docker镜像和仓库

一、docker镜像

1、镜像的分层结构

Docker 支持通过扩展现有镜像，创建新的镜像。

（1）、分层结构案例

实际上，Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。比如我们现在构建一个新的镜像，Dockerfile 如下：

Version: 0.0.1
1.新镜像不再是从 scratch 开始，而是直接在 Debian base 镜像上构建。
FROM debian                

2.安装 emacs 编辑器。
MAINTAINER wzlinux
RUN apt-get update && apt-get install -y emacs  

3.安装 apache2      
RUN apt-get install -y apache2 

4.容器启动时运行 bash            
CMD ["/bin/bash"]              

构建过程如下图所示：
可以看到，新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件，就在现有镜像的基础上增加一层。

为什么 Docker 镜像要采用这种分层结构呢？

最大的一个好处就是 - 共享资源。

比如：有多个镜像都从相同的 base 镜像构建而来，那么 Docker Host 只需在磁盘上保存一份 base 镜像；同时内存中也只需加载一份 base 镜像，就可以为所有容器服务了。而且镜像的每一层都可以被共享。

这时可能就有人会问了：如果多个容器共享一份基础镜像，当某个容器修改了基础镜像的内容，比如 /etc 下的文件，这时其他容器的 /etc 是否也会被修改？

答案是不会！
修改会被限制在单个容器内。
这就是我们接下来要说的容器 Copy-on-Write 特性。

新数据会直接存放在最上面的容器层。 修改现有数据会先从镜像层将数据复制到容器层，修改后的数据直接保存在容器层中，镜像层保持不变。
如果多个层中有命名相同的文件，用户只能看到最上面那层中的文件。

（2）、容器层详解

可写的容器层
当容器启动时，一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。

典型的Linux在启动后，首先将 rootfs 置为 readonly, 进行一系列检查, 然后将其切换为 “readwrite” 供用户使用。在docker中，起初也是将 rootfs 以readonly方式加载并检查，然而接下来利用 union mount 的将一个 readwrite 文件系统挂载在 readonly 的rootfs之上，并且允许再次将下层的 file system设定为readonly 并且向上叠加, 这样一组readonly和一个writeable的结构构成一个container的运行目录, 每一个被称作一个Layer。如下图所示。

所有对容器的改动，无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的，容器层下面的所有镜像层都是只读的。

下面我们深入讨论容器层的细节。

镜像层数量可能会很多，所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件，比如 /a，上层的 /a 会覆盖下层的 /a，也就是说用户只能访问到上层中的文件 /a。在容器层中，用户看到的是一个叠加之后的文件系统。

• 添加文件：在容器中创建文件时，新文件被添加到容器层中。
• 读取文件：在容器中读取某个文件时，Docker 会从上往下依次在各镜像层中查找此文件。一旦找到，立即将其复制到容器层，然后打开并读入内存。
• 修改文件：在容器中修改已存在的文件时，Docker 会从上往下依次在各镜像层中查找此文件。一旦找到，立即将其复制到容器层，然后修改之。
• 删除文件：在容器中删除文件时，Docker 也是从上往下依次在镜像层中查找此文件。找到后，会在容器层中记录下此删除操作。

只有当需要修改时才复制一份数据，这种特性被称作 Copy-on-Write。可见，容器层保存的是镜像变化的部分，不会对镜像本身进行任何修改。

这样就解释了我们前面提出的问题：

容器层记录对镜像的修改，所有镜像层都是只读的，不会被容器修改，所以镜像可以被多个容器共享。

2、镜像的构建

docker commit 构建新镜像三部曲:
运行容器–>修改容器–>将容器保存为新的镜像
缺点：
效率低、可重复性弱、容易出错
使用者无法对镜像进行审计，存在安全隐患

（1）、 创建一个Dockerfile

（2）、构建镜像

运行测试进入交互界面，可以检验Dockerfile中的内容是否执行
docker run -it --rm demo:v1

（3）、查看镜像的分层结构

（4）、镜像的缓存特性

3、Dockerfile基本语法

（1）、dockerfile常用指令

FROM
指定base镜像，如果本地不存在会从远程仓库下载。	

MAINTAINER
设置镜像的作者，比如用户邮箱等。

COPY
把文件从build context复制到镜像
支持两种形式：COPY src dest 和 COPY ["src", "dest"]
src必须指定build context中的文件或目录

ADD
用法与COPY类似，不同的是src可以是归档压缩文件，文件会被自动解压到dest，也可以自动下载URL并拷贝到镜像：
ADD html.tar /var/www
ADD http://ip/html.tar /var/www

VOLUME
申明数据卷，通常指定的是应用的数据挂在点：
VOLUME ["/var/www/html"]

ENV
设置环境变量，变量可以被后续的指令使用：
ENV HOSTNAME sevrer1.example.com

RUN
在容器中运行命令并创建新的镜像层，常用于安装软件包：
RUN yum install -y vim

CMD 与 ENTRYPOINT
这两个指令都是用于设置容器启动后执行的命令，但CMD会被docker run后面的命令行覆盖，而ENTRYPOINT不会被忽略，一定会被执行。
docker run后面的参数可以传递给ENTRYPOINT指令当作参数。
Dockerfile中只能指定一个ENTRYPOINT，如果指定了很多，只有最后一个有效。

看下在运行容器时的区别：
docker run --rm busybox:v1
>hello