Docker基础篇-2.镜像、容器、仓库

镜像和容器

1.什么是镜像

镜像是一种轻量级、可执行的独立软件包，它包含运行某个软件所需的所有内容，我们把应用程序和配置依赖打包好行程一个可交付的运行环境（包括代码、运行时需要的库、环境变量和配置文件等），这个打包好的运行环境就是image镜像文件。

只有通过镜像文件才能生成docker容器实例。（类似java new bean）

2.镜像加载原理

2.1UnionFs

Union文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。
Union文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。

docker的镜像实际上由一层一层的文件系统组成，这种层级的文件系统叫UnionFS（联合文件系统）

2.2bootfs和rootfs

bootfs（boot file system）主要包含 bootloader 和 kernel，bootloader主要是引导加载 kernel，Linux刚启动时会加载bootfs文件系统。

在Docker镜像的最底层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已经由 bootfs 转交给内核，此时系统也会卸载 bootfs。

rootfs（root file system），在bootfs之上，包含的就是典型Linux系统中的 /dev、/proc、/bin、/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu、CentOS等。

对于一个精简的OS，rootfs可以很小，只需要包含最基本的命令、工具和程序库就可以了，因为底层直接用Host的kernel，自己只需要提供rootfs即可。由此可见对于不同的linux发行版，bootfs基本一致（公用），rootfs会有差别。

2.3镜像分成

Docker支持扩展现有镜像，创建新的镜像。新镜像是从base镜像一层一层叠加生成的。

FROM debian  # 直接在debain base镜像上构建
MAINTAINER mylinux
RUN apt-get update && apt-get install -y emacs # 安装emacs
RUN apt-get install -y apache2 # 安装apache2
CMD ["/bin/bash"] # 容器启动时运行bash

1.基础镜像层：
Docker 镜像的第一层是基础镜像层，它通常包含一个最小化的操作系统，如Alpine Linux、Ubuntu、CentOS等。这个基础镜像提供了运行应用程序所需的最基本的文件和工具。基础镜像通常是公共或私有的，供其他镜像构建和扩展使用。
2.应用程序依赖层：
在基础镜像之上，Docker 可以添加应用程序的依赖项和运行时环境，这些依赖项可能包括软件包、库文件等。这些层用于支持应用程序的执行和运行所需的软件和工具。
3.应用程序代码层：
在依赖层之上，Docker 可以添加应用程序的实际代码和资源文件。这些层包含了应用程序的源代码、配置文件、静态资源等。这使得 Docker 镜像能够完整地包含应用程序的所有代码。
4.只读层：
镜像的每个层都是只读的，这意味着在构建后，镜像层的内容不会再改变。这种设计有助于镜像的高效性和可复用性。如果需要修改镜像，Docker 将在现有层之上创建新的镜像层，保持原有层的完整性。
5.共享相同层：
当多个镜像共享相同的基础层时，它们可以节省存储空间和下载时间。因为这些镜像只需在自己的特定层上添加差异层，而不是复制整个基础镜像。这使得镜像的存储和传输变得更加高效。
注：镜像的唯一标识：
每个镜像都有一个唯一的标识符，称为镜像 ID，它是根据镜像内容生成的哈希值。镜像 ID 是根据所有镜像层的内容计算得出的，即使一个镜像只有一个小的改动，它的镜像 ID 也会发生变化。这种特性有助于确保镜像的唯一性和数据的完整性。

3.镜像层和容器层

当容器启动时，一个新的可写层被加载到镜像的顶部。 这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。

Docker镜像层都是只读的，容器层是可写的
所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的，容器层下面的所有镜像层都是只读的。

下面是容器层的详细介绍：
可写性：
容器层是一个可读写的文件系统层，它允许在容器运行时修改和保存数据。容器中的进程可以向容器层添加、修改或删除文件，这些更改将仅影响容器本身，而不会影响基础镜像或其他容器。

联合文件系统：
容器层使用联合文件系统（UnionFS）技术，它允许将多个文件系统合并到一个单一的文件系统中。Docker 使用联合文件系统来将容器层和基础镜像层组合在一起，以形成容器的完整文件系统视图。
轻量和高效：
容器层是基于镜像层的增量修改，这使得容器非常轻量且高效。因为容器只保存与基础镜像的差异，所以它们通常只需要很少的磁盘空间，并且在创建和启动时非常快速。
容器生命周期：
当容器运行时，容器层处于活动状态。容器内的进程可以读取和写入容器层的文件系统，并在运行时进行修改。当容器停止后，容器层仍然存在，但它将保持在停止的状态，并且可以随时重新启动和使用。
临时性：
容器层是临时的，任何对容器的更改都只存在于容器的生命周期中。如果容器被删除，容器层中的所有数据和修改也会被丢弃。这使得容器可以非常容易地重新创建和重置。
持久化数据：
尽管容器层通常是临时的，但通过挂载主机目录或使用数据卷，可以实现容器数据的持久化。持久化数据不存储在容器层中，而是存储在主机的文件系统中或者专门管理的 Docker 数据卷中，这样即使容器被删除，数据仍然保留。

Docker 仓库

阿里云ecs生态图

1.Registry 搭建私有仓库

Docker Registry是官方提供的工具，可以用于构建私有镜像仓库

docker pull registry //拉取Docker Registry
docker run -d -p 5000:5000 -v /app/myregistry/:/tmp/registry --privileged=true registry //运行私有库Docker Registry
curl http://192.168.xxx.xxx:5000/v2/_catalog //查看私服中的所有镜像

2.向 Registry 上传镜像

2.1.修改/etc/docker/daemon.json，添加insecure-registries允许http：

{
    "registry-mirros": ["https://xxxx.mirror.aliyuncs.com"],
    "insecure-registries": ["192.168.xxx.xxx:5000"]
}

然后重启docker，使配置生效

sudo systemctl daemon-reload
sudo systemctl restart docker

2.2push推送到私服库

添加一个对应私仓地址的tag（以myubuntu:1.0.1镜像为例）

docker tag myubuntu:1.0.1 192.168.xxx.xxx:5000/myubuntu:1.0.1 //将镜像myubuntu:1.0.1修改符合私服规范的Tag
docker push 192.168.xxx.xxx:5000/myubuntu:1.0.1 //docker push
curl http://192.168.xxx.xxx:5000/v2/_catalog //查看私仓中镜像目录验证
docker pull 192.169.xxx.xxx:5000/myubuntu:1.0.1 //pull到本地并运行