Docker学习笔记(二)

Docker镜像

镜像

是一种轻量级、可执行的独立软件包,它包含运行某个软件所需的所有内容,我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等),这个打包好的运行环境就是image镜像文件。

联合文件系统

UnionFS(联合文件系统):Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。Union 文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。

特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录

镜像加载原理

docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。

bootfs(boot file system)主要包含bootloader和kernel, bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统,在Docker镜像的最底层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存 中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。

rootfs (root file system) ,在bootfs之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等。

对于一个精简的OS,rootfs可以很小,只需要包括最基本的命令、工具和程序库就可以了,因为底层直接用Host的kernel,自己只需要提供 rootfs 就行了。由此可见对于不同的linux发行版, bootfs基本是一致的, rootfs会有差别, 因此不同的发行版可以公用bootfs。

镜像分层最大的一个好处就是共享资源,方便复制迁移,就是为了复用。比如说有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。

重点理解

Docker镜像层都是只读的,容器层是可写的,当容器启动时,一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的,容器层下面的所有镜像层都是只读的。

Commit操作

1
2
docker commit 命令用于将容器的当前状态保存为一个新的 Docker 镜像。
docker commit -m="提交的描述信息" -a="作者" 容器ID 要创建的目标镜像名:[标签名]

Commit案例

ubuntu容器实例中安装vim后提交将容器的当前状态保存为一个新的 Docker 镜像案例。

1、从Hub上下载ubuntu镜像到本地并成功运行

1
docker pull ubuntu:latest

2、原始的默认ubuntu镜像是不带着vim命令的

1
2
3
4
5
docker run -it ubuntu:latest
[root@e11ebef81c5f /]#
#在容器内执行apt-get update
#apt-get install -y vim
#安装完成之后推出容器即可

3、在commit自己的新镜像

1
2
3
4
5
6
7
8
9
10
docker commit -m="具有vim功能的ubuntu" -a="hudi" 容器ID ubuntu-vim:1.0

[root@localhost ~]# docker commit -m="具有vim功能的ubuntu" -a="hudi" 1857b8896555  ubuntu-vim:1.0
sha256:b9eeb8c4d9038a46b131c4f7c75d3de3381c1dd328191ecfe9d22963c665d4ea

[root@localhost ~]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED          SIZE
ubuntu-vim   1.0       b9eeb8c4d903   49 seconds ago   194MB
ubuntu       latest    b1d9df8ab815   4 weeks ago      78.1MB
centos       latest    5d0da3dc9764   3 years ago      231MB

4、启动一个ubuntu-vim:1.0镜像实例查看是否具有vim功能。

1
docker run -it ubuntu-vim:1.0

Docker中的镜像分层,支持通过扩展现有镜像,创建新的镜像。类似Java继承于一个Base基础类,自己再按需扩展。

新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层

阿里云仓库

镜像的生成方法

1、基于当前容器创建一个新的镜像,新功能增强docker commit [OPTIONS] 容器ID [imagename[:TAG]]

2、或者是使用Dockerfile。

将本地镜像推送至阿里云

将本地的具有vim功能的Ubuntu镜像ubuntu-vim:1.0 推送到阿里云

在阿里云创建仓库

在阿里云的控制台->[容器镜像服务]->在[实例列表]中选择个人实例->在[命名空间]中创建命名空间->在[镜像仓库]创建一个名字为ubuntu-vim的仓库。仓库类型选择公开。

在仓库信息中选择本地仓库,点击创建镜像仓库。

仓库创建以后,在基本信息中就可以看到仓库的基本信息了,可以在操作指南中的操作三可以把本地的一个镜像推送到阿里云。基本操作就是如下。

登录阿里云Docker Registry

1
docker login --username=s71478355 registry.cn-hangzhou.aliyuncs.com

用于登录的用户名为阿里云账号全名,密码为开通服务时设置的密码。

从阿里云Registry中拉取镜像

1
docker pull registry.cn-hangzhou.aliyuncs.com/sxc_docker_test/ubuntu-vim:[镜像版本号]

将镜像推送到Registry

1
2
3
docker login --username=s71478355 registry.cn-hangzhou.aliyuncs.com
docker tag [ImageId] registry.cn-hangzhou.aliyuncs.com/sxc_docker_test/ubuntu-vim:[镜像版本号]
docker push registry.cn-hangzhou.aliyuncs.com/sxc_docker_test/ubuntu-vim:[镜像版本号]

请根据实际镜像信息替换示例中的[ImageId]和[镜像版本号]参数。

选择合适的镜像仓库地址

从ECS推送镜像时,可以选择使用镜像仓库内网地址。推送速度将得到提升并且将不会损耗您的公网流量。

如果您使用的机器位于VPC网络,请使用 registry-vpc.cn-hangzhou.aliyuncs.com 作为Registry的域名登录。

示例

使用”docker tag”命令重命名镜像,并将它通过专有网络地址推送至Registry。

1
2
3
4
5
6
docker images
REPOSITORY   TAG       IMAGE ID       CREATED       SIZE
ubuntu-vim   1.0       b9eeb8c4d903   3 hours ago   194MB
ubuntu       latest    b1d9df8ab815   4 weeks ago   78.1MB

docker tag b9eeb8c4d903 registry.cn-hangzhou.aliyuncs.com/sxc_docker_test/ubuntu-vim:1.0

使用 “docker push” 命令将该镜像推送至远程。

1
2
3
4
5
6
7
docker push registry.cn-hangzhou.aliyuncs.com/sxc_docker_test/ubuntu-vim:1.0

[root@localhost yum.repos.d]# docker push registry.cn-hangzhou.aliyuncs.com/sxc_docker_test/ubuntu-vim:1.0
The push refers to repository [registry.cn-hangzhou.aliyuncs.com/sxc_docker_test/ubuntu-vim]
0d84a7dfefee: Pushed 
687d50f2f6a6: Pushed 
1.0: digest: sha256:3d2e6643331d69a98fb7c04fe375a16361170016befc6767368f17be0fd2415d size: 741

私有库

DockerRegistry

官方Docker Hub地址:https://hub.docker.com/,中国大陆访问太慢了且准备被阿里云取代的趋势,不太主流。

Dockerhub、阿里云这样的公共镜像仓库可能不太方便,涉及机密的公司不可能提供镜像给公网,所以需要创建一个本地私人仓库供给团队使用,基于公司内部项目构建镜像。

Docker Registry是官方提供的工具,可以用于构建私有镜像仓库

将本地镜像推送到私有库

下载镜像Docker Registry

1
docker pull registry

运行私有库Registry,相当于本地有个私有Docker hub

1
docker run -d -p 5000:5000  -v /root/myregistry/:/tmp/registry --privileged=true registry

默认情况,仓库被创建在容器的/var/lib/registry目录下,建议自行用容器卷映射,方便于宿主机联调

通过浏览器访问http://192.168.254.28:5000/v2/catalog 可以查看本地仓库中的镜像,或者是在Linux系统执行一下命令。

1
curl -XGET http://192.168.111.162:5000/v2/_catalog

示例

案例演示创建一个新镜像,ubuntu安装ifconfig命令

从Hub上下载ubuntu镜像到本地并成功运行,将容器提交成镜像push到私有库里面

创建一个Ubuntu的实例

1
2
3
4
docker run -it ubuntu:latest
#进入容器以后安装net-tools
apt-get update
apt-get install -y net-tools

提交容器使其成为一个新的镜像

1
docker commit -m="with ifconfig" -a="hudi" e653fa4f5d45 ubuntu-ifconfig:1.0

在推送新构建的镜像到本地仓库之前,需要将新镜像ubuntu-ifconfig:1.0修改符合私服规范的Tag

1
2
#docker   tag   镜像:Tag   Host:Port/Repository:Tag
docker tag  ubuntu-ifconfig:1.0  192.168.254.28:5000/ubuntu-ifconfig:1.0

修改配置文件使之支持http,docker默认不允许http方式推送镜像,通过配置选项来取消这个限制。

1
2
"insecure-registries": ["192.168.254.28:5000"]
#重启docker服务,使配置项生效。

将镜像push推送到私服库。

1
docker push 192.168.254.28:5000/ubuntu-ifconfig:1.0

推送成功之后,可以在浏览器访问http://192.168.254.28:5000/v2/catalog 查看镜像信息。可以看到{“repositories”:[“ubuntu-ifconfig”]}。

容器数据卷

概念

卷就是目录或文件,存在于一个或多个容器中,由Docker挂载到容器,但不属于联合文件系统,因此能够绕过Union File System提供一些用于持续存储或共享数据的特性。

数据卷的设计目的就是数据的持久化,完全独立于容器的生存周期,因此Docker不会在容器删除时删除其挂载的数据卷。

将docker容器内的数据保存进宿主机的磁盘中。

作用

将运用与运行的环境打包镜像,run后形成容器实例运行 ,但是我们对数据的要求希望是持久化的Docker容器产生的数据,如果不备份,那么当容器实例删除后,容器内的数据自然也就没有了。为了能保存数据在docker中我们使用卷。

特点

数据卷可在容器之间共享或重用数据。

卷中的更改可以直接实时生效。

数据卷中的更改不会包含在镜像的更新中。

数据卷的生命周期一直持续到没有容器使用它为止。

命令

运行一个带有容器卷存储功能的容器实例

1
docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录      镜像名

Docker挂载主机目录访问如果出现cannot open directory .: Permission denied,解决办法:在挂载目录后多加一个–privileged=true参数即可。

如果是CentOS7安全模块会比之前系统版本加强,不安全的会先禁止,所以目录挂载的情况被默认为不安全的行为,在SELinux里面挂载目录被禁止掉了额,如果要开启,我们一般使用–privileged=true命令,扩大容器的权限解决挂载目录没有权限的问题,也即使用该参数,container内的root拥有真正的root权限,否则,container内的root只是外部的一个普通用户权限。

示例

添加容器卷

1
2
#docker run -it -v /宿主机目录:/容器内目录 镜像名 /bin/bash
docker run -it --name myu3 --privileged=true -v /tmp/hostdata:/tmp/dockerdata ubuntu /bin/bash

查看数据卷是否挂载成功,通过inspect命令可以返回当前容器的信息,格式使json,在mounts中可以看到数据卷的挂载 RW表示容器对数据卷是可读可写的。也可以通过RO来指定容器对数据卷是只读的。容器实例内部被限制,只能读取不能写。在挂载数据卷的时候,默认模式是可读可写的。

1
2
3
4
5
6
7
8
9
10
11
12
docker inspect 容器ID 
"Mounts": [
            {
                "Type": "bind",
                "Source": "/tmp/hostdata",
                "Destination": "/tmp/dockerdata",
                "Mode": "",
                "RW": true,
                "Propagation": "rprivate"
            }
        ],

docker修改,主机同步获得。主机修改,docker同步获得。docker容器stop,主机修改,docker容器重启看数据是否同步。

挂载一个只读的数据卷

1
docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录:ro      镜像名

卷的继承和共享,通过 –volumes-from 参数来继承父类数据卷。数据是共享的,不会因为父类所挂在的容器实例停止,而导致数据卷据丢失或数据无法同步等问题。

1
docker run -it  --privileged=true --volumes-from 父类  --name 容器实例名字 镜像名字