-linux-gnu
checking for a BSD-compatible install... /usr/bin/install -c


[root@1ef60b39c6e3 apr-util-1.6.1]#  make && make install
make[1]: Entering directory '/usr/src/abc/apr-util-1.6.1'
/bin/sh /usr/local/apr/build-1/libtool --silent --mode=compile gcc -g -O2 -pthread   -DHAVE_CONFIG_H  -DLINUX -D_REENTRANT -D_GNU_SOURCE   -I/usr/src/abc/apr-util-1.6.1/include -I/usr/src/abc/apr-util-1.6.1/include/private 


[root@1ef60b39c6e3 abc]# yum -y install openssl-devel
Last metadata expiration check: 0:30:30 ago on Tue 09 Aug 2022 12:56:07 AM UTC.
Dependencies resolved.





[root@1ef60b39c6e3 abc]# tar xf httpd-2.4.54.tar.bz2 
[root@1ef60b39c6e3 httpd-2.4.54]# ./configure --prefix=/usr/local/apache --enable-so --enable-ssl --enable-cgi --enable-rewrite --with-zlib --with-pcre --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util/ --enable-modules=most --enable-mpms-shared=all --with-mpm=prefork

测试

[root@localhost ~]# docker commit -a 'zlh <zlh1@2.com>'   -c 'CMD [ "./httpd.sh" ]' -p z1 centos-httpd.sh:v1
[root@localhost ~]# docker run -d -it --name web1 centos-httpd.sh:v1
56cb00424942ba09e609188186fb618b2d80cd97359706197ccedc6f759ca8e4
[root@localhost ~]# docker imagea
docker: 'imagea' is not a docker command.
See 'docker --help'
[root@localhost ~]# docker ps
CONTAINER ID   IMAGE                COMMAND        CREATED             STATUS             PORTS     NAMES
56cb00424942   centos-httpd.sh:v1   "./httpd.sh"   21 seconds ago      Up 20 seconds                web1
1ef60b39c6e3   centos               "/bin/bash"    About an hour ago   Up About an hour             z1
    "Gateway": "172.17.0.1",
                    "IPAddress": "172.17.0.3",
                    "IPPrefixLen": 16,
                    "IPv6Gateway": "",
                    "GlobalIPv6Address": "",
                    "GlobalIPv6PrefixLen": 0,
                    "MacAddress": "02:42:ac:11:00:03",
                    "DriverOpts": null
                }
            }
        }
    }
]
[root@localhost ~]# curl 172.17.0.3
<html><body><h1>It works!</h1></body></html>

脚本方式

[root@1ef60b39c6e3 /]# vim httpd.sh
[root@1ef60b39c6e3 /]# chmod +x httpd.sh 
[root@1ef60b39c6e3 /]# cat httpd.sh 
#!/bin/bash
/usr/local/apahce/bin/apachectl 
sleep 7d
[root@localhost ~]# docker commit -c 'CMD ["./httpd.sh"]' -p web1 centos:b1
sha256:1033d10042a786a04f5c6d2e4cc9e12fe4bf1c8ffd20d29be923000b843f28c2
[root@localhost ~]# docker images
REPOSITORY        TAG       IMAGE ID       CREATED          SIZE
centos            b1        1033d10042a7   10 seconds ago   1.27GB
centos-nn         latest    aca08ae6b0f4   44 minutes ago   1.27GB
centos-httpd.sh   v1        f5dca04c453a   47 minutes ago   1.27GB
<none>            <none>    4f3d2899eab0   48 minutes ago   1.27GB
centos            latest    5d0da3dc9764   10 months ago    231MB
[root@localhost ~]# docker run -d -it --name hh centos:b1
00aa5f710f38c2be62e6add48916e9cc440ffc920d1be202e124da1635913815
[root@localhost ~]# docker ps
CONTAINER ID   IMAGE                COMMAND        CREATED          STATUS          PORTS                                       NAMES
00aa5f710f38   centos:b1            "./httpd.sh"   7 seconds ago    Up 6 seconds                                                hh
dc2797604ab2   centos-httpd.sh:v1   "./httpd.sh"   18 minutes ago   Up 18 minutes   0.0.0.0:80->80/tcp, :::80->80/tcp           web6
f1f99f9e3421   centos-httpd.sh:v1   "./httpd.sh"   19 minutes ago   Up 19 minutes   0.0.0.0:8080->8080/tcp, :::8080->8080/tcp   web5
[root@localhost ~]# docker inspect hh
"Gateway": "172.17.0.1",
                    "IPAddress": "172.17.0.4",
                    "IPPrefixLen": 16,
                    "IPv6Gateway": "",
                    "GlobalIPv6Address": "",
                    "GlobalIPv6PrefixLen": 0,
                    "MacAddress": "02:42:ac:11:00:04",
                    "DriverOpts": null
                }
            }
        }
    }
]
[root@localhost ~]# curl 172.17.0.4
<html><body><h1>It works!</h1></body></html>