【docker 17 源码分析】 Docker 镜像源码分析

最新推荐文章于 2024-07-27 21:38:44 发布
最新推荐文章于 2024-07-27 21:38:44 发布
阅读量2.9k 收藏 4
点赞数 2
分类专栏: Docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhonglinzhang/article/details/88313081
版权

     Docker的graph driver主要用于管理和维护镜像,包括把镜像从仓库下载下来,到运行时把镜像挂载起来可以被容器访问等

目前docker支持的graph driver有:

  • Overlay
  • Aufs
  • Devicemapper
  • Btrfs
  • Zfs
  • Vfs

 

Docker镜像概念

  • rootfs: 容器进程可见的文件系统、工具、容器文件等
  • Union mount:多种文件系统内容合并后的目录,较为常见的有UnionFS、AUFS、OverlayFS等
  • layer:  Docker容器中的每一层只读的image,以及最上层可读写的文件系统,均被称为layer

 

镜像基于内容寻址

     docker1.10推翻了之前的镜像管理方式,重新开发了基于内容寻址的策略。该策略至少有3个好处:

  • 提高了安全性
  • 避免了ID冲突
  • 确保数据完整性

    基于内容寻址的实现,使用了两个目录:/var/lib/docker/image和/var/lib/docker/overlay, 后面的这个根据存储驱动的名称不同,而目录名不同。image目录保存了image的内容(sha256)数据。overlay目录保持了image的真实数据。
 

写时复制策略 

      每个container都有自己的读写layer,对镜像文件的修改和删除操作都会先执行镜像文件拷贝到读写layer的操作,然后对读写layer的文件进行修改和删除。

 

    Docker镜像的内容主要包含两个部分:第一,镜像层文件内容;第二,镜像json文件

       静态的镜像不包含的

  • 1./proc以及/sys等虚拟文件系统的内容
  • 2.容器的hosts文件,hostname文件以及resolv.conf文件,这些事具体环境的信息,原则上的确不应该被打入镜像。
  • 3.容器的Volume路径,这部分的视角来源于从宿主机上挂载到容器内部的路径
  • 4.部分的设备文件

 

image存放路径解析

    对于overlay2存储驱动路径为/var/lib/docker/image/overlay2

  1. repositories.json:

      存储image的image-id信息,主要是name和image id的对应关系

  2. imagedb目录

      content/sha256: 每一个镜像的配置信息,其id都是image-id,文件内容的sha256码

  3. distribution目录

      diffid-by-digest: digest到diffid的对应关系

# cat 85199fa09ec1510ee053da666286c385d07b8fab9fa61ae73a5b8c454e1b3397 
sha256:919f29a58bd0ef96e5ed82bc7da07cafaea5e712acfd4a4b4558e06d57d7c2fc

      v2metadata-by-diffid:diffid到digest的对应关系

# cat 919f29a58bd0ef96e5ed82bc7da07cafaea5e712acfd4a4b4558e06d57d7c2fc | python -m json.tool
[
    {
        "Digest": "sha256:85199fa09ec1510ee053da666286c385d07b8fab9fa61ae73a5b8c454e1b3397",
        "HMAC": "",
        "SourceRepository": "docker.io/library/buildpack-deps"
    },
    {
        "Digest": "sha256:85199fa09ec1510ee053da666286c385d07b8fab9fa61ae73a5b8c454e1b3397",
        "HMAC": "3ba1c2a458861768fa3153832272d291557d1d08951b29b40b1e47d95a91c09f",
        "SourceRepository": "docker.io/zhangzhonglin/docker-dev"
    },
    {
        "Digest": "sha256:85199fa09ec1510ee053da666286c385d07b8fab9fa61ae73a5b8c454e1b3397",
        "HMAC": "",
        "SourceRepository": "docker.io/zhangzhonglin/docker-dev"
    },
    {
        "Digest": "sha256:85199fa09ec1510ee053da666286c385d07b8fab9fa61ae73a5b8c454e1b3397",
        "HMAC": "",
        "SourceRepository": "docker.io/library/debian"
    }
]

  4. layerdb目录-元数据属性信息

      目录名称是layer的chainid,由于最底层的layer的chainid和diffid相同,比如centos:7.2.1511就是一层,chainid用到了所有祖先layer的信息,从而能保证根据chainid得到的rootfs是唯一的

    cache-id: 每一个层生成的uuid,神马鬼值,干啥用?????????????????

    diff: 最上层的layer的id,也就是为这个chain附加上去的层,是一个layer-id

    size: 单位字节

    tar-split.json.gz: 压缩该层的压缩包

    

目录 /var/lib/docker/overlay2

      存放的是镜像的每一层layer解压后的,以及基于每一个镜像生成容器后,对镜像合并挂载后的目录和对应的init目录

  •     /var/lib/docker/overlay2/<id>/merged: 所有镜像层合并后的,就是容器中进程看到的
  •     /var/lib/docker/overlay2/<id>/upper: 只读的上层
  •    /var/lib/docker/overlay2/<id>/work:用来做cow相关操作的
  •    /var/lib/docker/overlay2/<id>/diff: 容器层的读写层
"GraphDriver": {
            "Data": {
                "LowerDir": "/var/lib/docker/overlay2/713057c5c2f360df298bed473d78999515d9939d77d2e2ecb21afc09ceff3530-init/diff:/var/lib/docker/overlay2/8aff7f83b84a179e0d0685f6898ad6c969e9e5c8160c5118548c61bb296c1001/diff",
                "MergedDir": "/var/lib/docker/overlay2/713057c5c2f360df298bed473d78999515d9939d77d2e2ecb21afc09ceff3530/merged",
                "UpperDir": "/var/lib/docker/overlay2/713057c5c2f360df298bed473d78999515d9939d77d2e2ecb21afc09ceff3530/diff",
                "WorkDir": "/var/lib/docker/overlay2/713057c5c2f360df298bed473d78999515d9939d77d2e2ecb21afc09ceff3530/work"
            },
            "Name": "overlay2"
        }

 

为什么digest?

     镜像的内容变了,但镜像的名称和tag没有变,所以会造成前后两次通过同样的名称和tag从服务器得到不同的两个镜像的问题,于是docker引入了镜像的digest的概念。

     一个镜像的digest就是镜像的manifes文件的sha256码,当镜像的内容发生变化的时候,即镜像的layer发生变化,从而layer的sha256发生变化,而manifest里面包含了每一个layer的sha256,所以manifest的sha256也会发生变化,即镜像的digest发生变化,这样就保证了digest能唯一的对应一个镜像。

 

初始化注册

    全局变量drivers,所有存储驱动注册

// All registered drivers
drivers map[string]InitFunc

    所有存储驱动文件都有该init函数,注册到全局变量drivers中

func init() {
	graphdriver.Register(driverName, Init)
}

 

一. NewDaemon函数

   路径: daemon/daemon.go

   1.1 调用NewManager实例化

      root路径默认为:/var/lib/docker,execRoot路径为: /run/docker/plugins

d.pluginManager, err = plugin.NewManager(plugin.ManagerConfig{
	Root:               filepath.Join(config.Root, "plugins"),
	ExecRoot:           getPluginExecRoot(config.Root),
	Store:              d.PluginStore,
	Executor:           containerdRemote,
	RegistryService:    registryService,
	LiveRestoreEnabled: config.LiveRestoreEnabled,
	LogPluginEvent:     d.LogPluginEvent, // todo: make private
	AuthzMiddleware:    config.AuthzMiddleware,
})

   1.2 实例化layerStore

     路径为

d.layerStore, err = layer.NewStoreFromOptions(layer.StoreOptions{
	StorePath:                 config.Root,
	MetadataStorePathTemplate: filepath.Join(config.Root, "image", "%s", "layerdb"),
	GraphDriver:               driverName,
	GraphDriverOptions:        config.GraphOptions,
	UIDMaps:                   uidMaps,
	GIDMaps:                   gidMaps,
	PluginGetter:              d.PluginStore,
	ExperimentalEnabled:       config.Experimental,
})

    1.2.1 NewStoreFromOptions函数

      调用daemon/graphdriver/driver.go函数中的New方法,结构体store实现了Store接口

// NewStoreFromOptions creates a new Store instance
func NewStoreFromOptions(options StoreOptions) (Store, error) {
	driver, err := graphdriver.New(options.GraphDriver, options.PluginGetter, graphdriver.Options{
		Root:                options.StorePath,
		DriverOptions:       options.GraphDriverOptions,
		UIDMaps:             options.UIDMaps,
		GIDMaps:             options.GIDMaps,
		ExperimentalEnabled: options.ExperimentalEnabled,
	})
	if err != nil {
		return nil, fmt.Errorf("error initializing graphdriver: %v", err)
	}
	logrus.Debugf("Using graph driver %s", driver)

	fms, err := NewFSMetadataStore(fmt.Sprintf(options.MetadataStorePathTemplate, driver))
	if err != nil {
		return nil, err
	}

	return NewStoreFromGraphDriver(fms, driver)
}

    1.2.1.1 New函数

     路径daemon/graphdriver/driver.go,一点点继续分析

// New creates the driver and initializes it at the specified root.
func New(name string, pg plugingetter.PluginGetter, config Options) (Driver, error) {
	if name != "" {
		logrus.Debugf("[graphdriver] trying provided driver: %s", name) // so the logs show specified driver
		return GetDriver(name, pg, config)
	}

      遍历一个slice这个是定义顺序的存储驱动,getBuiltinDriver函数如果有存储驱动直接调用initFunc初始化,就是各个存储驱动注册的Init函数,讲解overlay2的存储驱动

for _, name := range priority {
	if name == "vfs" {
		// don't use vfs even if there is state present.
		continue
	}
	if _, prior := driversMap[name]; prior {
		// of the state found from prior drivers, check in order of our priority
		// which we would prefer
		driver, err := getBuiltinDriver(name, config.Root, config.DriverOptions, config.UIDMaps, config.GIDMaps)

		// abort starting when there are other prior configured drivers
		// to ensure the user explicitly selects the driver to load
		if len(driversMap)-1 > 0 {
			var driversSlice []string
			for name := range driversMap {
				driversSlice = append(driversSlice, name)
			}

			return nil, fmt.Errorf("%s contains several valid graphdrivers: %s; Please cleanup or explicitly choose storage driver (-s <DRIVER>)", config.Root, strings.Join(driversSlice, ", "))
		}

		logrus.Infof("[graphdriver] using prior storage driver: %s", name)
		return driver, nil
	}
}

 

二. overlay2存储驱动

   2.1 Init函数

     路径: daemon/graphdriver/overlay2/overlay.go

// Init returns the a native diff driver for overlay filesystem.
// If overlay filesystem is not supported on the host, graphdriver.ErrNotSupported is returned as error.
// If an overlay filesystem is not supported over an existing filesystem then error graphdriver.ErrIncompatibleFS is returned.
func Init(home string, options []string, uidMaps, gidMaps []idtools.IDMap) (graphdriver.Driver, error) {
	opts, err := parseOptions(options)
	if err != nil {
		return nil, err
	}

    2.1.1 supportsOverlay函数

     验证是否支持overlay,验证方式为读取/proc/filesystems,比如我的环境:

# cat /proc/filesystems 
..................
nodev    overlay
    fuseblk
nodev    fuse
nodev    fusectl

func supportsOverlay() error {
	// We can try to modprobe overlay first before looking at
	// proc/filesystems for when overlay is supported
	exec.Command("modprobe", "overlay").Run()

	f, err := os.Open("/proc/filesystems")
	if err != nil {
		return err
	}
	defer f.Close()

	s := bufio.NewScanner(f)
	for s.Scan() {
		if s.Text() == "nodev\toverlay" {
			return nil
		}
	}
	logrus.Error("'overlay' not found as a supported filesystem on this host. Please ensure kernel is new enough and has overlay support loaded.")
	return graphdriver.ErrNotSupported
}

   d.naiveDiff = graphdriver.NewNaiveDiffDriver(d, uidMaps, gidMaps)这块就是包裹了一下,实现了四个主要接口:

//     Diff(id, parent string) (archive.Archive, error)
//     Changes(id, parent string) ([]archive.Change, error)
//     ApplyDiff(id, parent string, diff archive.Reader) (size int64, err error)
//     DiffSize(id, parent string) (size int64, err error)
// NewNaiveDiffDriver returns a fully functional driver that wraps the
// given ProtoDriver and adds the capability of the following methods which
// it may or may not support on its own:
//     Diff(id, parent string) (archive.Archive, error)
//     Changes(id, parent string) ([]archive.Change, error)
//     ApplyDiff(id, parent string, diff archive.Reader) (size int64, err error)
//     DiffSize(id, parent string) (size int64, err error)
func NewNaiveDiffDriver(driver ProtoDriver, uidMaps, gidMaps []idtools.IDMap) Driver {
	return &NaiveDiffDriver{ProtoDriver: driver,
		uidMaps: uidMaps,
		gidMaps: gidMaps}
}

    2.1.2 NewStoreFromGraphDriver函数

// NewStoreFromGraphDriver creates a new Store instance using the provided
// metadata store and graph driver. The metadata store will be used to restore
// the Store.
func NewStoreFromGraphDriver(store MetadataStore, driver graphdriver.Driver) (Store, error) {
	caps := graphdriver.Capabilities{}
	if capDriver, ok := driver.(graphdriver.CapabilityDriver); ok {
		caps = capDriver.Capabilities()
	}

 

  NewFSStoreBackend创建的是文件系统存储,路径为/var/lib/docker/image/overlay2/imagedb,该文件下创建两个目录分别为content, metadata,这俩文件都含有shan256目录

// NewFSStoreBackend returns new filesystem based backend for image.Store
func NewFSStoreBackend(root string) (StoreBackend, error) {
	return newFSStore(root)
}

func newFSStore(root string) (*fs, error) {
	s := &fs{
		root: root,
	}
	if err := os.MkdirAll(filepath.Join(root, contentDirName, string(digest.Canonical)), 0700); err != nil {
		return nil, errors.Wrap(err, "failed to create storage backend")
	}
	if err := os.MkdirAll(filepath.Join(root, metadataDirName, string(digest.Canonical)), 0700); err != nil {
		return nil, errors.Wrap(err, "failed to create storage backend")
	}
	return s, nil
}

     NewImageStore函数用来缓存当前镜像以及层信息

// NewImageStore returns new store object for given layer store
func NewImageStore(fs StoreBackend, ls LayerGetReleaser) (Store, error) {
	is := &store{
		ls:        ls,
		images:    make(map[ID]*imageMeta),
		fs:        fs,
		digestSet: digestset.NewSet(),
	}

	// load all current images and retain layers
	if err := is.restore(); err != nil {
		return nil, err
	}

	return is, nil
}

 

总结一下:

    在NewDaemon函数中,定义并创建了一大堆目录,存储后端,将层结构信息存储images里

张忠琳
关注
专栏目录
【原创】docker源码分析(3)---镜像(1)
月牙寂
05-04 6176
  本文QQ空间链接:http://user.qzone.qq.com/29185807/blog/1462342295 本文CSDN博客链接:http://blog.csdn.net/screscent/article/details/51314497   1、简介   镜像无疑是docker中的一个重要角色。在分析源码之前,我们先要了解下image的一些概念。可以参考 http:/...
docker build源码分析
goose_flesh
10-31 8634
前言: 最近在搞Docker,需要仔细的去了解Docker源码,在网上找来找去都是旧版本的,很头疼,看了众多的有关博客和《docker源码分析》,总结一下。源码基于docker-ce17.9.0(docker-ce17.9.0(目前网上没有这个版本的),我主要是需要docker build跟docker run的流程,大致差不多,先将build流程出。 简单了解 docker build 的...
Docker启动服务失败-'overlay' not found as a supported filesystem on thi...t loaded.
海棠不惜胭脂色,独立蒙蒙细雨中
04-24 5206
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;遇到这样一个问题,Docker服务启动失败, 输入命令:systemctl status docker.service查看错误原因,如下: [root@localhost ~]# systemctl status docker.service ● docker.service - Docker A...
Docker 源码 - 分析
12-06
Docker 源码 - 分析(171页) (一):Docker架构 (二):Docker Client创建与命令执行 (三):Docker Daemon启动 (四):Docker Daemon之NewDaemon实现 (五):Docker Server的创建 (六):Docker Daemon网络 (七):Docker Container网络 (上) (八):Docker Container网络(下) (九):Docker镜像 (十):Docker镜像下载 (十一):镜像存储
linux docker启动失败
最新发布
修炼之路
07-27 727
启动docker的时候,怎么来解决启动失败的问题
Docker源码分析(一):Docker架构
热门推荐
木精灵的技术博客
09-10 2万+
Docker是PaaS圈内开源的基于LXC的应用容器引擎,基于Go语言开发,遵从Apache2.0协议。 最近一年来,Docker在云计算方面的热度持续升温,社区等活跃度也持续走高,使得大家对于Docker普遍持有积极态度。 笔者在研究生期间,主要从事PaaS方面的研究与实践工作,具体的研究平台为开源的Cloud Foundry。最近Docker的火热,更是让自己处于对Docker的学习过程中,不能自拔。
Docker源码分析(九):Docker镜像
weixin_34129696的博客
04-05 140
1.前言 回首过去的2014年,大家可以看到Docker在全球刮起了一阵又一阵的“容器风”,工业界对Docker的探索与实践更是一波高过一波。在如今的2015年以及未来,Docker似乎并不会像其他昙花一现的技术一样,在历史的舞台上热潮褪去,反而在工业界实践与评估之后,显现了前所未有的发展潜力。 究其本质,“Docker提供容器服务”这句话,相信很少有人会有异议。那么,既然Docker提供的服...
Docker源码分析
wise_zhe的专栏
03-20 4329
Docker源码分析(一):Docker架构 http://www.infoq.com/cn/articles/docker-source-code-analysis-part1 Docker源码分析(二):Docker Client创建与命令执行 http://www.infoq.com/cn/articles/docker-source-code-analysis-part2
docker 17 源码分析Docker Client源码分析
zhonglinzhang
03-23 4812
Docker Client源码分析 一. Docker Client的创建 Docker Client的创建,实质上是Docker用户通过可执行文件docker,与Docker Server建立联系。入口代docker/cmd/docker.go func main() { // Set terminal emulation based on plat
docker源码解析
llxx1234的博客
02-27 244
http://yuedu.163.com/book_reader/37aa61f7a4874857bf7a57d7a2410b7f_4
Docker源码分析docker架构
新手村长的专栏
03-08 1425
由于Docker运行的生命周期中,并非用户所有的操作都是针对Docker容器的管理,另外还有关于Docker运行信息的获取,Graph的存储与记录等。需要注意的是:Docker Server的运行在Docker启动过程中,是靠一个名为”serveapi”的job的运行来完成的。原则上,Docker Server的运行是众多job中的一个,但是为了强调Docker Server的重要性以及为后续job服务的重要特性,将该”serveapi”的job单独抽离出来分析,理解为Docker Server。
Docker源码分析-第1章-Docker架构(1)
qq_43416206的博客
04-04 125
1.1 引⾔Docker是Linux平台上的⼀款轻量级虚拟化容器的管理引擎。在全 球范围内,Docker还是⼀个开源项⽬,整个项⽬基于Go语⾔开发,代托管于GitHub⽹站上,并遵从Apache 2.0协议。⽬前,Docker可以帮助⽤户在容器内部快速⾃动化部署应⽤,并利⽤Linux内核特性命名空间(namespaces)及控制组(cgroups)等为容器提供隔离的运⾏环境。Docker借助操作系统层的虚拟化实现资源的隔离,因此Docker容器在运⾏时与虚拟机(VM)的运⾏有很⼤的区别,Docker容器与
docker源码解析(一)dockerd服务的启动
weixin_42152531的博客
09-03 4363
docker源码解析(一)main函数入口newDaemonCommand()函数runDaemon()函数Windows平台linux平台daemonCli.start()函数 本文基于docker20.10.8。文中机器安装的docker版本为docker20.10.0。 本文的计算机环境是centos-8。因此,不介绍Windows平台的dockerdocker源码地址 main函数入口 代位置:/moby/cmd/dockerd/docker.go func main() { if
Docker 源码分析工具:深入理解容器技术
gitblog_00094的博客
03-31 327
Docker 源码分析工具:深入理解容器技术 项目地址:https://gitcode.com/soh0ro0t/docker-source-analysis 在现代软件开发中,Docker 已经成为部署和管理应用程序的标准工具。为了帮助开发者更深入地理解和掌握 Docker 的工作原理,我们发现了 soh0ro0t/docker-source-analysis 这个项目,它提供了一个交互式的源码...
[Kubernetes]Dockeroverlay网络模型
zjysource的专栏
07-30 5533
上一篇文章[Kubernetes]Docker的网络模型较详细介绍了Docker里的bridge网络模型。本篇介绍Dockeroverlay网络模型。Docker内置overlay网路模式驱动libnetwork,可以用于创建跨多个主机的网络。在同一个overlay网络里的容器,无论运行在哪个主机上,都能相互通信。 环境准备 官方文档Getting started for overlay里使
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值