Docker镜像是Docker容器运行时的只读模板,每一个镜像由一系列的层(layers)组成,对容器的更新操作只是对顶层的可写层操作,而镜像层并没有更改。本文简要介绍了容器镜像和仓库管理和操作,通过实战加深对容器相关概念的理解。
1、Docker镜像管理
Docker镜像是Docker容器运行时的只读模板,每一个镜像由一系列的层(layers)组成,使用docker pull命令下载时会获取并输出镜像的各层信息。当不同的镜像包含相同的层的时候,本地仅存储一份内容,减少了需要的存储空间。
Docker镜像从基础镜像通过指令创建,每一个指令会在镜像中创建一个新的层,指令可以包含这些动作:
运行一个命令
增加文件或者文件夹
创建一个环境变量
- 当运行容器的时候哪些程序会运行
这些指令存储在Dockerfile文件中,当你需要建立镜像的时候,Docker可以从Dockerfile中读取这些指令并且运行,然后返回一个最终的镜像。
1.1 镜像的分层结构
启动镜像的时候,一个新的可写层会加载到镜像的顶部。这一层通常称为“容器层”, 之下是“镜像层”。容器层可以读写,容器所有发生文件变更写都发生在这一层。镜像层read-only,只允许读取。容器和镜像的区别在顶层的可写层,所有对容器的写操作会保存到这个可写层中。当容器删除后,可写层也会被删除,基础镜像保持不变。
因为每个容器都有自己的可写容器层,并且所有的更改都存储在该容器层中,所以多个容器可以共享基础镜像层,但具有自己的数据状态。下图显示了多个共享同一Ubuntu 15.04镜像的容器。
Copy-on-write写入时复制
写时复制是一种共享和复制文件的策略,可以最大程度地提高效率。如果文件或目录位于镜像的较低层,而另一层(包括可写层)需要对其进行读取访问,那么它使用现有的文件。如果另一层第一次需要修改文件时(在构建镜像或运行容器时),将文件复制到该层并进行修改。这样可以将I / O和后续层的大小最小化。
复制使容器更高效
启动容器时,会在镜像层之上添加一个可写容器层,容器对文件系统所做的任何更改都存储在此处,不需要修改的部分不需要复制到该层,这意味着可写层尽可能小。
当容器需要读取文件的时候:从最上层镜像开始查找,往下找,找到文件后读取并放入内存,若已经在内存中了,直接使用。(即,同一台机器上运行的docker容器共享运行时相同的文件)。
当容器需要添加文件的时候:直接在最上面的容器层可写层添加文件,不会影响镜像层。
当容器需要修改文件的时候:从上往下层寻找文件,找到以后复制到容器可写层。对容器来说,看到的是容器层的这个文件,看不到镜像层里的文件,容器可以在容器层修改这个文件。
- 当容器需要删除文件的时候:从上往下层寻找文件,找到后在容器中记录删除,但是并不会真正的删除文件,而是软删除。这将导致镜像体积只会增加,不会减少。
因此,Docker镜像通过分层实现了资源共享,通过copy-on-write实现了文件隔离。
运行docker容器时发生了什么?
使用docker命令时,Docker客户端都告诉Docker守护进程运行一个容器。
run
以上述命令为例,Docker客户端使用docker命令来运行,run参数表明客户端要运行一个新的容器。Docker客户端要运行一个容器需要告诉Docker守护进程的最小参数信息是:
这个容器从哪个镜像创建,这里是ubuntu,基础的Ubuntu镜像。
在容器中要运行的命令,这里是/bin/bash,在容器中运行Bash shell。
按照顺序,Docker做了这些事情:
拉取ubuntu镜像: Docker检查ubuntu镜像是否存在,如果在本地没有该镜像,Docker会从Docker Hub下载。如果镜像已经存在,Docker会使用它来创建新的容器。
创建新的容器: 当Docker有了这个镜像之后,Docker会用它来创建一个新的容器。
分配文件系统并且挂载一个可读写的层: 容器会在这个文件系统中创建,并且一个可读写的层被添加到镜像中。
分配网络/桥接接口: 创建一个允许容器与本地主机通信的网络接口。
设置一个IP地址: 从池中寻找一个可用的IP地址并且服加到容器上。
运行你指定的程序: 运行指定的程序。
捕获并且提供应用输出: 连接并且记录标准输出、输入和错误让你可以看到你的程序是如何运行的。
1.2 查看镜像
1)查看当前主机镜像列表
root@tango
各个选项说明:
REPOSITORY:表示镜像的仓库源
TAG:镜像的标签
IMAGE ID:镜像ID
CREATED:镜像创建时间
SIZE:镜像大小
更多的命令可通过man docker-images来查看
2)使用tag命令添加镜像标签
root@tango
看到镜像list中新增myubuntu:latest镜像
3)使用inspect命令查看详细信息
root@tango-01 ~]
返回是json格式信息,如果只需要其中一项内容,可以使用参数-f指定
@tango
4)使用history命令查看镜像历史
镜像文件由多个层组成,使用history子命令可以列出各层创建的信息
# docker history myubuntu:latest
1.3 获取新的镜像
当我们在本地主机上使用一个不存在的镜像时 Docker 就会自动下载这个镜像。如果我们想预先下载这个镜像,我们可以使用 docker pull 命令来下载它。
01 ~]# docker pull mysql
1.4 查找镜像
我们可以从 Docker Hub 网站来搜索镜像,Docker Hub 网址为:https://hub.docker.com/ 我们也可以使用 docker search 命令来搜索镜像。比如我们需要一个 httpd 的镜像来作为我们的 web 服务。我们可以通过 docker search 命令搜索 httpd 来寻找适合我们的镜像。
[root@tango-01 ~]# docker search httpd
NAME DESCRIPTION STARS OFFICIAL AUTOMATED
httpd The Apache HTTP Server Project 3184 [OK]
centos/httpd-24-centos7 Platform for running Apache httpd 2.4 or bui… 36
centos/httpd 32 [OK]
arm32v7/httpd The Apache HTTP Server Project 9
polinux/httpd-php Apache with PHP in Docker (Supervisor, CentO… 4 [OK]
salim1983hoop/httpd24 Dockerfile running apache config 2 [OK]
clearlinux/httpd httpd HyperText Transfer Protocol (HTTP) ser… 1
publici/httpd httpd:latest 1 [OK]
solsson/httpd-openidc mod_auth_openidc on official httpd image, ve… 1 [OK]
jonathanheilmann/httpd-alpine-rewrite httpd:alpine with enabled mod_rewrite 1 [OK]
lead4good/httpd-fpm httpd server which connects via fcgi proxy h… 1 [OK]
dariko/httpd-rproxy-ldap Apache httpd reverse proxy with LDAP authent… 1 [OK]
dockerpinata/httpd 0
e2eteam/httpd 0
interlutions/httpd httpd docker image with debian-based config … 0 [OK]
appertly/httpd Customized Apache HTTPD that uses a PHP-FPM … 0 [OK]
manasip/httpd 0
amd64/httpd The Apache HTTP Server Project 0
trollin/httpd 0
hypoport/httpd-cgi httpd-cgi 0 [OK]
manageiq/httpd_configmap_generator Httpd Configmap Generator 0 [OK]
itsziget/httpd24 Extended HTTPD Docker image based on the off… 0 [OK]
manageiq/httpd Container with httpd, built on CentOS for Ma… 0 [OK]
ppc64le/httpd The Apache HTTP Server Project 0
fpfis/httpd-php-dev 0
1.5 删除镜像
镜像删除使用 docker rmi 命令,比如我们删除 hello-world 镜像:
root@tango
当使用docker rmi命令,后面跟上镜像的id时会先尝试删除所有指向该镜像的标签,然后删除该镜像文件本身。当有该镜像创建的容器存在时,镜像文件默认是无法删除的。
1.6 创建镜像
当我们从docker镜像仓库中下载的镜像不能满足我们的需求时,我们可以通过以下方式对镜像进行更改。
从已经创建的容器中更新镜像,并且提交这个镜像
基于本地模板导入
使用 Dockerfile 指令来创建一个新的镜像
使用已有镜像的容器创建
更新镜像之前,我们需要使用镜像来创建一个容器。
@tango-
在运行的容器内使用 apt-get update 命令进行更新。在完成操作之后,输入 exit 命令来退出这个容器。此时ID为73e23fa196b9的容器,是按我们的需求更改的容器。我们可以通过命令docker commit来提交容器副本:
@tango-01 ~]# docker commit -m=
基于本地模板导入
用户可以从一个操作系统模板文件导入一个镜像,主要使用docker import命令:
import [
如下载了ubuntu的模板压缩包,然后使用命令导入:
@tango
查看镜像列表已经存在
root@tango
1.7 存出和载入镜像
1)导出镜像
root@tango
镜像文件保存在/tmp目录中
2)载入镜像
root@tango
1.8 上传镜像
可以使用docker push命令上传镜像到仓库,默认上传到Docker Hub官方仓库(需要登录),命令格式为:
[:TAG] |
用户在Docker HUB网站注册后可以上传自制的镜像,如上传本地的test:
01 docker]# docker
第一次上传时,会提示输入登录信息或进行注册。
1.9 Dockerfile管理镜像
官方构建dockerffile文件参考:https://github.com/CentOS/CentOS-Dockerfiles
1.9.1 Dockerfile指令集
1)dockerfile主要组成部分:
基础镜像信息 FROM centos:6.8
制作镜像操作指令RUN yum insatll openssh-server -y
- 容器启动时执行指令 CMD ["/bin/bash"]
2)dockerfile常用指令:
FROM :基础镜像
MAINTAINER :维护者信息
RUN:在命令前面加上RUN即可
ADD :COPY文件,会自动解压
WORKDIR :设置当前工作目录
VOLUME :设置卷,挂载主机目录
EXPOSE :指定对外的端口
- CMD :执行Dockerfile中的命令
3)dockerfile其他指令:
COPY:复制文件
ENV :环境变量
ENTRYPOINT:容器启动后执行的命令
1.9.2 使用Dockerfile创建容器Nginx
1)创建目录并编辑Dockerfile
01 /]
2)构建docker镜像
root@tango
3)使用自构建的镜像启动
root@tango
4)进入容器,查看文件系统
ls /usr/
5)访问192.168.112.10:8080
2、Docker仓库管理
Docker仓库是Docker镜像的存储仓库,可以推送镜像到Docker仓库中,也可以从Docker仓库中搜索镜像。
2.1 公共仓库
目前 Docker 官方维护了一个公共仓库 Docker Hub。大部分需求都可以通过在 Docker Hub 中直接下载镜像来实现。访问Docker Hub需要注册好账号进行登录:
-01 nginx]# docker login
2.2 创建一个普通私有仓库
Private Registry(私有仓库)是开发者或者企业自建的镜像存储库,通常用来保存企业内部的 Docker 镜像,用于内部开发流程和产品的发布、版本控制。
Docker 官方提供了一个搭建私有仓库的镜像 registry ,只需把镜像下载下来,运行容器并暴露5000端口,就可以使用了。
1)创建仓库
01 lib]# docker run -d -v /usr/local/docker/registry:/var/lib/registry -
Registry服务默认会将上传的镜像保存在容器的/var/lib/registry,我们将主机的/usr/local/docker/registry目录挂载到该目录,即可实现将镜像保存到主机的/usr/local/docker/registry目录了。
2)修改配置文件,使之支持http
-01 registry]# vi /etc/docker/daemon.json
重启docker让修改生效
# systemctl restart docker
3)修改镜像标签
使用docker tag myubuntu:latest 192.168.112.10:5000/myubuntu:v1修改镜像标签
root@tango
4)将新打标签的镜像上传镜像到仓库
root@tango
在客户端执行以下命令查看
@tango
2.3 带basic认证的仓库
1)安装加密工具
root@tango
2)设置认证密码
root@tango
3)启动容器,在启动时传入认证参数
01 auth]# docker run -d -p
4)使用验证用户测试
a) 登陆用户
root@tango
b) 认证文件的保存位置
@tango
c) 推送镜像到仓库
root@tango
至此,一个简单的docker镜像仓库搭建完成
参考资料
https://github.com/CentOS/CentOS-Dockerfiles
https://docs.docker.com/storage/storagedriver/
https://www.cnblogs.com/huanchupkblog/p/10843800.html
https://www.cnblogs.com/subendong/p/9029495.html