About storage drivers —— Docker 中的存储(一)

已于 2022-05-10 16:36:13 修改
阅读量490 收藏
点赞数
分类专栏: 体系结构 文章标签: docker 容器 无服务器
于 2022-05-10 16:32:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suki570/article/details/124683229
版权

存储是 Docker 中非常重要的部分,了解 Docker Storage drivers 中 image、layer 的概念和设计细节有利于更好的优化程序在 Docker 中的读写性能。本文记录了 Docker docs 中 About storage drivers 部分的内容。

Storage drivers versus Docker volumes

Storage drivers(存储驱动)Docker volumes(卷)
解释Docker 使用 Storage drivers 程序来存储镜像层,并将数据存储在容器的可写层中。 容器的可写层在容器被删除后不会持久化,适合存储运行时产生的临时数据。Volumes 是一个或多个容器中的一个特别指定的目录,它绕过联合文件系统。 Volumes 可以持久保存数据,独立于容器的生命周期。 因此,当删除容器时,Docker 不会自动删除 Volumes,它也不会“垃圾收集”不再被容器引用的 Volumes。
特点依赖于容器存在独立于容器的生命周期

Images and layers

容器 image 由一系列 layer 构成, 在 Dockerfile 中 layer 由一个指令表示,除了最后一层 layer 之外的每一层 layer 都是只读的。

# syntax=docker/dockerfile:1
FROM ubuntu:18.04
LABEL org.opencontainers.image.authors="org@example.com"
COPY . /app
RUN make /app
RUN rm -r $HOME/.cache
CMD python /app/app.py

Dockerfile 由四个指令构成,对文件系统修改的指令将创建一层 layer:

FROM 表示从 image ubuntu:18.04 创建一层 layer(又称为父镜像层,所有操作都基于此);

LABEL 仅修改 image 元数据,因此不创建新的 layer;

COPY 从 Docker 用户当前的目录下添加了一些文件;

第一个 RUN 使用 make 构建该应用,并将结果写入了一个新 layer;

第二个 RUN 使用 rm 移除了一个缓存目录,并将结果写入了一个新 layer;

CMD 指示在容器中运行,仅修改 image 元数据,因此不产生新 layer。

每一层 layer 都是前一层 layer 的一些变化,比如对文件的添加、移除会引入一个新的 layer,然而尽管目录 $HOME/.cache 被移除,但是仍然可以在上一层 layer 被访问,因此其大小也是被记入 image 总大小。(所以 Dockerfiles 的编写是有技巧的

这些层相互堆叠。 当创建一个新容器时,image 会在基础层之上添加一个新的可写层。 该层通常称为“容器层”。 对正在运行的容器所做的所有更改,例如写入新文件、修改现有文件和删除文件,都会写入这个薄的可写容器层。 下图显示了一个基于 ubuntu:15.04 镜像的容器。

Container and layers

容器和图像之间的主要区别在于顶部可写层。 添加新数据或修改现有数据的所有对容器的写入都存储在此可写层中。 当容器被删除时,可写层也被删除。 底层图像保持不变。

因为每个容器都有自己的可写容器层,并且所有的变化都存储在这个容器层中,所以多个容器可以共享对同一个底层镜像的访问,并且拥有自己的数据状态。 下图显示了多个容器共享同一个 Ubuntu 15.04 映像。

Docker 使用 Storage drivers 来管理镜像层和可写容器层的内容。 每个存储驱动程序以不同的方式处理实现,但所有驱动程序都使用可堆叠的图像层和写时复制 (CoW) 策略。

鉴于这种特点,所以多个容器的大小,不一定是单纯各个容器大小的累加,有可能是共享的 read-only image ➕ writable layer of each container。

The copy-on-write (CoW) strategy

Copy-on-write 是一种共享和复制文件以实现最大效率的策略。 如果一个文件或目录存在于镜像中的较低层,并且另一个层(包括可写层)需要对其进行读取访问,则它只使用现有文件。 其他层第一次需要修改文件时(构建镜像或运行容器时),文件被复制到该层并修改。 这最大限度地减少了 I/O 和每个后续层的大小。 这些优点将在下面更深入地解释。

Sharing promotes smaller images

当你使用 docker pull 从仓库拉下一个镜像,或者当你从一个本地尚不存在的镜像创建一个容器时,每一层都被单独拉下,并存储在 Docker 的本地存储区,通常是 /var /lib/docker/ 在 Linux 主机上。 

$ docker pull ubuntu:18.04
18.04: Pulling from library/ubuntu
f476d66f5408: Pull complete
8882c27f669e: Pull complete
d9af21273955: Pull complete
f5029279ec12: Pull complete
Digest: sha256:ab6cb8de3ad7bb33e2534677f865008535427390b117d7939193f8d1a6613e34
Status: Downloaded newer image for ubuntu:18.04

这些层中的每一层都存储在 Docker 主机的本地存储区域内自己的目录中。 要检查文件系统上的层,可以列出 /var/lib/docker/<storage-driver> 的内容。 此示例使用 overlay2 storage driver:

$ ls /var/lib/docker/overlay2
16802227a96c24dcbeab5b37821e2b67a9f921749cd9a2e386d5a6d5bc6fc6d3
377d73dbb466e0bc7c9ee23166771b35ebdbe02ef17753d79fd3571d4ce659d7
3f02d96212b03e3383160d31d7c6aeca750d2d8a1879965b89fe8146594c453d
ec1ec45792908e90484f7e629330666e7eee599f08729c93890a7205a6ba35f5
l

目录名称与层 ID 不对应。(这段没怎么看明白)

现在假设有两个不同的 Dockerfile,第一个叫 acme/my-base-image:1.0

# syntax=docker/dockerfile:1
FROM alpine
RUN apk add --no-cache bash

第二个基于 acme/my-base-image:1.0,但是有一些其他的 layer

# syntax=docker/dockerfile:1
FROM acme/my-base-image:1.0
COPY . /app
RUN chmod +x /app/hello.sh
CMD /app/hello.sh

第二个镜像包含第一个镜像的所有层,加上由 COPY 和 RUN 指令创建的新层,以及一个读写容器层。 Docker 已经拥有了第一个镜像的所有层,因此不需要再次拉取它们。 这两个图像共享它们共有的层。

如果从两个 Dockerfile 构建镜像,我们可以使用 docker image ls 和 docker image history 命令来验证共享层的加密 ID 是否相同。

 Copying makes containers efficient

启动容器时,会在其他层之上添加一个薄的可写容器层。容器对文件系统所做的任何更改都存储在这里。为了保证可写层的轻量级,可写层仅复制更改的文件。

当容器中的现有文件被修改时,存储驱动程序会执行写时复制操作。涉及的具体步骤取决于特定的存储驱动程序。对于 overlay2、overlay 和 aufs 驱动程序,写时复制操作遵循以下粗略顺序:

  • 在图像层中搜索要更新的文件。该过程从最新的层开始,一次一层地向下工作到基础层。找到结果后,会将它们添加到缓存中以加速未来的操作。
  • 对找到的文件的第一个副本执行 copy_up 操作,将文件复制到容器的可写层。
  • 对该文件的这个副本进行需要的修改,容器都看不到下层中存在的该文件的只读副本。
  • Btrfs、ZFS 和其他驱动程序以不同方式处理写时复制。

写入大量数据的容器比单纯的容器将消耗更多空间。这是因为大量的写操作会消耗容器薄可写顶层中的新空间。请注意,更改文件的元数据,例如更改文件权限或文件所有权,也可能导致 copy_up 操作,从而将文件复制到可写层。

Tips:对于写入量大的应用程序,不应将数据存储在容器中。 而使用 Docker volumes (独立于容器)可以提高 I/O 效率。 此外,volumes 可以在容器之间共享,并且不会增加容器可写层的大小。 

copy_up 操作会产生一个明显的性能开销。这种开销的大小取决于使用的是哪种存储驱动。大文件、大量的层和深的目录树会使影响更加明显。由于每个 copy_up 操作只在第一次修改给定文件时发生,这一点得到了缓解。

 写时复制不仅节省空间,而且还减少了容器启动时间。 当你创建一个容器(或同一个镜像的多个容器)时,Docker 只需要创建瘦可写容器层。

如果 Docker 每次创建新容器时都必须制作底层镜像堆栈的完整副本,那么容器创建时间和使用的磁盘空间将显着增加。 这类似于虚拟机的工作方式,每个虚拟机有一个或多个虚拟磁盘。 vfs 存储不提供 CoW 文件系统或其他优化。 使用此存储驱动程序时,将为每个容器创建映像数据的完整副本。

参考

About storage drivers | Docker Documentation

suki570
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于RedHat——docker&docker-compose&nvidia-docker2&nvidia驱动离线安装
01-18
1.包含docker安装的包及依赖包 2.包含docker-compose安装的包及依赖包 3.基于RedHat系统的nvidia驱动包 4.nvidia-docker2驱动安装包及依赖包 5.安装命令简介 下载之后,可以在无网的环境下离线安装。
Docker系列(四):Docker容器互联
as403045314的博客
12-25 264
基于Volume的互联 为什么需要Volume docker文件系统是分层的,下面的是全部是只读的,最上面的是可写层,容器的进程如果修改了某个文件,比如修改了下层的某个文件,其实是在最顶层复制下层文件,进行修改,然后覆盖原来的文件,原来的文件就隐藏了。 运行时的容器是镜像叠加一个可写层 docker存储有两种 一种是镜像, /var...
Docker切换文件系统为VFS
m0_66570838的博客
08-28 929
本文主要讲述了docker文件系统切换
Docker技术原理
一直在努力的小渣渣
12-26 3134
Docker包含三个基本的概念:镜像、容器和仓库,本文就来依次介绍与探索。
Docker之几种storage-driver比较
热门推荐
vchy的博客
04-19 2万+
title: Docker之几种storage driver比较 date: 2015-11-27 18:16:22 tags: dockercategories: Docker Others本文介绍Docker使用的几种storage driver。目前Docker支持如下几种storage driver: 目录: * storage driver的选择 * aufs *
docker系列—聊一聊存储驱动VFS
花满楼的博客
03-16 3111
文章目录VFS使用vfs存储驱动程序配置Dockervfs存储驱动程序如何工作镜像和容器在磁盘上的构造 VFS vfs是接口的“原生”的实现,完全没有使用联合文件系统或者写时复制技术。 对于vfs要创建新层,需要对上一层进行“深度复制”。与其他存储驱动程序相比,这会导致性能降低和磁盘上更多的空间使用。但是,它是健壮,稳定的,并且可以在每种环境使用。 但并不建议在实际或者生产环境使用,但是对于需要...
Docker技术基础:Union File System
xftony的博客
06-04 3503
Github-blog CSDN Docker images and layers 在介绍Docker存储驱动之前,我们先介绍一下Docker是如何建立image,又如何在image的基础上创建容器的。 Docker的image是由一组layers组合起来得到的,每一层layer对应的是Dockerfile的一条指令。这些layers,一层layer为R/W layer,即 ...
Docker(二):理解docker关键术语:容器、镜像、Dockerfile等
dangfulin的博客
08-01 351
1,层(Layers) "A Docker image is built up from a series of layers. Each layer represents aninstruction in the image’s Dockerfile. Each layer except the very last one isread-only. "——docker docs. Docker 镜像由一系列的层构成。每个层都代表镜像Dockerfile的一条指令。除最后一个层外,每个层都是只可读的。
docker遇到的问题
梦想是很难很难的,所以先勇敢一点
12-14 4406
这是完全转载自https://www.jianshu.com/p/964b268e1fc8的, 自己好像碰到过这个问题,但一直没有解决,先记录一下这个解决方案,待以后验证 主机无法访问容器映射的端口:Connection reset by peer 今天碰到一个坑,很低级,先记在这里吧。 背景是这样的 我启动一个etcd容器,里面发布了一个服务监听在端口2379,然后我把端口映射到主机了。 version: '2' networks: byfn: services: etcd1: imag
k8s自动化运维八-如何清理docker存储的大文件
知识分享官
09-17 1179
可通过执行docker system prune 命令可用于清理磁盘,删除关闭的容器、无用的数据卷和网络,以及dangling镜像(即无tag的镜像)2、知道了是哪个容器之后,进入到该容器目录,其若有容器日志大文件,清空即可。最终定位到./diff/app/logs/这个目录下的文件比较大。这个文件下是应用的日志目录,对应到pod容器里面的这些日志。里面都是容器,每启动一个容器便会在这里记录。1、查找占用空间最大的目录是属于哪个容器的。承接上文k8s自动化运维七。然后把大的日志文件清空即可。
基于容器的自动构建——Docker在美团的应用
01-30
摘要:自动构建是美团对Docker的首次应用。解决方案可以概括为三点:把构建过程放到Docker容器;提交代码时自动触发构建;发布时直接使用构建好的应用包。方案很好地解决了三个问题:资源竞争、环境冲突和安全隐患。...
基于Ubuntu——docker&docker-compose&nvidia-docker2&nvidia驱动离线安装
01-18
1.包含docker安装的包及依赖包 2.包含docker-compose安装的包及依赖包 3.基于Ubuntu系统的nvidia驱动包 4.nvidia-docker2驱动安装包及依赖包 5.安装命令简介 下载之后,可以在无网的环境下离线安装。
Docker简介+使用入门Docker 命令行+定义应用——Dockerfile项目发布——Docker-compose
09-18
Docker简介+使用入门Docker 命令行 定义应用——Dockerfile 项目发布——Docker-compose Docker provides a way to run applications securely isolated in a container, packaged with all its dependencies and ...
藏经阁-构建基因数据应用生态系统—— docker in Bio_informatics.pdf
08-30
藏经阁-构建基因数据应用生态系统—— docker in Bio_informatics.pdf
路由器本地docker 下载node容器部署 thressjs文档
大青虫的博客
04-24 352
1. 每次启动本地文档太麻烦 ,路由器刚好支持docker(tp-link6088) ,部署上去自启动。
docker 资源控制
最新发布
wys_jj的博客
04-27 237
docker run -cpu-period #设置调度周期时间1000~1000000-cpu-quota #设置容器进程的CPU占用时间,要与调度周期时间成比例--cpu-shares #设置多个容器之间的CPU资源占用比--cpuset-cpus #绑核(第一个CPU编号从0开始)
基于Docker + Locust的数据持久化性能测试系统
若不知道要驶向哪个码头,那么任何风都不会是顺风。
04-23 1179
前几天给大家分享了如何使用Locust进行性能测试,但是在实际使用会发现存在压测的结果无法保存的问题,比如在分布式部署情况下进行压测,每轮压测完成需要释放资源删除容器重新部署后,这段时间的压测结果就都丢失了,如果想要对比多次压测的结果,就需要在每轮压测完成后手动记录,非常不方便,而且Locust在压测过程对于一些指标的展示也过于简单,不利于我们对测试结果的分析,接下来跟大家分享使用Locust + Prometheus实现数据持久化,并且用Grafana创建性能测试仪表,希望能给大家的测试工作带来帮助。
Docker 网络与资源控制
MCB134的博客
04-24 1291
docker network ls 或 docker network listhelp在容器需设置虚拟IP地址才能用docker1 为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。mynetwork 为执行 docker network list 命令时,显示的bridge网络模式名称。
linux 关闭不了docker服务
zhangxu1998lq的博客
04-24 420
(如果它当前没有运行)。这就是为什么即使你停止了 Docker 服务,它仍然有可能被通过套接字激活的原因。如果你希望完全确保 Docker 服务不再运行,并且不能被套接字单元自动激活,你需要同时禁用和停止。是一个套接字单元,用于监听 Docker 的 API 请求。当这个套接字接收到请求时,它会激活。在 systemd 系统,服务和套接字是分开管理的。先停止docker套接字。再停止docker就行了。
Docker监控之——DockerUI
05-19
DockerUI是一个Docker容器,用于监控和管理Docker主机上的容器。它提供了一个Web界面,可以方便地查看和管理Docker容器的状态和资源使用情况。 安装DockerUI非常简单,只需要执行以下命令: ``` docker run -d -p ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值