本文深入探讨了Dockerfile的概念和作用,详细介绍了如何基于现有镜像、本地模板和Dockerfile创建Docker镜像。重点讨论了Dockerfile中的指令,如ENTRYPOINT和CMD的差异,以及ADD和COPY的区别。此外,还阐述了Docker镜像的分层原理,包括AUFS、overlay/overlay2等存储驱动,并分析了容器间的通信方式和镜像加载流程。
目录
一、dockerfile概念
Dockerfile是一个文本文件,文件中包含了一条条指令(instrucation),用于构建镜像。每一条指定构建一层镜像,因此每一条指令的内容,就是描述该层镜像应当如何构建。
- dockerfile是自定义镜像的一套规则
- dockerfie由多条指令构成,Dockerfile中的每一条指令都会对应于Docker镜像中的每一层
1、dockerfile的原理就是镜像分层
- Dockerfile中的每一个指令都会创建一个新的镜像层(是一个临时的容器,执行完成后将不再存在,再往后进行重新的创建于操作)
- 镜像层将被缓存和复用(后续的镜像曾将基于前面的每一层,每一层都会由下几层的缓存)
- 当Dockerfile的指令被修改了,复制的文件变化了,或构建镜像时指定的变量不同了,那么对应的镜像层缓存就会失效(因为后续的操作必然更改前面的镜像层)
- 某一层的镜像缓存失效了之后,它之后的镜像层就会失效(第一层不成功,那么第二层也会失效)
- 容器的修改并不会影响镜像,如果在某一层中添加一个文件,在下一层中删除它,镜像中依然会包含该文件
二、docker镜像的创建
创建镜像有三种方式:
- 基于已有镜像创建
- 基于本地模板创建
- 基于dockerfile创建
1、基于现有镜像创建
首先启动一个镜像,在容器中做出修改
docker images
docker create -it centos:7 bash
docker ps -a
将修改后的容器提交为新的镜像,需要使用该容器的 ID 号创建新镜像
docker commit -m "new" -a "liy" 1b3c8b616dac centos:7
##commit 常用选项:
-m:说明信息
-a:作者信息
-p:生成过程中停止容器的运行
docker images
2、基于本地模板创建
通过导入操作系统模板文件可以生成镜像,模板可以从OPENVZ开源项目下载,下载地址为:
https://wiki.openvz.org/Download/template/precrated
wget http://download.openvz.org/template/precreated/debian-7.0-x86-minimal.tar.gz
#使用wget命令导入为本地镜像
docker import debian-7.0-x86-minimal.tar.gz -- debian:v1
或
cat debian-7.0-x86-minimal.tar.gz |docker import - debian:v1
#生成镜像
docker images
#查看镜像
docker run -itd debian:v1 bash
#创建并启动容器
3、基于dockerfile创建
- dockerdile是一组指令组成的文件
- dockerfile每行支持一条指令,每条指定可携带多个参数,一条指令可以用&&方式,去写多条指令
- dockerfile支持以“#”为开头的注释
3.1 dockerfile结构
- 基于镜像信息(linux发行版:比如centos、ubuntu、suse、debian、alpine、redhat)
- 维护者信息(docker search可查看)
- 镜像操作指令(tar yum make)
- 容器启动时执行指令(cmd ["/root/run/sh"]、entrypoint、都是系统启动时,第一个加载的程序/脚本/命令)
3.2 构建镜像命令
PS:可以在构建镜像时指定资源限制
在编写Dockerfile时,需要遵守严格的格式:
- 第一行必须使用FROM指令知名所基于的镜像名称
- 之后使用MAINTAINER指令说明维护该镜像的用户信息
- 然后是镜像操作相关指令,如RUN指令。每一条指令,都会给基础镜像添加新的一层
- 最后使用CMD指令指定启动容器时,要运作的命令操作
示例:
docker build -t nginx:test .
#基于dockerfile文件构建镜像命令
完整的写法: docker build -f dockerfile -t nginx:new .
docker build : 基于dockerfile 构建镜像
-f :指定dockerfile 文件(默认不写的话指的是当前目录)
-t :(tag) 打标签 ——》nginx:new
. :专业说法:指的是构建镜像时的上下文环境,简单理解:指的当前目录环境中的文件
三、dockerfile操作指令
| 指令 | 含义 |
| FROM[镜像] | 指定新镜像所基于的镜像,第一条指令必须为FROM指令,每创建一个镜像就需要一条FROM指令。例如centos:7。from有两层含义:①开启一个新的镜像②必须写的一行指令 |
| MAINTAINER[名字] | 说明新镜像的维护人信息(可写可不写) |
| RUN命令 | 每一条RUN后面跟一条命令,在所基于的颈项上执行命令,并提交到新的镜像中,RUN必须大写 |
| CMD["要运行的程序","参数1","参数2"] | 指定启动容器时需要运行的命令或者脚本,dockerfile只能有一条CMD命令,如果指定多条测只能执行最后一条,“bin/bash”也是一条CMD,并且会覆盖image镜像里面的cmd。 |
| EXPOSE[端口号] | 指定新镜像加载到docker时要开启的端口暴露端口,就是这个容器暴露出去的端口号 |
| ENV[环境变量][变量值] | 设置一个环境变量的值,会被后面的RUN使用。容器可以根据自己的需求创建时传入环境变量,镜像不可以。 |
| ADD[源文件/目录][目标文件/目录] | ①将源文件复制到目标文件,源文件要与dockerfile位于相同目录中 ②或者是一个URL ③若源文件是压缩包则会将其解压缩 |
| COPY[源文件/目录][目标文件/目录] | 将本地主机上的文件/目录复制到目标地点,源文件/目录要与dockerfile在相同的目录中,copy只能用于复制,add复制的同事,如果复制的对象是压缩包,ADD还可以解压,copy比add节省资源 |
| VOLUMU["目录"] | 在容器中创建一个挂载点,简单来说就是-v,指定镜像的目录挂载到宿主机上 |
| USER [用户名/UID] | 指定运行容器时的用户 |
| WORKDIR [路径] | 为后续的RUN、CMD、ENTRYPOINT指定工作目录,相当是一个临时的“CD”,否则需要使用绝对路径,例如workdir /opt。移动到opt目录,并在这下面的指令都是在opt目录下执行的 |
| ONBUILD [命令] | 指定所生成的镜像作为一个基础镜像时所要运行的命令(是一种优化) |
| HEALTHCHECK | 健康检查 |
1、ENTRYPOINT指令
ENTRYPOINT [“要运行的程序”,“参数1”,“参数2”]
设定容器启动时第一个运行的命令及其参数 可以通过使用命令docker run --entrypoint 来覆盖镜像中的ENTRYPOINT指令的内容。
两种格式:
exec格式(数值格式):ENTRYPOINT [“命令”,“选项”,“参数”]
shell格式:ENTRYPOINT 命令 选项 参数
2、CMD与entrypoint
都是容器启动时要加载的命令
要想了解cmd和entrypoint的区别,首选必须了解exec模式和shell模式的区别
exec模式与shell模式的区别
exec: 容器加载时使用的启动的第一个任务进程
shell: 容器加载时使用的第一个bash(/bin/bash /bin/sh /bin/init)
自检完成后,加载第一个pid = 1 进程
shell 翻译官/解释器,解析
echo $PATH
exec模式下传入命令
创建的镜像时传入CMD,启动容器时不传入CMD
cd /opt
mkdir test
#创建Dockerfile的工作目录
vim Dockerfile
FROM centos:7
CMD ["top"]
#编写Dockerfile文件
docker build -t centos:7 .
#基于dockerfile构建镜像
docker run -it --name test centos:7
#基于构建好的镜像启动容器
docker logs test
#查看执行的命令
docker exec test ps sux
#传入ps aux 命令执行,查看结果
启动时传入/bin/bash命令
docker run -itd --name test01 centos:7 /bin/bash
#基于构建好的镜像启动容器,并且加上/bin/bash命令
docker exec test01 ps aux
#通过exec 传入命令查看执行效果
使用exec模式无法输出环境变量
cd /opt/test
vim Dockerfile
FROM centos:7
CMD ["echo","$HOME"]
#编写新的dockerfile文件
echo $HOME
#有shell环境下输出的变量值
docker build -t centos:ydq .
#构建dockerfile镜像
docker images
#查看镜像
docker run -itd --name ydq centos:ydq
#基于构建好镜像的启动容器
docker ps
#查看运行的容器
docker logs ydq
#查看执行结果
shell模式
vim Dockerfile
FROM centos:7
CMD ["sh","-c","echo $HOME"]
#编写一个dockerfile文件
docker build -t centos:ydq2
#基于文件编写centos:ydq2的镜像
docker images
#查看镜像
docker run -itd --name ydq3 centos:ydq2
#启动容器
docker logs ydq3
#查看输出日志
小结
CMD和ENTRYPOINT的区别
简单回答
- 相同点: 都是容器环境启动时需要加载的命令
- 不同点: CMD不能传参,ENTRYPOINT可以传参
详细回答
不同点
- 如果ENTRYPOINT是使用shell模式,CMD指令会被忽略
- 如果ENTRYPOINT是使用exec模式,CMD也会是exec模式,CMD指令的内容作为参数追加到ENTRYPOINT
3、ADD和copy区别
Dockerfile中的COPY指令和ADD指令都可以将主机上的资源复制或加入到容器镜像中,都是在构建镜像的过程中完成的
copy只能用于复制(节省资源)
ADD复制的同时,如果复制的对象是压缩包,ADD还可以解压(消耗资源)
COPY指令和ADD指令的唯一区别在于是否支持从远程URL获取资源。COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中。而ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中
满足同等功能的情况下,推荐使用COPY指令。ADD指令更擅长读取本地tar文件并解压缩。
四、镜像分层原理
#Docker镜像结构的分层
镜像不是一个单一的文件,而是有多层构成。容器其实是在镜像的最上面加了一层读写层,在运行容器里做的任何文件改动,都会写到这个读写层。如果删除了容器,也就是删除了其最上面的读写层,文件改动也就丢失了。Docker使用存储驱动管理镜像像每层内容及可读可写的容器层
- Dockerfile中的每个指令都会创建一个新的镜像层
- 镜像层将被缓存和复用
- 当Dockerfile的指令修改了,复制的文件变化了,或者构建镜像时指定的变量不同了,对应的镜像层缓存就会失效。
- 某一层的镜像缓存失效,它之后的镜像层缓存都会失效
- 镜像层是不可变的,如果在某一层中添加一个文件,然后在一层中删除它,则镜像中依然会包含该文件,只是这个文件在Docker容器中不可见了
1、docker镜像分层(基于AUFS构建)
- docker镜像位于bootfs(内核)之上
- 每一层镜像的下一层成为父镜像
- 第一层镜像成为base image(操作系统环境镜像)
- 容器层(可读可写,为了给用户操作),在最顶层
- 容器层以下都是readonly
LXC是一种内核中的容器技术,早期docker在没有将资源容器化的功能时,就是靠内核中LXC来完成容器虚拟化的。现在docker 拥有了自己的docker libcontainer库文件,这种库文件可以做到将资源容器化的操作,所以对LXC的依赖性大大降低。
2、bootfs内核空间
主要包含bootloader(引导程序)和kernel(内核)
- bootloader主要引导加载kernel,Linux刚启动时会加载bootfs文件系统,在Docker镜像的最底层是bootfs
- 这一层与我们典型的linux/Unix系统时一样的,包含boot加载器和内核,当boot加载完成之后整个内核就都在内存中了,此时内存的使用权有bootfs交给内核,此时系统也会卸载bootfs。
- 在linux操作系统中,linux加载bootfs时会将rootfs设置为read-only,系统自检后会将只读改为读写,让我们可以在操作系统中进行
3、rootfs内核空间
- bootfs之上(base images,例如centos、ubuntu)
- 包含的就是典型的linux系统中的/dev,/proc,/bin,/etc等标准目录和文件
- rootfs就是各种不同的操作系统发行版
4、AUFS与overlay/overlay2
AUFS是一种联合文件系统,它使用同一个Linux host上的多个目录,逐个堆叠起来,对外呈现出一个统一的文件系统,AUFS使用该特性,实现了Docker镜像的分层
- 而docker使用了overlay/overlay2存储驱动来支持分层结构
- overlayFS将单个Linux主机上的两个目录合并成一个目录,这些目录被称为层,统一过程被称为联合挂载
overlay结构
overlayfs在Linux主机上只有两层,一个目录在下层,用来保存镜像,另一个目录在上层,用来存储容器信息
rootfs #基础镜像
lower #下层信息(为镜像层,只读)
upper #上层目录(容器信息,可写)
worker #运行的工作目录(copy-on-write写时复制-->准备容器环境)
mergod #视图层(容器视图)
#docker 镜像层次结构总结
1、base images :基础镜像
2、image :固化了一个标准运行环境,镜像本身的功能-封装一组功能性的文件,通过统一的方式,文件格式提供出来(只读)
3、container :容器层(读写)
4、docker-server 端
5、呈现给docker-client(视图)
5、LXC和容器是什么关系?
LXC是内核中容器技术/驱动,功能是将资源容器化。完成资源容器虚拟化的过程。是早期docker的依赖组件目前docker 拥有自己的libcontianer库。可以实现容器虚拟化的功能,对LXC依赖性大大降低。
6、dockerfile镜像分层的原理
用overlay2存储引擎的方式叠加上去,最上面是容器层是可读可写的,其他镜像是可读的,他们是共用的内核资源,共用的是操作系统里所必须的引导程序,挂载,系统之间的文件,这些文件他和内核之间共享,所以他比实际的centos要小。
7、容器之间相互通信的方式
docker 0 、 数据卷容器 、 --link 隧道 、 container 模式(直连接口,同一个network namespaces里,通过同一个网卡的方式,在同一个名称空间里 共有一个IP,通过localhost交互/自己的ip或端口交互)
8、联合文件系统(UnionFS)
UnionFS(联合文件系统) : Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下。AUFS、OberlayFS及Devicemapper都是一种UnionFS。
Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。
特性:
一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录。
注:我们下载的时候看到的一层层的就是联合文件系统
9、 镜像加载原理
- 在Docker镜像的最底层是bootfs,这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs.
- rootfs在bootfs之上。包含的就是典型Linux系统中的/dev,/proc,/bin,/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等。
- 我们可以理解成一开始内核里什么都没有,操作一个命令下载debian,这是就会在内核上面加一层基础镜像;再安装一个emacs,会在基础镜像上叠加一层image;接着再安装一个apache,又会在images.上面叠加一层image。最后它们看起来就像一个文件系统即容器的rootfs。在Docker的体系里把这些rootfs叫做Docker的镜像。但是,此时的每一层rootfs都是read-only的,我们此时还不能对其进行操作。当我们创建一个容器,也就是将Docker镜像进行实例化,系统会在一层或是多层read-only的rootfs之上分配一层空的read-write的rootfs.
扫一扫
1216
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
