在谈及存储卷之前,我们先来看看docker镜像与容器之间的关系。
1.什么是docker镜像
Docker 镜像是一个只读的 Docker 容器模板,含有启动 Docker 容器所需的文件系统结构及其内容,因此是启动一个 Docker 容器的基础。
采用分层构建机制,最底层为 bootfs,其之上 rootfs。
bootfs: 用于系统引导的文件系统,包括 bootloader 和 kernel,容器启动完成后会被卸载以节约内存资源。
rootfs: 位于 bootfs 之上,rootfs 是 Docker 容器在启动时内部进程可见的文件系统,即 Docker 容器的根目录。rootfs 通常包含一个操作系统运行所需的文件系统,例如可能包含典型的类Unix操作系统中的目录系统,如/dev、/proc、/bin、/etc、/lib、/usr、/tmp及运行 Docker 容器所需的配置文件、工具等
在传统的 Linux 操作系统内核启动时,首先挂载一个只读(read-only)的rootfs,当系统检测其完整性之后,再将其切换为读写(read-write)模式;而在Docker架构中,当 Docker daemon 为 Docker 容器挂载 rootfs 时,沿用了 Linux 内核启动时的方法,即将 rootfs 设为只读模式。在挂载完毕之后,利用联合挂载(union mount)技术在已有的只读 rootfs 上再挂载一个读写层。这样,可读写层处于 Docker 容器文件系统的最顶层,其下可能联合挂载多个只读层,只有在 Docker 容器运行过程中文件系统发生变化时,才会把变化的文件内容写到可读写层,并隐藏只读层中的老版本文件。如下图:
Docker镜像的主要特点:
- 分层: Docker 镜像时采用分层的方式构建的,每个镜像都由一系列的"镜像层"组成。分层结构是Docker镜像如此轻量的重要原因,当需要修改容器镜像内的某个文件时,只对处于最上方的读写层进行变动,不覆写下层已有文件系统的内容,已有文件在只读层中的原始版本仍然存在,但会被读写层中的新版本文件所隐藏。当使用 docker commit 提交这个修改过的容器文件系统为一个新的镜像时,保存的内容仅为最上层读写文件系统中被更新过的文件。分层达到了在不同镜像之间共享镜像层的效果。
- 写时复制: Docker 镜像使用了写时复制(copy-on-write)策略,在多个容器之间共享镜像,每个容器在启动的时候并不需要单独复制一份镜像文件,而是将所有镜像层以只读的方式挂载到一个挂载点,再在上面覆盖一个可读写的容器层。在未更改文件内容时,所有容器都共享一份数据,只有在 Docker 容器运行过程中文件系统发生变化时,才会把变化的文件拷贝到可读写层进行修改,并隐藏只读层中的老版本文件。写时复制配合分层机制减少了镜像对磁盘空间的占用和容器启动时间。
- 内容寻址: 在Docker 1.10版本后,Docker镜像改动较大,其中最重要的特性便是引入了内容寻址存储(content-addressable storge)的机制,根据文件内容来索引镜像的镜像层。与之前版本对每一个镜像层随机生成一个UUID不同,新模型对镜像层的内容计算校验和,生成一个内容哈希值,并以此哈希值代替之前的UUID作为镜像层的唯一标志。该机制主要提高了镜像的安全性,并在pull、push、load、save操作后检测数据的完整性。另外,基于内容哈希来索引镜像层,在一定程度上减少了ID的冲突并且增强了镜像层的共享。对于来自不同构建的镜像层,只要拥有相同的内容哈希,也能被不同的镜像共享。
- 联合挂载: 通俗的讲,联合挂载技术可以在一个挂载点同时挂载多个文件系统,将挂载点的原目录与被挂载内容进行整合,使得最终可见的文件系统将会包含整合之后的各层的文件和目录。实现这种联合挂载技术的文件系统通常被称为联合文件系统(Union FileSystem)。
就我的理解来说,容器就相当于镜像加上可写层,与是否运行无关。
2.存储卷
从上我们可以知道,Docker镜像由多个只读层叠加而成,启动容器时,Docker会加载只读镜像层并在镜像栈顶部添加一个读写层,如果运行中的容器修改了现有的一个已经存在的文件,那该文件将会从读写层下面的只读层复制到读写层,该文件的只读版本仍然存在,只是已经被读写层中该文件的副本所隐藏,此即"写时复制(COW)"机制。
现在我们知道,一个运行的容器有一个或多个只读层和一个读写层。在容器运行过程中,若产生了一些重要的数据或是更改了一些文件,这些更改我们应该怎么保存呢?容器关闭或重启,这些数据不受影响;但删除Docker容器,则数据将会全部丢失。除此之外也还有其他的一些问题。
存在的问题:
- 存储于联合文件系统中,不易于宿主机访问
- 容器间数据共享不便
为了解决这些问题,Docker引入了数据卷(volume)机制。volume是存在于一个或多个容器中的特定文件或文件夹,这个目录以独立于联合文件系统的形式在宿主机中存在,并为数据的共享与持久化提供以下便利。
- volume在容器创建时就会初始化,在容器运行时就可以使用其中的文件。
- volume能在不同的容器之间共享和重用。
- 对volume中数据的操作会马上生效。
- 对volume中数据的操作不会影响到镜像本身
- volume的生存周期独立于容器的生存周期,即使删除容器,volume仍然会存在,没有任何容器使用的volume也不会被Docker删除。
卷的分类:
1. Docker-managed volume
Docker 自身管理数据卷,容器中的文件目录由用户指定,宿主机随机生成挂载目录
~]# docker container run --name bbox -it -v /data busybox:latest #会在容器创建时创建/data目录
~]# docker container inspect -f {{.Mounts}} bbox
[{... /var/lib/docker/volumes/f2a6ba52d5e1666ab4b5809579c013b821abd3403c9a6f9d80fb76323e88bffc/_data /data local true }]
可见宿主机的 /var/lib/docker/volumes/f2a6ba52d5e1666ab4b5809579c013b821abd3403c9a6f9d80fb76323e88bffc/_data 目录与容器中的 /data 目录进行了挂载,此时容器中写在 /data 目录下的数据,宿主机都可在对应目录下查看,且持久保存。
注:若在启动容器时,使用了 --rm 选项,则当容器停止时,宿主机挂载的相应目录也会被删除,请谨慎使用!
2. Bind mount volume
绑定挂载目录,用户在启动容器时指定容器中的目录与宿主机中目录进行绑定
~]# docker container run --name bbox -it --rm -v /docker/data:/data busybox:latest
~]# docker container inspect -f {{.Mounts}} bbox
[{bind /docker/data /data true rprivate}]
存储卷操作
1. 共享数据卷:
多个容器的卷使用同一个主机目录,例如
~]# docker container run –it --name c1 -v /docker/volumes/v1:/data busybox
~]# docker container run –it --name c2 -v /docker/volumes/v1:/data busybox
2. 引用数据卷:
复制使用其它容器的卷,为docker run命令使用–volumes-from选项
~]# docker container run -it --name bbox1 -v /docker/volumes/v1:/data busybox
~]# docker container run -it --name bbox2 --volumes-from bbox1 busybox
3. 删除数据卷:
在删除容器之时删除相关的卷
~]# docker container run --rm -v ...
删除指定的卷,volume name 可查看容器信息中的 Mounts.Name字段查看,但需要注意的是当容器还存在(不论是否运行),删除存储卷将不成功
~]# docker volume rm VOLUME_NAME...
注:挂载卷的目录不需要手动创建,运行容器时会自动生成。
扫一扫
2256
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
