以下内容转载自https://blog.51cto.com/liuleis/2070461 第八篇:Docker镜像结构原理

base 镜像

base 镜像有两层含义:

  1. 不依赖其他镜像,从 scratch 构建。
  2. 其他镜像可以之为基础进行扩展。

base 镜像的通常都是各种 Linux 发行版的 Docker 镜像,比如 Ubuntu, Debian, CentOS 等,以 CentOS 为例学习 base 镜像包含哪些内容。

下载镜像:

[root@docker ~]# docker pull centos
Using default tag: latest
latest: Pulling from library/centos
af4b0a2388c6: Pull complete
Digest: sha256:2671f7a3eea36ce43609e9fe7435ade83094291055f1c96d9d1d1d7c0b986a5d
Status: Downloaded newer image for centos:latest ##下载centos最新镜像

查看镜像信息:

[root@docker ~]# docker images centos
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
centos              latest              ff426288ea90        4 weeks ago         207MB

使用docker pull centos下载最新版本的Centos镜像也就207M左右,而我们平时下载一个原生的centos镜像都是4G,对于 Docker 初学者都会有这个疑问。

下面来了解下Linux 操作系统由内核空间和用户空间组成,如下图所示:

macos docker镜像加速器地址 docker镜像加速原理_macos docker镜像加速器地址


Linux 操作系统由内核空间和用户空间组成。

典型的Linux启动到运行需要两个FS,bootfs + rootfs

内核空间是 kernel,Linux 刚启动时会加载 bootfs 文件系统,之后 bootfs 会被卸载掉。

用户空间的文件系统是 rootfs,包含我们熟悉的 /dev, /proc, /bin 等目录。

对于 base 镜像来说,底层直接用 Host(宿主机) 的 kernel(内核),自己只需要提供 rootfs 就行了。

而对于一个精简的 OS,rootfs 可以很小,只需要包括最基本的命令、工具和程序库就可以了。相比其他 Linux 发行版,CentOS 的 rootfs 已经算臃肿的了,alpine 还不到 10MB。

我们平时安装的 CentOS 除了 rootfs 还会选装很多软件、服务、图形桌面等,需要好几个 GB 就不足为奇了。

base 镜像提供的是最小安装的 Linux 发行版。

支持运行多种 Linux OS:
不同 Linux 发行版的区别主要就是 rootfs。

比如 Ubuntu 14.04 使用 upstart 管理服务,apt 管理软件包;而 CentOS 7 使用 systemd 和 yum。这些都是用户空间上的区别,Linux kernel 差别不大。

所以 Docker 可以同时支持多种 Linux 镜像,模拟出多种操作系统环境。

macos docker镜像加速器地址 docker镜像加速原理_macos docker镜像加速器地址_02


上图 Debian 和 BusyBox上层提供各自的 rootfs,底层共用 Docker Host 的 kernel。

注意:base 镜像只是在用户空间与发行版一致,kernel 版本与发型版是不同的。

[root@docker ~]# uname -r
3.10.0-514.el7.x86_64                 ##Host kernel 为 3.10.0-514
[root@docker ~]# docker run -ti centos    ##启动并进入 CentOS 容器
[root@263132669aa3 /]# cat /etc/redhat-release   ##验证容器是 CentOS 7
CentOS Linux release 7.4.1708 (Core)
[root@263132669aa3 /]# uname -r      ##容器的 kernel 版本与 Host 一致
3.10.0-514.el7.x86_64

说明:

容器只能使用 Host 的 kernel,并且不能修改。所有容器都共用 host 的 kernel,在容器中没办法对 kernel 升级。如果容器对 kernel 版本有要求(比如应用只能在某个 kernel 版本下运行),则不建议用容器,这种场景虚拟机可能更合适。

容器的可写层

当容器启动时,一个新的可写层被加载到镜像的顶部。

这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。

macos docker镜像加速器地址 docker镜像加速原理_Docker_03


所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。

只有容器层是可写的,容器层下面的所有镜像层都是只读的。

下面我们深入讨论容器层的细节:
镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如 /a,上层的 /a 会覆盖下层的 /a,也就是说用户只能访问到上层中的文件 /a。在容器层中,用户看到的是一个叠加之后的文件系统。

  1. 添加文件
    在容器中创建文件时,新文件被添加到容器层中。
  2. 读取文件
    在容器中读取某个文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,打开并读入内存。
  3. 修改文件
    在容器中修改已存在的文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。
  4. 删除文件
    在容器中删除文件时,Docker 也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。

只有当需要修改时才复制一份数据,这种特性被称作 Copy-on-Write。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。
这样就解释了我们前面提出的问题:容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。



macos docker镜像加速器地址 docker镜像加速原理_Docker_04


关于镜像的理解:

镜像(Image)就是一堆只读层(read-only layer)的统一视角,也许这个定义有些难以理解,下面的这张图能够帮助读者理解镜像的定义。

macos docker镜像加速器地址 docker镜像加速原理_Docker_05


从左边我们看到了多个只读层,它们重叠在一起。除了最下面一层,其它层都会有一个指针指向下一层。这些层是Docker内部的实现细节,并且能够在主机(译者注:运行Docker的机器)的文件系统上访问到。

统一文件系统(union file system) 技术能够将不同的层整合成一个文件系统,为这些层提供了一个统一的视角,这样就隐藏了多层的存在,在用户的角度看来,只存在一个文件系统。

我们可以在图片的右边看到这个视角的形式。

你可以在你的主机文件系统上找到有关这些层的文件。需要注意的是,在一个运行中的容器内部,这些层是不可见的。在我的主机上,我发现它们存在于/var/lib/docker/目录下。

关于容器的理解:

容器(container)的定义和镜像(image)几乎一模一样,也是一堆层的统一视角,唯一区别在于容器的最上面那一层是可读可写的。

macos docker镜像加速器地址 docker镜像加速原理_docker_06


结合以下命令更好理解

docker rm <container-id>

macos docker镜像加速器地址 docker镜像加速原理_Docker_07


docker rm命令会移除构成容器的可读写层。注意,这个命令只能对非运行态容器执行。docker rmi <image-id>

macos docker镜像加速器地址 docker镜像加速原理_macos docker镜像加速器地址_08


docker rmi 命令会移除构成镜像的一个只读层。你只能够使用docker rmi来移除最顶层(top level layer)(也可以说是镜像),你也可以使用-f参数来强制删除中间的只读层。docker commit <container-id>

macos docker镜像加速器地址 docker镜像加速原理_文件系统_09


docker commit命令将容器的可读写层转换为一个只读层,这样就把一个容器转换成了不可变的镜像。

macos docker镜像加速器地址 docker镜像加速原理_Docker_10


docker exec <running-container-id>

macos docker镜像加速器地址 docker镜像加速原理_macos docker镜像加速器地址_11


docker exec 命令会在运行中的容器执行一个新进程。docker save <image-id>

macos docker镜像加速器地址 docker镜像加速原理_文件系统_12


docker save命令会创建一个镜像的压缩文件,这个文件能够在另外一个主机的Docker上使用。和export命令不同,这个命令为每一个层都保存了它们的元数据。这个命令只能对镜像生效。docker export <container-id>

macos docker镜像加速器地址 docker镜像加速原理_文件系统_13


docker export命令创建一个tar文件,并且移除了元数据和不必要的层,将多个层整合成了一个层,只保存了当前统一视角看到的内容(译者注:expoxt后的容器再import到Docker中,通过docker images –tree命令只能看到一个镜像;而save后的镜像则不同,它能够看到这个镜像的历史镜像)。docker history <image-id>

macos docker镜像加速器地址 docker镜像加速原理_macos docker镜像加速器地址_14


docker history命令递归地输出指定镜像的历史镜像。




和虚拟机比较:

虚拟机的缺点: 资源占用多,冗余步骤多,启动慢

查看Linux版本:

macos docker镜像加速器地址 docker镜像加速原理_文件系统_15


查看Linux内核版本:

macos docker镜像加速器地址 docker镜像加速原理_Docker_16


查看docker版本:

macos docker镜像加速器地址 docker镜像加速原理_docker_17

配置阿里云镜像加速:

macos docker镜像加速器地址 docker镜像加速原理_macos docker镜像加速器地址_18


启动nginx时映射87端口外部访问遇到的问题:

谷歌浏览器ERR_UNSAFE_PORT问题,87端口限制导致的网站访问受限事故分析

docker logs -f --tail -t 容器id 查看容器日志

docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]

  • -a :提交的镜像作者;
  • -c :使用Dockerfile指令来创建镜像;
  • -m :提交时的说明文字;
  • -p :在commit时,将容器暂停。
docker commit -a "wt" -m "no-doc-tomcat" 1240683cab63 dc/tomcat:v1.1

docker cp [OPTIONS] CONTAINER:SRC_PATH DEST_PATHdocker cp [OPTIONS] SRC_PATH|- CONTAINER:DEST_PATH 从容器拷贝数据到主机

#将主机/root/my目录拷贝到容器1240683cab63的/conf目录下。
docker cp /root/my 1240683cab63:/conf/
#将主机/root/my目录拷贝到容器1240683cab63中,目录重命名为myini。
docker cp /root/my 1240683cab63:/myini
#将容器1240683cab63的/doc目录拷贝到主机的/tmp目录中。
docker cp  1240683cab63:/doc /tmp/