Docker file—镜像分层
一、docker file镜像分层
docker file是自定义镜像的一套规则
dockerfile由多条指令构成,Dockerfile中的每一条指令都会对应于docker镜像中的每一层
创建镜像的几种方式
①基于已有的模板文件进程创建 save -o / load
镜像导出、导入
②基于已有的容器进行创建 docker commit
③dockerfile制作镜像 自定义制作
1.docker镜像的分层
docekrfile的原理就是镜像分层
1.Dockerfile中的每个指令都会创建一个新的镜像层(一个临时的容器,执行完后将不再存在,再往后进行重新的创建与操作)
2.镜像层会被缓存和复用(后续的镜像层将基于前面的一层,每一层都会有下几层的缓存)
3.当dockerfile的指令修改,复制的文件发生变化后,或者构建镜像时指定的变量不同了(后续操作必然会更改前面的镜像层),那么对应的镜像层缓存就会失效(自动销毁)
4.某一层的镜像缓存失效后,它之后的镜像层都会失效(第一层不成功,那么第二层也不会成功)
5.容器的修改并不会影响到镜像,如果在某一层中添加一个文件,在下一层中删除后,镜像中依然包含该文件
镜像不是一个单一的文件,而是由多层构成,容器其实是在镜像的最上面加了一层读写层,在运行容器里做的任何文件的改动,都会写到这个读写层,如果删除了容器,也就会删除了其最上面的读写层,文件改动就会丢失,Docker使用存储驱动管理镜像每层内容及可读写层的容器层
二、Docker镜像的创建
1.基于dockerfile创建
首先启动一个镜像,在容器内做修改
docker images
docker create -it centos:7 bash
docker ps -a
将修改后的容器提交为新的镜像,需要使用该容器的 ID 号创建新镜像
docker commit -m "new" -a "han" 4be95059acfe centos:7
##commit 常用选项:
-m:说明信息
-a:作者信息
-p:生成过程中停止容器的运行
docker images
2.基于本地模板创建,
通过导入操作系统模板文件可以生成镜像,模板可以从OPENVZ开源项目下载,
下载地址:https://wiki.openvz.org/Download/template/precrated
可在主机上复制下载地址下载debian镜像导入
导入debian压缩包
[root@localhost ~]# ls
anaconda-ks.cfg debian-7.0-x86-minimal.tar.gz initial-setup-ks.cfg original-ks.cfg
#生成镜像
[root@localhost ~]# docker import debian-7.0-x86-minimal.tar.gz -- debian:v1
sha256:0cc18c818a1948becb66cab4b4c880f815200e67fffcbb9bd48f67822010247b
#或
cat debian-7.0-x86-minimal.tar.gz | docker import - debian:v1
#查看镜像
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
debian v1 0cc18c818a19 16 seconds ago 215MB
#启动容器
[root@localhost ~]# docker run -itd debian:v1 bash
c1ed22a0152567a12b3f0a8b3fa57f407ca1fe55d631ece1bb9860b7fa4efb3a
[root@localhost ~]# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
c1ed22a01525 debian:v1 "bash" 5 seconds ago Up 5 seconds peaceful_goldwasser
载入选项:
通过 docker save 导出的镜像,使用 docker load 导入 docker
通过 docker export 导出的容器,使用 docker import 导入 docker
3.基于dockerfile创建
dockerfile是由一组指令组成的文件
dockerfile每行支持一条指令,每条指令可携带多个参数,一条指令可以用&&方式,去写多条指令,
dockerfile支持以#为开头的注释
3.1dockerfile结构(四部分)
- 基础镜像信息(Linux发行版:centos ubantu suse debian alpine redhat)
- 维护者信息(docker search可查看)
- 镜像操作指令(tar yum make)
- 容器启动时执行指令(cmd[“/root/run.sh”] 、entrypoint都是系统启动时,每一个加载的程序/脚本/命令)
构建镜像命令(可在构建镜像时指定资源限制)
示例:
docker build -t nginx:test .
#基于dockerfile文件构建镜像命令
完整写法:docker build -f dockerfile -t nginx:new
docker build:基于dockerfikle构建镜像
-f:指定dockerfile文件(默认不写的是指当前目录)
-t:(tag)打标签————》nginx:new
. :专业说法:指的是构建镜像时的上下文环境,简单理解:指的是当前目录环境中的文件
在编写Dockerfile时,有严格的格式需要遵循:
第一行必须使用FROM指令指明所基于的镜像名称;
之后使用MAINTAINER指令说明该镜像的用户信息;
然后是镜像操作相关指令,如RUN指令,每运行一条指令,都会给基础镜像添加新的一层
最后使用CMD指令启动容器时要运行的命令操作
三、Dockerfile操作指令
| 操作 | 含义 |
|---|---|
| FROM[镜像] | 指定新镜像所基于的镜像,第一条指令必须为FROM指令,每创建一个镜像就需要一条FROM指令,例如:centos:7,from有两层含义:①开启一个新的镜像;②必须写的一行指令 |
| MAINTAINER[名字] | 说明新镜像的维护人信息(可写可不写) |
| RUN命令 | 每一条RUN后面都要跟一条命令,在所基于的镜像上执行命令,并提交到新的镜像中,RUN必须大写 |
| CMD [“要运行的程序”,“参数1”、“参数2”] | 指定启动容器时需要运行的命令或脚本,Dockerfile只能有一条CMD命令,如果指定多条则只能执行最后一条,"bin/bah"也是一条CMD,并且会覆盖image镜像里面的cmd |
| EXPOSE [端口号] | 指定新镜像加载到Docker时要开启的端口暴露端口,就是就这个容器暴露出去的端口号, |
| ENV [环境变量] [变量值] | 设置一个环境变量的值,会被后面的RUN使用,容器可以根据自己的需求创建时传入环境变量,镜像不可以 |
| ADD [源文件/目录] [目标文件/目录] | ①、将源文件复制到目标文件,源文件要与Dockerfile位于相同目录中;②或者是一个URL;③若源文件是压缩包则会自动将其解压缩 |
| VOLUME [目录] | 在容器中创建一个挂载点,简单来说就是-v,指定镜像的目录挂载到宿主机上 |
| USER [用户名/UID] | 指定运行容器时的用户 |
| WORKDIR [路径] | 为后续的RUN、CMD、ENTRYPOINT指定工作目录,相当于是一个临时的“cd”命令。否则需要使用绝对路径,例如workdir /opt .移动到opt目录,并在这下面的指令都是在opt下执行 |
| ONBUILD [指令] | 指定所生成的镜像作为一个基础镜像时所要运行的命令(也是一种优化 |
| HEALTHCHECK | 健康检查 |
1.ENTRPOINT指令
ENTRYPOINT [“要运行的程序”,“参数1”,“参数2”]
设定容器启动时第一个运行的命令及其参数 可以通过使用命令docker run --entrypoint 来覆盖镜像中的ENTRYPOINT指令的内容。
两种格式:
exec格式(数值格式):ENTRYPOINT [“命令”,“选项”,“参数”]
shell格式:ENTRYPOINT 命令 选项 参数
2.CMD与entrypoint
都是容器启动时要加载的命令
exec模式与shell模式
**exec:**容器加载时使用的启动的第一个任务进程
**shell:**容器加载时使用的第一个bash(bin/bash bin/init)
自检完成后,加载第一个pid = 1 进程
shell 翻译官/解释器,解析
echo $PATH
示例
mkdir jingx
ls
cd jingx
vim Dockerfile
FROM centos:7
CMD ["top"]
docker bulid -t centos:test01 .
docker run -it --name jingx centos:7
docker logs jingx
docker start af6fcfedbbd0 开启容器
docker exec jingx ps aux 进入容器ps命令查看,第一个运行命令是否为top
docker exec jingx ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.1 0.0 56156 1944 pts/0 Ss+ 08:20 0:00 top
root 7 0.0 0.0 51732 1704 ? Rs 08:20 0:00 ps aux
docker run -itd --name text centos:7 /bin/bash
docker ps -a
docker exec text ps aux
3.使用exec模式是无法输出环境变量
示例:exec模式(命令+选项+参数)
vim Dockerfile
FROM centos:7
#CMD ["echo","$HOME"]
docker build -t "centos:san" .
docker images
docker run -itd --name si centos:san
docker ps -a
docker logs si
小结
例:区分shell模式和exec模式
/bin/sh -c nginx #shell模式
nginx # exec模式
exec和shell的区别
exec不可输出环境变量
shell模式可以输出环境变量
cmd是容器环境启动时默认加载的命令
entrypoint是容器环境启动时第一个加载的命令程序/脚本程序init
如果 ENTRYPOINT 使用了 shell 模式,CMD 指令会被忽略。
如果 ENTRYPOINT 使用了 exec 模式,CMD 指定的内容被追加为 ENTRYPOINT 指定命令的参数。
如果 ENTRYPOINT 使用了 exec 模式,CMD 也应该使用 exec 模式。
4.ADD和COPY的区别
Dockerfile中的COPY指令和ADD指令都可以将主机上的资源复制或加入到容器镜像中,都是在构建镜像的过程中完成的
①、copy只能用于复制(节省资源)
②、ADD复制的同时,如果复制对象为压缩包,ADD会自动解压(消耗资源)
③、COPY指令和ADD指令的唯一区别在于是否支持从远程URL获取资源,COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中,而ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中
④、满足同等功能的情况下,推荐使用copy指令,ADD指令更擅长读取本地tar文件并解压缩
四、镜像分层的原理
1.docker镜像分层(基于AUFS构建)
1.Docker镜像位于bootfs之上
2.每一层镜像的下一层成为父镜像
3.第一层镜像成为base image(操作系统环境镜像)
4.容器层(可读可写),在最顶层(writable)
5.容器层以下都是readonly
LXC是一种内核中的容器技术,早期docker在没有将资源容器化的功能时,就是靠内核中LXC来完成容器虚拟化的,现在docker拥有了自己的docker libcontainer库文件,这种库文件可以做到将资源容器化的操作,所以对LXC的依赖性大大降低
2.涉及技术
2.1bootfs (boot file system) 内核空间
主要包含bootloader和kernel
bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统,在Docker镜像的最底层是bootfs
这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs
在linux操作系统中(不同版本的linux发行版本),linux加载bootfs时会将rootfs设置为read-only,系统自检后会将只读改为读写,让我们可以在操作系统中进行操作
2.2rootfs (root file system) 内核空间
在bootfs之上(base images,例如centos 、ubuntu)
包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件
rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等
3、小结
为什么docker的centos镜像只有200M多一点
1、因为docker镜像*只有rootfs和其他镜像层,共用宿主机的linux内核(bootfs)*,因此很小
2、bootfs + rootfs :作用是加载、引导内核程序 + 挂载使用linux 操作系统(centos ubantu)等等一些关键的目录文件
3、就是说bootsfs用内核的,rootfs用自己的
4、对于一个精简的os,rootfs可以很小,只需要包括最基本的命令、工具和程序库就可以了,因为底层直接用Rost的kernel,自己只需要提供rootfs就行了。所以对于不同的linux发行版,bootfs基本是一致的,rootfs会有差别,所以不同的发行版可以公用bootfs
4.AUFS与overlay/overlay2
AUFS是一种联合文件系统,它使用同一个Linux host上的多个目录,逐个堆叠起来,对外呈现出一个统一的文件系统,AUFS使用该特性,实现了Docker镜像的分层
而docker使用了overlay/overlay2存储驱动来支持分层结构
OverlayFS将单个Linux主机上的两个目录合并成一个目录。这些目录被称为层,统一过程被称为联合挂载
4.1 overlay结构
overlayfs在linux主机上只有两层,一个目录在下层,用来保存镜像(docker),另外一个目录在上层,用来存储容器信息
1、rootfs 基础镜像
2、lower 下层信息 (为镜像层,容器)
3、upper 上层目录 (容器信息,可写)
4、worker 运行的工作目录(copy-on-write写时复制 -》准备容器环境)
5、mergod “视图层”(容器视图)
docker 镜像层次结构小结
① base image :基础镜像
② image:固化了一个标准运行环境,镜像本身的功能-封装一组功能性的文件,通过统一的方式,文件格式提供出来
(只读)
③ container:容器层(读写)
④ docker-server 端
⑤ 呈现给docker-client (视图)
5.LSC和容器的关系
LXC是内核中容器技术/驱动,功能是将资源容器化。完成资源容器虚拟化的过程。是早期docker的依赖组件目前docker 拥有自己的libcontianer库。可以实现容器虚拟化的功能,对LXC依赖性大大降低。
6.dockerfile镜像分层的原理
- 用overlay2存储引擎的方式叠加上去,最上面是容器层是可读可写的,其他镜像是可读的,
- 他们是共用的内核资源,共用的是操作系统里所必须的引导程序,挂载,系统之间的文件,
- 这些文件他和内核之间共享,所以他比实际的centos要小。
7.容器之间相互通信的方式
docker 0 、 数据卷容器 、 --link 隧道 、 container 模式(直连接口,同一个network namespaces里,通过同一个网卡的方式,在同一个名称空间里 共有一个IP,通过localhost交互/自己的ip或端口交互)
五、dockerfile实例
1.构建tomcat
cd /opt
mkdir tomcat
cd tomcat
===上传apache-tomcat-9.0.16.tar.gz、jdk-8u91-linux-x64.tar安装包===
vim Dockerfile
FROM centos:7
MAINTAINER [HAN]
ADD jdk-8u91-linux-x64.tar.gz /usr/local
ADD apache-tomcat-9.0.16.tar.gz /usr/local
WORKDIR /usr/local
RUN mv apache-tomcat-9.0.16 tomcat
RUN mv jdk1.8.0_91 java
ENV JAVA_HOME /usr/local/java
ENV CLASS_PATH $JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar
ENV PATH $JAVA_HOME/bin:$PATH
EXPOSE 8080
CMD ["/usr/local/tomcat/bin/catalina.sh","run"]
docker build -t tomcat:new .
docker images 查看刚刚构建的镜像
REPOSITORY TAG IMAGE ID CREATED SIZE
tomcat new 06c76df01657 4 minutes ago 964MB
运行容器,并指定端口映射
docker run -itd -p 1100:8080 tomcat:new
31b9820df88872ee86047c481c0994a9c782804d6fb97a3c7a2a875c65c3b73e
docker ps -a
==真机访问==
http://宿主机ip:1100
tomcat启动脚本之间的关系 bin目录下的 startup.sh—调用—>catalina.sh—引用—>setclasspath.sh
说明:
1.tomcat的startup.sh脚本主要用来判断环境,找到catalina.sh脚本源路径,将启动命令参数传递给catalina.sh执行;
2.setclasspath.sh检查各种变量是否赋值,验证tomcat启动停止需要涉及到的文件,保障tomcat顺利启动停止;
3.catalina.sh脚本使用了大量的判断,使用if作为参数的输入判断,核心的启动命令其实就是java命令。
网页测试验证
总结
dockerfile构建镜像前要创建一个工作目录,docker build会扫描当前目录下所有文件,优化四种方式——》基于docker镜像分层的原理来的
① 每一条RUN 指令 都会生成一层新的镜像层
② 每一层镜像缓存会继承到下一层中 ——》直接影响到镜像的大小
1034
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
