镜像存储位置:
-
Linux Docker 主机 本地镜像仓库通常位于/var/lib/docker/<storage--driver>,
-
Windows Docker 主机则是C:\\ProgramData\\docker\\windowsfilter。
docker镜像采用层级结构,一个镜像最多拥有127层UnionFS(联合文件系统)。
一、base镜像
有两层含义:
二、Linux操作系统由内核空间与用户空间组成
内核空间是kernel,Linux刚启动时会加载bootfs文件系统,之后bootfs会被卸载掉;用户空间的文件系统是rootfs,包含我们熟悉的/dev、/proc等目录。base镜像,底层直接用Host的kernel,自己只需提供rootfs(包括最基本的命令、工具、程序库)。
三、构建镜像
3.1、docker commit命令构建镜像
-----不建议(易出错、效率低、重复性差、无法对镜像进行审计)
是创建镜像最直观的方法,包含三步:1、运行容器 2、修改容器 3、将容器保存为新镜像比如:在ubuntu base镜像里安装vi并保存为新镜像1、在宿主机上运行容器:docker run -it ubuntu2、在容器内安装vi:apt-get install -y vim # 可能需要配置源 Docker镜像apt-get提示:E: Unable to locate package vim_最爱喝酸奶的博客-CSDN博客3、在宿主机上保存为新镜像:3.1 在宿主机上查看当前运行的容器 ,名称为 jovial_noyce
3.2 执行docker commit将容器保存为新镜像docker commit jovial_noyce ubuntu-with-vi # 新镜像ubuntu-with-vi4、在宿主机上从新镜像ubuntu-with-vi启动容器,验证vidocker run -it ubuntu-with-vi
3.2、Dockerfile构建镜像
概念:Dockerfile是镜像的描述文件,定义了如何构建Docker镜像。Dockerfile中每一个指令都会创建一个镜像层,上层依赖于下层,只要某一层发生变化,其上面的所有层的缓存都会失效。构建镜像过程:1、从base镜像运行一个容器; 2、执行一条指令,对容器修改; 3、执行docker commit的操作,生成新的镜像层; 4、Docker再基于步骤3生成的新的镜像运行一个新的容器; 5、重复2~4步骤,直到Dockerfile中的所有指令执行完毕。调试Dockfile:
若执行Dockerfile失败了,可根据之前一个指定成功构建的镜像查出问题:运行最新的这个镜像定位问题。1、在宿主机上创建Dockerfile文件,内容如下:[root@syslog docker_test]# ll total 4 -rw-r--r-- 1 root root 57 Oct 15 16:55 Dockerfile #手工创建 [root@syslog docker_test]# cat Dockerfile FROM ubuntu # 将ubuntu作为base镜像 RUN apt-get update && apt-get install -y vim2、[root@syslog docker_test]# docker build -t ubuntu-with-vim-dockerfile . # ubuntu-with-vim-dockerfile新镜像的名称
3、查看镜像
4、docker history会显示镜像的构建历史,也就是Dockerfile的执行过程[root@syslog docker_test]# docker history ubuntu-with-vim-dockerfile IMAGE CREATED CREATED BY SIZE COMMENT 2375dae36592 8 minutes ago /bin/sh -c apt-get update && apt-get install… 93.9MB 9140108b62dc 2 weeks ago /bin/sh -c #(nop) CMD ["/bin/bash"] 0B <missing> 2 weeks ago /bin/sh -c mkdir -p /run/systemd && echo 'do… 7B <missing> 2 weeks ago /bin/sh -c [ -z "$(apt-get indextargets)" ] 0B <missing> 2 weeks ago /bin/sh -c set -xe && echo '#!/bin/sh' > /… 811B <missing> 2 weeks ago /bin/sh -c #(nop) ADD file:da80f59399481ffc3… 72.9MBubuntu-with-vim-dockerfile与ubuntu镜像相比,只多了顶部的一层2375dae36592,由apt-get命令创建,大小93.9MB,(93.9+72.9=167M)
<missing>表示无法获取IMAGE ID,通常从Docker Hub下载的镜像会有这个问题。
四、镜像命名
一个特定镜像的名字有两部分组成:repository与tag(用于描述版本信息)[image name] = [repository]:[tag]若执行docker build时未指定tag,会使用默认值latest,等同于:docker build -t ubuntu-with-vi:latestdocker tag image-name [repository]:[tag] # 给镜像image-name重命名例如:docker tag httpd https-1.2:1.2
五、保存/发布镜像
5.1、使用公共registry
使用Docker Hub、quary.io1、在Docker Hub注册一个账号2、在Dock Host(宿主机)上登录
3、修改镜像的repository与Docker Hub账号匹配( Docker Hub为了区分不同用户的同名镜像,镜像的repository要包含用户名,完整格式:[username]/xxx:tag)[root@syslog ~]# docker tag httpd 1162886013/https-1.3:1.3 [root@syslog ~]# docker images 1162886013/https-1.3 REPOSITORY TAG IMAGE ID CREATED SIZE 1162886013/https-1.3 1.3 3dd970e6b110 3 days ago 138MB4、docker push 将镜像上传到Docker Hub:Docker会上传镜像的每一层,若Docker Hub上已经有了的镜像层则不会上传;如果想上传同一个repository中所有镜像,省略tag部分即可
[root@syslog ~]# docker push 1162886013/https-1.3:1.3 The push refers to repository [docker.io/1162886013/https-1.3] 850c0c904ff3: Pushed c264370aa736: Pushed e6f7f192bbc8: Mounted from library/httpd 6d80bc0bd923: Pushed d0fe97fa8b8c: Pushed 1.3: digest: sha256:60b82a0c2599b217d5231d3a54eb9f691ac8bc15b66f8f5f79f383f87c9c51ce size: 13665、在Docker Hub的Repositories可以看到上传的镜像
6、这个新上传的镜像可以被其他DockerHost下载使用:docker pull 1162886013/https-1.3:1.3
5.2、搭建本地registry
Docker Hub上有官方的镜像registry,我们在自己的Docker中运行registry1、 首先, Http: server gave HTTP response to HTTPS client 解决方法_兔子不会武功的博客-CSDN博客,解决docker push报错: http: server gave HTTP response to HTTPS client
2、启动registry容器:docker run -d -p 5000:5000 -v /home/myregistory:/var/lib/registry registry:2-d: 后台启动容器
-p: 将容器的5000端口映射到Host的5000端口,5000是registry服务端口
-v: 将容器的/var/lib/registry目录映射到Host的/home/myregistory(手动创建该目录),用于存放镜像数据
3、docker tag重命名镜像,使之与registry匹配[root@syslog ~] docker tag httpd:1.1 10.21.144.111 :5000/1162886013/httpd:1.1在新镜像的前面加了运行registry的主机名称和端口repository完整格式:[registry-host]:[port]/[username]]/xxx,只有Docker Hub上的镜像可以省略[registry-host]:[port]
4、docker push上传镜像 docker push 10.21.144.111:5000/1162886013/httpd:1.1
六、多层架构的镜像
在不同的平台上拉取镜像,需要考虑镜像是否与当前运行环境的架构(Windows、ARM..)匹配。
多架构镜像(Multi-architecture Image)的出现解决了这个问题!某个镜像仓库标签下的镜像可以同时支持64位Linux、Windows、ARM等多种架构。
为了实现这个特性,镜像仓库服务API支持两种重要的结构:Manifest列表(新)和Manifest。
Manifest列表指某个镜像标签支持的架构列表,其支持的每种架构,都有自己的Mainfest定义,其中列举了该镜像的构成。
原理:
假设要在ARM架构的linux上运行docker,拉取镜像时,Docker客户端调用Docker hub镜像仓库服务相应的API完成拉取。若该镜像有Mainfest列表,且存在Linux on ARM一项,则Docker Client会找到ARM架构对应的Mainfest并解析出该镜像的镜像层加密ID,然后从Docker Hub二进制存储中拉取每个镜像层。
所有官方镜像支持Mainfest列表。在没有Manifest列表的情况下,镜像仓库服务返回普通的Manifest.
示例:go version命令输出Go的版本和主机OS/CPU架构信息
七、多阶段构造
多阶段构造能在不增加复杂性的前提下优化构造过程。
多阶段构建方式使用一个Dockerfile,其中包含多个FROM 指令。每一个FROM 指令都是一个新的构建阶段(Build Stage),并且可以方便地复制之前阶段的构件。
Dockerfile文件如下:
重点在于 COPY --from 指令,它从之前的阶段构建的镜像中仅复制生产环境相关的应用代码,而不会复制生产环境不需要的构件。
八、构建镜像最佳实践
8.1、镜像缓存
一旦有指令在缓存中未命中(没有该指令对应的镜像层),则后续的整个构建过程将不再使用缓存。在编写Dockerfile 时须特别注意这一点,尽量将易于发生变化的指令置于Dockerfile 文件的后方执行。这意味着缓存未命中的情况将直到构建的后期才会出现,从而构建过程能够尽量从缓存中获益。通过对docker image build命令加入--nocache=true 参数可以强制忽略对缓存的使用。还有一点也很重要,那就是COPY 和ADD 指令会检查复制到镜像中的内容自上一次构建之后是否发生了变化。例如,有可能Dockerfile 中的COPY . /src 指令没有发生变化,但是被复制的目录中的内容已经发生变化了。为了应对这一问题,Docker 会计算每一个被复制文件的Checksum 值,并与缓存镜像层中同一文件的checksum 进行对比。如果不匹配,那么就认为缓存无效并构建新的镜像层。
8.2、合并镜像
总体来说,Docker 会遵循正常的方式构建镜像,但之后会增加一个额外的步骤,将所有的内容合并到一个镜像层中。当镜像中层数太多时,合并是一个不错的优化方式。例如,当创建一个新的基础镜像,以便基于它来构建其他镜像的时候,这个基础镜像就最好被合并为一层。缺点是,合并的镜像将无法共享镜像层。这会导致存储空间的低效利用,而且push 和pull 操作的镜像体积更大。执行docker image build 命令时,可以通过增加--squash 参数来创建一个合并的镜像。
8.3、使用no-install-recommends
在构建Linux 镜像时,若使用的是APT 包管理器,则应该在执行apt-get install 命令时增加no-install-recommends 参数。这能够确保APT 仅安装核心依赖(Depends 中定义)包,而不是推荐和建议的包。这样能够显著减少不必要包的下载数量。
1067
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
