docker–Dockerfile镜像结构原理
一、base镜像
1、base 镜像又两层含义:
- 不依赖其他镜像,从 scratch 构建。
- 其他镜像可以之为基础进行扩展。
base 镜像的通常都是各种 Linux 发行版的 Docker 镜像,比如 Ubuntu, Debian, CentOS 等,以 CentOS 为例学习 base 镜像包含哪些内容。
2、下载镜像
[root@mydocker ~]# docker pull centos
Using default tag: latest
latest: Pulling from library/centos
a1d0c7532777: Pull complete
Digest: sha256:a27fd8080b517143cbbbab9dfb7c8571c40d67d534bbdee55bd6c473f432b177
Status: Downloaded newer image for centos:latest
docker.io/library/centos:latest
[root@mydocker ~]#
3、查看镜像的信息
[root@mydocker ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
wordpress latest 1730fea0ae8e 11 days ago 612MB
centos latest 5d0da3dc9764 14 months ago 231MB
[root@mydocker ~]#
使用docker pull centos下载最新版本的Centos镜像也就207M左右,而我们平时下载一个原生的centos镜像都是4G,这是为什么?
下面来了解下Linux 操作系统由内核空间和用户空间组成,如下图所示:
4、rootfs
内核空间是 kernel,Linux 刚启动时会加载 bootfs 文件系统,之后 bootfs 会被卸载掉。
用户空间的文件系统是 rootfs,包含我们熟悉的 /dev, /proc, /bin 等目录。
对于 base 镜像来说,底层直接用 Host 的 kernel,自己只需要提供 rootfs 就行了。
而对于一个精简的 OS,rootfs 可以很小,只需要包括最基本的命令、工具和程序库就可以了。相比其他 Linux 发行版,CentOS 的 rootfs 已经算臃肿的了,alpine 还不到 10MB。
我们平时安装的 CentOS 除了 rootfs 还会选装很多软件、服务、图形桌面等,需要好几个 GB 就不足为奇了。
5、base 镜像提供的是最小安装的 Linux 发行版。
下面是 CentOS 镜像的 Dockerfile 的内容:
第二行 ADD 指令添加到镜像的 tar 包就是 CentOS 7 的 rootfs。在制作镜像时,这个 tar 包会自动解压到 / 目录下,生成 /dev, /porc, /bin 等目录。
6、不同 Linux 发行版的区别主要就是 rootfs
比如 Ubuntu 14.04 使用 upstart 管理服务,apt 管理软件包;而 CentOS 7 使用 systemd 和 yum。这些都是用户空间上的区别,Linux kernel 差别不大。
所以 Docker 可以同时支持多种 Linux 镜像,模拟出多种操作系统环境。
上图 Debian 和 BusyBox上层提供各自的 rootfs,底层共用 Docker Host 的 kernel。
注意:base 镜像只是在用户空间与发行版一致,kernel 版本与发型版是不同的。
[root@docker-two ~]# docker run -it centos #启动并进入 CentOS 容器
[root@8c24c7be4e5b /]# cat /etc/redhat-release #验证容器是 CentOS 7
CentOS Linux release 8.4.2105
[root@8c24c7be4e5b /]# uname -r #容器的 kernel 版本与 Host 一致
3.10.0-1160.el7.x86_64
[root@8c24c7be4e5b /]# exit
[root@docker-two ~]# uname -r #Host kernel 为 3.10.0-514
3.10.0-1160.el7.x86_64
[root@docker-two ~]#
说明:
容器只能使用 Host 的 kernel,并且不能修改。所有容器都共用 host 的 kernel,在容器中没办法对 kernel 升级。如果容器对 kernel 版本有要求(比如应用只能在某个 kernel 版本下运行),则不建议用容器,这种场景虚拟机可能更合适。
二、镜像的分层结构
Docker 支持通过扩展现有镜像,创建新的镜像。
实际上,Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。比如我们现在构建一个新的镜像,Dockerfile 如下:
[root@mydocker my_compose]# docker pull debian
Using default tag: latest
latest: Pulling from library/debian
a8ca11554fce: Pull complete
Digest: sha256:3066ef83131c678999ce82e8473e8d017345a30f5573ad3e44f62e5c9c46442b
Status: Downloaded newer image for debian:latest
docker.io/library/debian:latest
[root@mydocker my_compose]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
wordpress latest 1730fea0ae8e 11 days ago 612MB
debian latest c31f65dd4cc9 13 days ago 124MB
tomcat latest ab37a470285a 2 weeks ago 474MB
mysql latest 2a04bf34fdf0 3 weeks ago 535MB
python latest 00cd1fb8bdcc 4 weeks ago 932MB
nginx latest 76c69feac34e 4 weeks ago 142MB
mariadb 10.6.4-focal 12e05d5da3c5 13 months ago 409MB
centos latest 5d0da3dc9764 14 months ago 231MB
[root@mydocker my_compose]#
① 新镜像不再是从 scratch 开始,而是直接在 Debian base 镜像上构建。
② 安装 emacs 编辑器。
③ 安装 apache2。
④ 容器启动时运行 bash。
构建过程如下图所示:
可以看到,新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层。
问什么 Docker 镜像要采用这种分层结构呢?
最大的一个好处就是 - 共享资源。
比如:有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。
这时可能就有人会问了:如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc 下的文件,这时其他容器的 /etc 是否也会被修改?
答案:不会!因为修改会被限制在单个容器内。
三、容器的可写层
当容器启动时,一个新的可写层被加载到镜像的顶部。
这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。
只有容器层是可写的,容器层下面的所有镜像层都是只读的。
镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如 /a,上层的 /a 会覆盖下层的 /a,也就是说用户只能访问到上层中的文件 /a。在容器层中,用户看到的是一个叠加之后的文件系统。
1.添加文件
在容器中创建文件时,新文件被添加到容器层中。
- 读取文件
在容器中读取某个文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,打开并读入内存。- 修改文件
在容器中修改已存在的文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。- 删除文件
在容器中删除文件时,Docker 也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。只有当需要修改时才复制一份数据,这种特性被称作 Copy-on-Write。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。
这样就解释了我们前面提出的问题:容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。
容器启动的时候,内核启动bootfs后直接将基础镜像加载,然后一层一层的加载, 自下而上
容器运行后访问文件的时候,从上而下,从可写层,一层一层往下访问
1661
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
