镜像结构原理
1、基础镜像
scratch镜像
该镜像是一个空的镜像,可以用于构建busybox等超小镜像,可以说是真正的从零开始构建属于自己的镜像
base 镜像
含义
1. 不依赖其他镜像,从 scratch 构建。
2. 其他镜像可以之为基础进行扩展。
base 镜像的通常都是各种 Linux 发行版的 Docker 镜像,比如 Ubuntu, Debian, CentOS 等
CentOS 镜像Dockerfile:
base 镜像提供的是最小安装的 Linux 发行版:
- Linux 操作系统由内核空间和用户空间组成
- 内核空间 kernel
Linux 刚启动时会加载 bootfs 文件系统,之后 bootfs 会被卸载掉 - 用户空间
文件系统是 rootfs,包含我们熟悉的 /dev, /proc, /bin 等目录
- 对于 base 镜像来说,底层直接用 Host 的 kernel,自己只需要提供 rootfs 就行了
而对于一个精简的 OS,rootfs 可以很小,只需要包括最基本的命令、工具和程序库就可以。故镜像文件很小
不同 Linux 发行版的区别主要就是 rootfs:
- 比如 Ubuntu 14.04 使用 upstart 管理服务,apt 管理软件包;而 CentOS 7 使用 systemd 和 yum。这些都是用户空间上的区别,Linux kernel 差别不大。
- 所以 Docker 可以同时支持多种 Linux 镜像,模拟出多种操作系统环境。
注意:base 镜像只是在用户空间与发行版一致,kernel 版本与发型版是不同的
容器只能使用 Host 的 kernel,并且不能修改。所有容器都共用 host 的 kernel,在容器中没办法对 kernel 升级。如果容器对 kernel 版本有要求(比如应用只能在某个 kernel 版本下运行),则不建议用容器,这种场景虚拟机可能更合适。
2、镜像的分层结构
新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层
镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。
为什么 Docker 镜像要采用这种分层结构呢?
== 最大的一个好处就是 - 共享资源 ==
比如:有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。
如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc 下的文件,这时其他容器的 /etc 是否也会被修改?
答案:不会!因为修改会被限制在单个容器内。
容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。
3、容器层Copy-on-Write
当容器启动时,一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。
只有容器层是可写的,容器层下面的所有镜像层都是只读的。只有当需要修改时才复制一份数据,这种特性被称作 Copy-on-Write
- 添加文件
在容器中创建文件时,新文件被添加到容器层中。 - 读取文件
在容器中读取某个文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,打开并读入内存。 - 修改文件
在容器中修改已存在的文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。 - 删除文件
在容器中删除文件时,Docker 也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。