Docker容器-------dockerfile概念简介

Dockerfile中的每个指令都会创建一个新的镜像层（是一个临时的容器，执行完后将不再存在，再往后进行重新的创建与操作）。
镜像层将被缓存和复用（后续的镜像层将基于前面的一层，每一层都会有下面几层的缓存）
当dockerfile的指令修改了，复制的文件变化了，或者构建镜像时指定的变量不同了（后续操作必然更改前面的镜像层），那么对应的镜像层缓存就会失效（自动销毁）。
某一层的镜像缓存失效之后，它之后的镜像层缓存都会失效（第一层不成功，那么第二层也不成功，相当于地基）。
容器的修改并不会影响镜像，如果在某一层中添加一个文件，在下一层中删除它，镜像中依然会包含该文件。

二、Docker镜像的创建

创建镜像有三种方法：

基于已有镜像创建
基于本地模板创建
基于Dockerfile创建（重点）

1、基于现有镜像创建

首先启动一个镜像，在容器里做修改

ocker images
 
docker create -it centos:7 bash
docker ps -a
 
#将修改后的容器提交为新的镜像，需要使用该容器的 ID 号创建新镜像
docker commit -m "new" -a "liy" 89517adc4bd2 centos:7 
##commit 常用选项：
    -m：说明信息
    -a：作者信息
    -p：生成过程中停止容器的运行
 
docker images

2、基于本地模板创建

通过导入操作系统模板文件可以生成镜像，模板可以从OPENVZ开源项目下载，下载地址为:

https://wiki.openvz.org/Download/template/precrated

#下载debian压缩包
wget http://download.openvz.org/template/precreated/debian-7.0-x86-minimal.tar.gz

docker import debian-7.0-x86-minimal.tar.gz -- debian:v1
或
cat debian-7.0-x86-minimal.tar.gz |docker import - debian:v1
#生成镜像

docker images
#查看镜像

docker run -itd debian:v1 bash
#创建并启动容器

3、基于dockerfile创建

① dockerfile是由一组指令组成的文件

② dockerfile每行支持一条指令，每条指令可携带多个参数，一条指令可以用&&方式，去写多条指令。

③ dockerfile支持以“#”为开头的注释

3.1 dockerfile结构（四部分）

① 基础镜像信息（Linux发行版：centos ubantu suse debian alpine redhat)
② 维护者信息(docker search可查看)
③ 镜像操作指令（tar yum make)
④ 容器启动时执行指令(cmd[“/root/run.sh”] 、entrypoint都是系统启动时，第一个加载的程序/脚本/命令)

3.2 构建镜像命令

PS:可以在构建镜像时指定资源限制

在编写Dockerfile时，有严格的格式需要遵循:

① 第一行必须使用FROM指令指明所基于的镜像名称;
② 之后使用MAINTAINER指令说明维护该镜像的用户信息;
③ 然后是镜像操作相关指令，如RUN指令。每运行一条指令，都会给基础镜像添加新的一层。
最后使用CMD指令指定启动容器时要运行的命令操作。

示例：
docker build -t nginx:test .

#基于dockerfile文件构建镜像命令
完整的写法： docker build -f dockerfile -t nginx:new .
docker build : 基于dockerfile 构建镜像
-f ：指定dockerfile 文件（默认不写的话指的是当前目录）
-t ：(tag) 打标签 ——》nginx:new
. ：专业说法：指的是构建镜像时的上下文环境，简单理解：指的当前目录环境中的文件

三、Dockerfile操作指令

指令	含义
FROM [镜像]	指定新镜像所基于的镜像，第一条指令必须为FROM指令，每创建一个镜像就需要一条FROM指令，例如centos:7。from有两层含义：①开启一个新的镜像②必须写的一行指令
MAINTAINER [名字]	说明新镜像的维护人信息（可写可不写）
RUN命令	每一条RUN后面跟一条命令，在所基于的镜像上执行命令，并提交到新的镜像中，RUN必须大写
CMD [“要运行的程序”，“参数1”、“参数2”]	指定启动容器时需要运行的命令或者脚本，Dockerfile只能有一条CMD命令，如果指定多条则只能执行最后一条，“bin/bash”也是一条CMD,并且会覆盖image镜像里面的cmd。
EXPOSE [端口号]	指定新镜像加载到Docker时要开启的端口暴露端口，就是这个容器暴露出去的端口号。
ENV [环境变量] [变量值]	设置一个环境变量的值，会被后面的RUN使用。容器可以根据自己的需求创建时传入环境变量，镜像不可以。
ADD [源文件/目录] [目标文件/目录]	①将源文件复制到目标文件，源文件要与Dockerfile位于相同目录中，②或者是一个URL，③若源文件是压缩包则会将其解压缩
COPY [源文件/目录] [目标文件/目录]	将本地主机上的文件/目录复制到目标地点，源文件/目录要与Dockerfile在相同的目录中，copy只能用于复制，add复制的同时，如果复制的对象是压缩包，ADD还可以解压，copy比add节省资源 VOLUME [“目录”] 在容器中创建一个挂载点，简单来说就是-v，指定镜像的目录挂载到宿主机上。
USER [用户名/UID]	指定运行容器时的用户
WORKDIR [路径]	为后续的RUN、CMD、ENTRYPOINT指定工作目录，相当于是一个临时的"CD"，否则需要使用绝对路径，例如workdir /opt。移动到opt目录，并在这下面的指令都是在opt下执行。
ONBUILD [命令]	指定所生成的镜像作为一个基础镜像时所要运行的命令（是一种优化）*
HEALTHCHECK	健康检查

1、ENTRYPOINT指令（entrypoint）

ENTRYPOINT [“要运行的程序”，“参数1”，“参数2”]

设定容器启动时第一个运行的命令及其参数可以通过使用命令docker run --entrypoint 来覆盖镜像中的ENTRYPOINT指令的内容。

两种格式：

exec格式（数值格式）：ENTRYPOINT [“命令”，“选项”，“参数”]

shell格式：ENTRYPOINT 命令选项参数

2、CMD 与entrypoint

都是容器启动时要加载的命令

exec 模式与shell模式
exec：容器加载时使用的启动的第一个任务进程
shell：容器加载时使用的第一个bash（/bin/bash /bin/sh /bin/init）

自检完成后，加载第一个pid = 1 进程

shell 翻译官/解释器，解析

echo $PATH

示例：

cd /mnt
mkdir test
#创建Dockerfile的工作目录

cd test/

vim Dockerfile
FROM centos:7
CMD ["top"]
#编写Dockerfile文件

docker build -t centos:7 .
#基于dockerfile构建镜像

docker run -it --name test centos:7
#基于构建好的镜像启动容器

docker logs test 查看容器日志信息
docker start test 开启容器

docker exec test ps sux
#传入ps aux 命令执行，查看结果

启动时传入/bin/bash命令

docker run -itd --name test1 test centos:7 /bin/bash
#基于构建好的镜像启动容器，并且加上/bin/bash命令

docker exec test1 ps aux
#通过exec 传入命令查看执行效果

2.1 使用exec模式是无法输出环境变量

示例:exec 模式（命令加选项+参数）

cd /mnt/test
vim Dockerfile
FROM centos:7
CMD ["echo","$HOME"]
#编写新的dockerfile文件

echo $HOME
#有shell环境下输出的变量值

docker build -t centos:wxg .
#构建dockerfile镜像

docker images
#查看镜像

docker run -itd --name ydq centos:wxg
#基于构建好镜像的启动容器

docker ps
#查看运行的容器

docker logs wxg
#查看执行结果

2.2 shell模式（需要加解释器）

cd /mnt/test

vim Dockerfile
FROM centos:7
CMD ["sh","-c","echo $HOME"]
#编写一个dockerfile文件

docker build -t centos:wxg1
#基于文件编写centos:wxg1的镜像

docker images
#查看镜像

docker run -itd --name wxg1 centos:wxg1
#启动容器

docker logs wxg1
#查看输出日志

2.3 小结

例：区别shell 模式和exec 模式
/bin/sh -c nginx #shell 模式
nginx # exec模式

exec 和shell 之间的区别
exec 不可用输出环境变量
shell 模式可以输出环境变量

cmd 是容器环境启动时默认加载的命令
entrypoint 是容器环境启动时第一个加载的命令程序/脚本程序 init

如果 ENTRYPOINT 使用了 shell 模式，CMD 指令会被忽略。

如果 ENTRYPOINT 使用了 exec 模式，CMD 指定的内容被追加为 ENTRYPOINT 指定命令的参数。

如果 ENTRYPOINT 使用了 exec 模式，CMD 也应该使用 exec 模式。

3、ADD和copy区别

Dockerfile中的COPY指令和ADD指令都可以将主机上的资源复制或加入到容器镜像中，都是在构建镜像的过程中完成的

① copy只能用于复制（节省资源）
② ADD复制的同时，如果复制的对象是压缩包，ADD还可以解压（消耗资源）
⑥ COPY指令和ADD指令的唯一区别在于是否支持从远程URL获取资源。COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中。而ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中

满足同等功能的情况下，推荐使用COPY指令。ADD指令更擅长读取本地tar文件并解压缩。

四、镜像分层原理

1、docker镜像分层（基于AUFS构建）

① docker镜像位于bootfs之上

② 每一层镜像的下一层成为父镜像

③ 第一层镜像成为base image(操作系统环境镜像)

④ 容器层（可读可写，为了给用户操作），在最顶层

⑤ 容器层以下都是readonly

LXC是一种内核中的容器技术，早期docker在没有将资源容器化的功能时，就是靠内核中LXC来完成容器虚拟化的。现在docker 拥有了自己的docker libcontainer库文件,这种库文件可以做到将资源容器化的操作，所以对LXC的依赖性大大降低。

2、涉及技术

2.1 bootfs (boot file system) 内核空间

主要包含bootloader和kernel

bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是bootfs

这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs

在linux操作系统中（不同版本的linux发行版本），linux加载bootfs时会将rootfs设置为read-only，系统自检后会将只读改为读写，让我们可以在操作系统中进行操作

2.2 rootfs (root file system) 内核空间

① 在bootfs之上(base images，例如centos 、ubuntu)
② 包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件
③ rootfs就是各种不同的操作系统发行版，比如Ubuntu，Centos等等

2.3 为什么docker的centos镜像只有200M多一点

① 因为docker镜像只有rootfs和其他镜像层，共用宿主机的linux内核(bootfs)，因此很小
② bootfs + rootfs ：作用是加载、引导内核程序 + 挂载使用linux 操作系统（centos ubantu）等等一些关键的目录文件
③ 就是说bootsfs用内核的，rootfs用自己的
④ 对于一个精简的os，rootfs可以很小，只需要包括最基本的命令、工具和程序库就可以了，因为底层直接用Rost的kernel，自己只需要提供rootfs就行了。所以对于不同的linux发行版,bootfs基本是一致的，rootfs会有差别，所以不同的发行版可以公用bootfs

2.4 AUFS 与 overlay/overlay2

AUFS是一种联合文件系统。它使用同一个Linux host上的多个目录，逐个堆叠起来，对外呈现出一个统一的文件系统。AUFS使用该特性，实现了Docker镜像的分层

而docker 使用了overlay/overlay2存储驱动来支持分层结构
OverlayFS将单个Linux主机上的两个目录合并成一个目录。这些目录被称为层，统一过程被称为联合挂载

2.4.1 overlay 结构

rootfs #基础镜像
lower #下层信息（为镜像层，只读）
upper #上层目录（容器信息，可写）
worker #运行的工作目录（copy-on-write写时复制-->准备容器环境）
mergod #视图层（容器视图）

#docker 镜像层次结构总结
1、base images :基础镜像
2、image :固化了一个标准运行环境，镜像本身的功能-封装一组功能性的文件，通过统一的方式，文件格式提供出来（只读）
3、container :容器层（读写）
4、docker-server 端
5、呈现给docker-client（视图）

2.5 LXC和容器是什么关系

LXC是内核中容器技术/驱动，功能是将资源容器化。完成资源容器虚拟化的过程。是早期docker的依赖组件目前docker 拥有自己的libcontianer库。可以实现容器虚拟化的功能，对LXC依赖性大大降低。

2.6 dockerfile镜像分层的原理

用overlay2存储引擎的方式叠加上去，最上面是容器层是可读可写的，其他镜像是可读的，
他们是共用的内核资源，共用的是操作系统里所必须的引导程序，挂载，系统之间的文件，
这些文件他和内核之间共享，所以他比实际的centos要小。

2.7 容器之间相互通信的方式

docker 0 、数据卷容器、 --link 隧道、 container 模式（直连接口，同一个network namespaces里，通过同一个网卡的方式，在同一个名称空间里共有一个IP，通过localhost交互/自己的ip或端口交互）

2.8 联合文件系统(UnionFS)

UnionFS(联合文件系统) : Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。AUFS、OberlayFS及Devicemapper都是一种UnionFS。

Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承，基于基础镜像(没有父镜像)，可以制作各种具体的应用镜像。

特性：
一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

**注：**我们下载的时候看到的一层层的就是联合文件系统

2.9 镜像加载原理

① 在Docker镜像的最底层是bootfs，这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs.
② rootfs在bootfs之上。包含的就是典型Linux系统中的/dev,/proc,/bin,/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu,Centos等等。
③ 我们可以理解成一开始内核里什么都没有，操作一个命令下载debian,这是就会在内核上面加一层基础镜像；再安装一个emacs,会在基础镜像上叠加一层image;接着再安装一个apache,又会在images.上面叠加一层image。最后它们看起来就像一个文件系统即容器的rootfs。在Docker的体系里把这些rootfs叫做Docker的镜像。但是，此时的每一层rootfs都是read-only的，我们此时还不能对其进行操作。当我们创建一个容器，也就是将Docker镜像进行实例化，系统会在一层或是多层read-only的rootfs之上分配一层空的read-write的rootfs.

五、案例实验

1、构建apache服务

mkdir /opt/apache

cd /opt/apache

FROM centos:7 #基于的基础镜像

vim Dockerfile

RUN yun -y install update 更新yum

RUN yum -y install httpd 下载

EXPOSE 80 指定端口

ADD index.html /var/www/html/index.html 本地文件复制到容器

ADD run.sh /run,sh 本地脚本复制到容器

RUN chmod +x /run.sh

CMD ["/run.sh"]

echo "gang2" > index.html #指定页面内容

vim run.sh
#!/bin/bash
rm -rf /run/httpd/* #删除原有的apache缓存
exec /usr/sbin/apachectl -D FOREGROUND #开启apache服务，并开启守护进程

docker build -t httpd:centos7 .
#在Dockerfile所在目录下构建新镜像 httpd:centos7

docker images
#查看镜像

docker run -d -p 1234:80 httpd:centos7
#后台运行容器，并暴露端口1234

真机访问192.168.100.20:1234

2、构建tomcat镜像

cd /mnt
mkdir tomcat
cd tomcat
===上传apache-tomcat-9.0.16.tar.gz、jdk1.8.0_221.tar.gz安装包===

vim Dockerfile
FROM centos:7
MAINTAINER [gang2] 维护人员信息
ADD jdk1.8.0_221.tar.gz /usr/local 解压
ADD apache-tomcat-9.0.16.tar.gz /usr/local 解压
WORKDIR /usr/local
RUN mv apache-tomcat-9.0.16 tomcat
RUN mv jdk1.8.0_221 java
#环境
ENV JAVA_HOME /usr/local/java
ENV CLASS_PATH $JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar
ENV PATH $JAVA_HOME/bin:$PATH
EXPOSE 8080 指定端口
CMD ["/usr/local/tomcat/bin/catalina.sh","run"]

docker build -t tomcat:new . 构建镜像
docker images #查看镜像

#运行容器，并指定端口映射
docker run -itd -p 123:8080 tomcat:new

docker ps -a

==真机访问==
http://192.168.100.20:123

总结面试题

1、为什么docker的centos镜像只有200M多

因为docker镜像只有rootfs和其它镜像层，共用宿主机的linux内核（bootfs），所以很小。
**bootfs + rootfs ：**作用是加载、引导内核程序 + 挂载使用linux操作系统等等一些关键的目录文件
就是说bootfs用内核的，rootfs用自己的。
对于一个精简的os，rootfs可以很小，只需要包括最基本的命令，工具和程序库就可以了，因为底层直接用host的kernel，自己只需要提供rootfs就行了，所以对于不同的linux发行版，bootfs基本是一致的，rootfs会有差别，所以不同的发行版可以共用bootfs。
总的来说：就是dcoker的centos镜像中，内核是使用host主机的，系统才是自己的。

2、 LXC和容器是什么有关系

LXC是内核中容器技术/驱动，功能是候将资源容器化，完成资源容器虚拟化的过程。
是早期docker的依赖组件，目前docker拥有自己的libcontainer库，可以实现容器虚拟的功能，对LXC依赖性大大降低。

3、dockerfile镜像分层的原理

用overlay2存储引擎的方式叠加上去，最上面的容器层是可读可写的，其它镜像是可读的，他们是共用的内核资源，共用的操作系统里所必须的引导程序，挂载，系统之间的文件，这些文件它和内核之间共享，所有它比实际的centos要小。

4、容器之间的相互通信的方式

5、你用过哪些dockerfile命令

FROM: 指定系统

MAINTAINER :指定维护人信息

RUN ：运行命令

ENV ：指定环境变量

ADD ：复制文件

EXPOSE ：指定端口

CMD ：执行命令

USER : 运行容器的用户

6、你用dockerfile怎么创建一个镜像出来

Dockerfile例主要包含信息有

①基础镜像

②镜像源信息

③镜像操作指令

④容器启动时执行的命令

大概步骤

先把所需要的安装包放在指定目录。

然后在该目录下创建一个Dockerfile文件，进行添加指令，首先是FROM 指定基础镜像。然后MAINTAINER设置维护人信息，然后使用RUN执行相关命令。EXPOSE 指定端口，最后执行CMD命令运行服务或脚本，如果运行脚本，需要在指定路径写上脚本，

最后执行docker build -t 进行构建镜像。

7、ADD和copy的区别

Dockerfile中的copy指令和add指令都可以将主机上的资源复制或加入到容器镜像中，都是在构建镜像的过程中完成。

copy只能用于复制（节省资源）
ADD复制的同时，如果复制的对象是压缩包，ADD还可以解压（比较消耗资源）
COPY指令和ADD指令的唯一区别在于是否支持远程URL获取资源，COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中，而ADD指令还支持通过URL从远程服务器赌球资源并复制到镜像中。
满足同等功能的情况下，推荐使用COPY指令，ADD指定更擅长读取本地tar文件并解压缩。
总结：①copy更节省资源，②ADD可以将压缩文件解压后复制，③COPY只支持本机复制到镜像，ADD支持URL复制到镜像。④ADD会自动创建目标目录