由于要写dockerfile的漏洞插件,但是我又对docker不是很了解,所以在此就补上我目前对docker镜像的大致理解吧。
1.docker镜像的base镜像
在新建docker镜像时 需要依赖一个base镜像,base镜像一般是linux发行版的官方镜像,可以直接从官方网站上pull下来。网址:https://hub.docker.com/
docker镜像一般很小,这主要是由于linux操作系统主要是由内核空间kernel和用户空间rootfs两部分构成,而docker镜像一般用宿主机上的内核空间,故而占用存储空间较小;也是由于其使用宿主机上内核空间的缘故,我们可以在同一台linux服务器上利用docker镜像模拟出多个操作系统环境。
2.构建docker镜像的方法
一般来讲,创建docker镜像可以通过编辑Dockerfile,之后运行它来创建。在Dockerfile中,一条命令便对应一层镜像。以下为Dockerfile实例:
FROM centos:7
COPY A B
RUN yum install -y vim
RUN yum install -y curl
CMD ["/bin/bash"]
以上述内容为例:首先FROM必不可少,构建镜像一定要有base镜像。后面的几层都是在定义镜像的其他环境,例如安装vim,curl等。
我们通过该命令
docker build -t test:1.0 .
执行Dockerfile来构建镜像。(执行时是从上向下执行)
通过
docker run -d test:1.0 /usr/sbin/init
来运行镜像,即实例化了一个容器
通过
docker exec -it 20f092a842f2r4 /bin/bash
来进入容器内部进行操作
3.docker镜像的分层结构
docker镜像分层结构如下图所示(懒得画图。。。。。):
其中,只有容器层可被修改,镜像层均为只读层。
在容器中,
如果要读取文件,docker就从上往下从各镜像层中查找文件,以最先找到的最上层的镜像层内容为准;
如果要修改文件,docker从上往下找该文件,找到后将其复制到容器中,再做修改(也就是所谓的写时复制技术);
如果要添加文件,docker会将添加到容器中;
如果要删除文件,docker从上往下查找该文件路径,找到后在容器中记录该删除记录,但不会删除镜像里面的文件;
总而言之,一切可改变的都在容器层,镜像层只能被读取。