1、Docker镜像(特殊文件系统)
操作系统分为内核和用户空间。对于 Linux 而言,内核启动后,会挂载 root 文件系统为其提供用户空间支持。而 Docker 镜像(Image)可以理解就是一个 root 文件系统。
Docker 镜像是一个特殊的文件系统,提供容器运行时所需的程序、库、资源、配置等文件以及为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)。
镜像不包含任何动态数据,其内容构建后不能改变。
Docker 设计时,就充分利用 Union FS 的技术,将其设计为分层存储架构。 镜像实际是由多层文件系统联合组成。镜像构建时,会一层层构建,前一层是后一层的基础。每一层构建完就不会再发生改变,后一层上的任何改变只发生在当前层。比如,删除前一层文件的操作,实际不是真的删除前一层的文件,而是仅在当前层标记为该文件已删除。
在最终容器运行的时候,虽然不会看到这个文件,但是实际上该文件会一直跟随镜像。因此,在构建镜像的时候,需要额外小心,每一层尽量只包含该层需要添加的东西,任何额外的东西应该在该层构建结束前清理掉。
分层存储的特征使镜像的复用、定制变的更为容易。甚至可以用之前构建好的镜像作为基础层,然后进一步添加新的层,以定制自己所需的内容,构建新的镜像。
2、Docker容器(镜像运行实体)
Docker 利用容器运行应用,可以被创建、启动、停止、删除、暂停等 。
镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。
容器的实质是进程,但与直接在宿主执行的进程不同,容器进程运行于属于自己的独立的命名空间。容器与镜像一样,也是分层存储。
容器存储层的生存周期和容器一样,容器消亡时,容器存储层也随之消亡。因此,任何保存于容器存储层的信息都会随容器删除而丢失。
docker 最佳实践要求,不向存储层写入任何数据,存储层要保持无状态化,因此要实现数据持久化,有两种方法:①使用数据卷(volume);②绑定宿主目录(挂载)
①挂载:将容器目录与宿主机目录进行挂载处理,跳过存储层直接对宿主机进行读写,性能和稳定性更高
②数据卷:数据卷生存周期独立于容器,容器亡,数据卷仍在
【注:容器在整个应用程序生命周期工作流中提供以下优点:隔离性、可移植性、灵活性、可伸缩性和可控性。 最重要的优点是可在开发和运营之间提供隔离】
3、Docker仓库(镜像文件存放)
镜像构建完成后,可以很容易的在当前宿主上运行,但是, 如果需要在其他服务器上使用这个镜像,我们就需要一个集中的存储、分发镜像的服务,Docker Registry 就是这样的服务。
一个 Docker Registry 中可以包含多个仓库(Repository);每个仓库可以包含多个标签(Tag);每个标签对应一个镜像。所以说,镜像仓库是 Docker 用来集中存放镜像文件的地方。
通常,一个仓库会包含同一个软件不同版本的镜像,而标签就常用于对应该软件的各个版本 。可以通过<仓库名>:<标签>格式指定具体是某软件某版本的镜像,如果不给出标签,将以latest作为默认标签。
仓库分为公开仓库( Public)和私有仓库( Private)两种形式,这里补充一下 Docker Registry 公有服务和 Docker Registry 私有服务的概念:
①公有服务:Docker Registry 公开服务是开放给用户使用、允许用户管理镜像的 Registry 服务。一般这类公开服务允许用户免费上传、下载公开的镜像,并可能提供收费服务供用户管理私有镜像。最常使用的是官方的 Docker Hub ,是默认的 Registry,拥有大量的高质量的官方镜像,网址为:hub.docker.com
。在国内访问 Docker Hub 可能会比较慢,国内有一些云服务商提供类似于 Docker Hub 的公开服务。
②私有服务:用户可以在本地搭建私有 Docker Registry 。Docker 官方提供了 Docker Registry 镜像,可以直接使用作为私有 Registry 服务。开源的 Docker Registry 镜像只提供了 Docker Registry API 的服务端实现,足以支持 Docker 命令,不影响使用。不包含图形界面,以及镜像维护、用户管理、访问控制等高级功能,但可以通过 harbor
提供图形管理界面(后面会提及)。