1.什么是docker镜像
Docker 镜像是一个只读的 Docker 容器模板,含有启动 Docker 容器所需的文件系统结构及其内容,因此是启动一个 Docker 容器的基础。
在这里插入图片描述
采用分层构建机制,最底层为bootfs,其之上rootfs。
bootfs: 用于系统引导的文件系统,包括bootloader和kernel,容器启动完成后会被卸载以节约内存资源。
rootfs: 位于bootfs之上,rootfs是Docker容器在启动时内部进程可见的文件系统,即Docker容器的根目录。rootfs通常包含一个操作系统运行所需的文件系统,例如可能包含典型的类Unix操作系统中的目录系统,如/dev、/proc、/bin、/etc、/lib、/usr、/tmp及运行Docker容器所需的配置文件、工具等。
在传统的Linux操作系统内核启动时,首先挂载一个只读(read-only)的rootfs,当系统检测其完整性之后,再将其切换为读写(read-write)模式。
而在Docker架构中,当Docker daemon为Docker容器挂载rootfs时,沿用了Linux内核启动时的方法,即将rootfs设为只读模式。在挂载完毕之后,利用联合挂载(union mount)技术在已有的只读rootfs上再挂载一个读写层。这样,可读写层处于Docker容器文件系统的最顶层,其下可能联合挂载多个只读层,只有在Docker容器运行过程中文件系统发生变化时,才会把变化的文件内容写到可读写层,并隐藏只读层中的老版本文件。如下图:
在这里插入图片描述
Docker镜像的主要特点:
分层: Docker镜像时采用分层的方式构建的,每个镜像都由一系列的"镜像层"组成。分层结构是Docker镜像如此轻量的重要原因,当需要修改容器镜像内的某个文件时,只对处于最上方的读写层进行变动,不覆写下层已有文件系统的内容,已有文件在只读层中的原始版本仍然存在,但会被读写层中的新版本文件所隐藏。当使用docker commit 提交这个修改过的容器文件系统为一个新的镜像时,保存的内容仅为最上层读写文件系统中被更新过的文件。分层达到了在不同镜像之间共享镜像层的效果。
写时复制: Docker镜像使用了写时复制(copy-on-write)策略,在多个容器之间共享镜像,每个容器在启动的时候并不需要单独复制一份镜像文件,而是将所有镜像层以只读的方式挂载到一个挂载点,再在上面覆盖一个可读写的容器层。在未更改文件内容时,所有容器都共享一份数据,只有在Docker容器运行过程中文件系统发生变化时,才会把变化的文件内容写到可读写层,并隐藏只读层中的老版本文件。写时复制配合分层机制减少了镜像对磁盘空间的占用和容器启动时间。
内容寻址: 在Docker 1.10版本后,Docker镜像改动较大,其中最重要的特性便是引入了内容寻址存储(content-addressable storge)的机制,根据文件内容来索引镜像的镜像层。与之前版本对每一个镜像层随机生成一个UUID不同,新模型对镜像层的内容计算校验和,生成一个内容哈希值,并以此哈希值代替之前的UUID作为镜像层的唯一标志。该机制主要提高了镜像的安全性,并在pull、push、load、save操作后检测数据的完整性。另外,基于内容哈希来索引镜像层,在一定程度上减少了ID的冲突并且增强了镜像层的共享。对于来自不同构建的镜像层,只要拥有相同的内容哈希,也能被不同的镜像共享。
联合挂载: 通俗的讲,联合挂载技术可以在一个挂载点同时挂载多个文件系统,将挂载点的原目录与被挂载内容进行整合,使得最终可见的文件系统将会包含整合之后的各层的文件和目录。实现这种联合挂载技术的文件系统通常被称为联合文件系统(Union FileSystem)。
就我的理解来说,容器就相当于镜像加上可写层,与是否运行无关。
2.存储卷
从上我们可以做到,Docker镜像由多个只读层叠加而成,启动容器时,Docker会加载只读镜像层并在镜像栈顶部添加一个读写层,如果运行中的容器修改了现有的一个已经存在的文件,那该文件将会从读写层下面的只读层复制到读写层,该文件的只读版本仍然存在,只是已经被读写层中该文件的副本所隐藏,此即"写时复制(COW)"机制。
在这里插入图片描述
现在我们知道,一个运行的容器有一个或多个只读层和一个读写层。在容器运行过程中,若产生了一些重要的数据或是更改了一些文件,这些更改我们应该怎么保存呢?容器关闭或重启,这些数据不受影响;但删除Docker容器,则数据将会全部丢失。除此之外也还有其他的一些问题。
存在的问题:
存储于联合文件系统中,不易于宿主机访问
容器间数据共享不便
为了解决这些问题,Docker引入了数据卷(volume)机制。volume是存在于一个或多个容器中的特定文件或文件夹,这个目录以独立于联合文件系统的形式在宿主机中存在,并为数据的共享与持久化提供以下便利。
volume在容器创建时就会初始化,在容器运行时就可以使用其中的文件。
volume能在不同的容器之间共享和重用。
对volume中数据的操作会马上生效。
对volume中数据的操作不会影响到镜像本身
volume的生存周期独立于容器的生存周期,即使删除容器,volume仍然会存在,没有任何容器使用的volume也不会被Docker删除。
卷的类型
Docker有两种类型的卷,每种类型都在容器中存在一个挂载点,但其在宿主机上的位置有所不同;
Bind mount volume
a volume that points to a user-specified location on the host file system(docker和宿主机上的卷都是用户自己指定)
Docker-managed volume
the Docker daemon creates managed volumes in a portion of the host’s file system that’s owned by Docker(docker管理的卷是用户自己指定,宿主机上的卷是固定的)
数据卷挂究竟是选择 -v 还是 -–mount 参数
Docker 新用户应该选择 --mount 参数,经验丰富的 Docker 使用者对 -v 或者 --volume已经很熟悉了,但是推荐使用 --mount 参数。
创建一个数据卷
$ docker volume create my-vol查看所有的数据卷
$ docker volume ls
local my-vol在主机里使用以下命令可以查看指定数据卷的信息
$ docker volume inspect my-vol
[
{
"Driver": "local",
"Labels": {},
"Mountpoint": "/var/lib/docker/volumes/my-vol/_data",
"Name": "my-vol",
"Options": {},
"Scope": "local"
}
]启动一个挂载数据卷的容器
在用 docker run 命令的时候,使用 --mount 标记来将数据卷挂载到容器里。在一次docker run 中可以挂载多个数据卷 。
下面创建一个名为 web 的容器,并加载一个数据卷到容器的/webapp目录。
$ docker run -d -P --name web --mount source=my-vol,target=/webapp training/webapp python app.py查看数据卷的具体信息
在主机里使用以下命令可以查看 web 容器的信息
$ docker inspect web
数据卷信息在 "Mounts" Key 下面
"Mounts": [
{
"Type": "volume",
"Name": "my-vol",
"Source": "/var/lib/docker/volumes/my-vol/_data",
"Destination": "/app",
"Driver": "local",
"Mode": "",
"RW": true,
"Propagation": ""
}
],删除数据卷
$ docker volume rm my-vol数据卷是被设计用来持久化数据的,它的生命周期独立于容器,Docker 不会在容器被删除后自动删除数据卷,并且也不存在垃圾回收这样的机制来处理没有任何容器引用的数据卷 。如果需要在删除容器的同时移除数据卷。可以在删除容器的时候使用 docker rm -v 这个命令。
无主的数据卷可能会占据很多空间,要清理请使用以下命令
$ docker volume prune挂载主机目录
选择 -v 还是 -–mount 参数
Docker 新用户应该选择--mount参数,经验丰富的 Docker使用者对 -v 或者 --volume已经很熟悉了,但是推荐使用 --mount 参数。
挂载一个主机目录作为数据卷
使用 --mount 标记可以指定挂载一个本地主机的目录到容器中去。
$ docker run -d -P \
--name web \
# -v /src/webapp:/opt/webapp \
--mount type=bind,source=/src/webapp,target=/opt/webapp \
training/webapp
python app.py上面的命令挂载主机的/src/webapp目录到容器的/opt/webapp目录。用户可以放置一些程序到本地目录中,来查看容器是否正常工作。本地目录的路径必须是绝对路径,如果目录不存在 Docker 会自动为你创建它。
Docker 挂载主机目录的默认权限是读写 ,用户也可以通过增加 readonly 指定为只读 。
$ docker run -d -P \
--name web \
# -v /src/webapp:/opt/webapp:ro \
--mount type=bind,source=/src/webapp,target=/opt/webapp,readonly \
training/webapp \
python app.py
加了readonly之后,就挂载为只读了。如果你在容器内/src/webapp目录新建文件,会显示如下错误
/src/webapp # touch new.txt
touch: new.txt: Read-only file system查看数据卷的具体信息
在主机里使用以下命令可以查看 web 容器的信息
$ docker inspect web
"Mounts": [
{
"Type": "bind",
"Source": "/src/webapp",
"Destination": "/opt/webapp",
"Mode": "",
"RW": true,
"Propagation": "rprivate"
}
],挂载一个本地主机文件作为数据卷
--mount 标记也可以从主机挂载单个文件到容器中
$ docker run --rm -it \
# -v $HOME/.bash_history:/root/.bash_history \
--mount type=bind,source=$HOME/.bash_history,target=/root/.bash_history \
centos:latest \
bash
root@2affd44b4667:/# history
1 ls
2 diskutil list这样就可以记录在容器输入过的命令了。
Docker-managed volume:docker管理的卷
$ docker run --name bbox -it --rm -v /data busybox:latest
$ docker inspect -f {{.Mounts}} bbox
[{... /var/lib/docker/volumes/f2a6ba52d5e1666ab4b5809579c013b821abd3403c9a6f9d80fb76323e88bffc/_data /data local true }]可见宿主机的/var/lib/docker/volumes/f2a6ba52d5e1666ab4b5809579c013b821abd3403c9a6f9d80fb76323e88bffc/_data目录与容器中的/data目录进行了挂载,此时容器中写在/data目录下的数据,宿主机都可在对应目录下查看,且持久保存。
Bind mount volume:指定挂载卷
$ docker run --name bbox -it --rm -v /docker/data:/data busybox:latest
$ docker inspect -f {{.Mounts}} bbox
[{bind /docker/data /data true rpriva可以看到宿主机的路径/docker/data目录与容器的路径/data目录进行了挂载,此时容器中写在/data目录下的数据,宿主机都可在对应目录下查看,且持久保存。
共享数据卷:
多个容器的卷使用同一个主机目录,例如
$ docker run –it --name c1 -v /docker/volumes/v1:/data busybox
$ docker run –it --name c2 -v /docker/volumes/v1:/data busybox引用数据卷:
复制使用其它容器的卷,为docker run命令使用–volumes-from选项
$ docker run -it --name bbox1 -v /docker/volumes/v1:/data busybox
$ docker run -it --name bbox2 --volumes-from bbox1 busybox删除数据卷:
删除容器之时删除相关的卷
$ docker rm -v ...删除指定的卷
$ docker volume rm ...
304
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
