Docker 镜像讲解（五）

一、镜像是什么

        镜像是一种轻量级、可执行的独立执行包，用来打包软件运行环境和基于运行环境开发的软件，它包含运行某个软件所需的所有内容，包括代码、运行时库、环境变量和配置文件。

二、Docker 镜像加载原理

UnionFS（联合文件系统）

        Union文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层一层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。Union 文件系统是 Docker 镜像的基础。镜像可以通过分层来继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。

        特性：一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

Docker 镜像加载原理

        docker 的镜像实际上由一层一层的文件系统组成，这种层级的文件系统就是 UnionFS。

        bootfs(boot file system，系统启动时的引导加载) 主要包含 bootloader（加载器） 和 kernel（内核）, bootloader 主要是引导加载 kernel，Linux 刚启动时会加载 bootfs 文件系统，在 Docker 镜像的最底层是 bootfs。这一层与我们典型的 Linux/Unix 系统是一样的，包含 boot 加载器和内核。当 boot 加载完成之后整个内核就都在内存中了，此时内存的使用权已由 bootfs 转交给内核，此时系统也会卸载 bootfs。

        rootfs (root file system) ，在 bootfs 之上。包含的就是典型 Linux 系统中的 /dev，/proc， /bin， /etc 等标准目录和文件。rootfs 就是各种不同的操作系统发行版，比如 Ubuntu，Centos 等等。

        平时我们安装进虚拟机的 centos 都是好几个 G，为什么 Docker 这里才 200M？

        对于一个精简的 OS，rootfs 可以很小，只需要包含最基本的命令，工具和程序库就可以了，因为底层直接用宿主机的 kernel（内核），自己只需要提供 rootfs 就可以了。由此可见对于不同的 linux 发行版, bootfs 基本是一致的，rootfs 会有差别，因此不同的发行版可以公用 bootfs。

三、分层理解

分层的镜像：

        我们可以去下载一个镜像，注意观察下载的日志输出，可以看到是一层一层的在下载，如下所示：

        思考：为什么 Docker 镜像采用这种分层的结构呢？

        最大的好处，我觉得莫过于资源共享了！比如有多个镜像从相同的 base 镜像构建而来，那么宿主机只需要在磁盘保留一份 base 镜像，同时内存中也只需要加载一份 base 镜像，这样就可以为所有的容器服务了，而且镜像的每一层都可以被共享。

        查看镜像分层的方式可以通过 docker image inspect 命令，如下所示：

[root@localhost home]# docker image inspect tomcat:8.0
	// .........................
        "RootFS": {
            "Type": "layers",
            "Layers": [
                "sha256:8c466bf4ca6ffdda8b7717b1cd6fe31109529ee64e626a003a224fb8bd2bc469",
                "sha256:daf45b2cad9af3ea091d4376d34fb597a9a67874d48fe5a485e1305df10b3157",
                "sha256:c596d5191368693d366c9b47cc20007efcedd0873691c8895d3684162d469447",
                "sha256:425325c72d902feb9c15b3c9204fc7c24435dfaea2e750db3acda5a11c569049",
                "sha256:fc6174f0df4a7466f749d9ae334872f38336bb761962ba15657b771116cb8546",
                "sha256:39a6e47c4ae6efdd2a0834d81c1bd2860a16cbe5c3c1de28934ee26721bd98c4",
                "sha256:81242e1e644e4d52602431e4c847f4e1ec599761f2ca082cfdf3c38508ddd9d4",
                "sha256:9f052711b40a241eec2783c062a743ad4f7870681024b375714cd277db497ec2",
                "sha256:f26731984f9bb4dc5f286008361729b717d51c2d60989c5e1b2d07d713d9de1f",
                "sha256:583dc95d65c92bd5b5fdb57c640f391435078ff6da2cc9653a7d32457d3cd8b7",
                "sha256:d0f3f4011f287adc910aada9e2fee49c67de366654ea7c02b47d36f9736442fc"
            ]
        },
	// ...............
]

理解：

        所有的 Docker 镜像都起始于一个基础镜像层，当进行修改或增加新的内容时，就会在当前镜像层之上，创建新的镜像层。

        举一个简单的例子，假如基于 Ubuntu Linux 16.04 创建一个新的镜像，这就是新镜像的第一层；如果在该镜像中添加 Python 包，就会在基础镜像层之上创建第二个镜像层；如果继续添加一个安全补丁，就会创建第三个镜像层。

        该镜像当前已经包含 3 个镜像层，如下图所示（这只是一个用于演示的很简单的例子）。

        在添加额外的镜像层的同时，镜像始终保持是当前所有镜像的组合，理解这一点非常重要。下图中举了一个简单的例子，每个镜像层包含 3 个文件，而镜像包含了来自两个镜像层的 6 个文件。

        下图中展示了一个稍微复杂的三层镜像，在外部看来整个镜像只有 6 个文件，这是因为最上层中的文件 7 是文件 5 的一个更新版本。

        这种情况下，上层镜像层中的文件覆盖了底层镜像层中的文件。这样就使得文件的更新版本作为一个新镜像层添加到镜像当中。

        Docker 通过存储引擎（新版本采用快照机制）的方式来实现镜像层堆栈，并保证多镜像层对外展示为统一的文件系统。

        Linux 上可用的存储引擎有 AUFS、Overlay2、Device Mapper、Btrfs 以及 ZFS。顾名思义，每种存储引擎都基于 Linux 中对应的文件系统或者块设备技术，并且每种存储引擎都有其独有的性能特点。

        Docker 在 Windows 上仅支持 windowsfilter 一种存储引擎，该引擎基于 NTFS 文件系统之上实现了分层和 CoW[1]。

        下图展示了与系统显示相同的三层镜像。所有镜像层堆叠并合并，对外提供统一的视图。

特点：

        Docker 镜像都是只读的，当容器启动时，一个新的可写层被加载到镜像的顶部！

        这一层就是我们通常说的容器层，容器之下的都叫镜像层！

四、镜像 Commit

        docker commit 从容器创建一个新的镜像，如下所示：

# 提交容器副本使之成为一个新的镜像！
docker commit 

# 语法
docker commit -m="提交的描述信息" -a="作者" 容器id 要创建的目标镜像名:[标签名]

        1、下载 tomcat

# 从Docker Hub 下载tomcat镜像到本地并运行 -it 交互终端 -p 端口映射
docker run -d -p 8080:8080 tomcat:8

         2、访问 http://localhost:8080，如下所示，启动官方 tomcat 镜像的容器，发现 404 是因为使用了加速器，而加速器里的 tomcat 的 webapps 下没有 ROOT 等文件！

        下载 tomcat 官方镜像，就是这个镜像（阿里云里的 tomcat 的 webapps 下没有任何文件）进入 tomcat 查看 cd 到 webapps 下发现全部空的，反而有个 webapps.dist 里有对应文件，

        3、将 webapps.dist 里面的文件复制到 webapps 里面，然后再刷新界面，如下所示：

         4、commit 一个可以直接访问的 tomcat，如下所示：

# 1、查看容器 id
[root@localhost home]# docker ps
CONTAINER ID   IMAGE      COMMAND             CREATED          STATUS          PORTS                                       NAMES
add0e9104369   tomcat:8   "catalina.sh run"   10 minutes ago   Up 10 minutes   0.0.0.0:8080->8080/tcp, :::8080->8080/tcp   boring_robinson

# 2、commit的时候，容器的名字不能有大写，否则报错：invalid reference format
[root@localhost home]# docker commit -a="xhf" -m="tomcat has root" add0e9104369 tomcat8:0.1
sha256:6093f29c99b57baf4aa616962f697a239fb3de2a466af1b10661c3097fd6a54a

# 3、查看我们创建的镜像是否成功
[root@localhost home]# docker images
REPOSITORY            TAG                IMAGE ID       CREATED          SIZE
tomcat8               0.1                6093f29c99b5   16 seconds ago   683MB

# 4、这个时候，我们的镜像都是可以使用的，启动新的 tomcat 来测试看看！
[root@localhost home]# docker run -d -p 8080:8080 tomcat8:0.1
947d161b87dce862487e7653b4962d04d08d8bae2421d9820a8eb726c6fd5035

# 如果你想要保存你当前的状态，可以通过 commit，来提交镜像，方便使用，类似于 VM 中的快照！