1. 镜像是怎么?
1.1 是什么
镜像 是一种轻量级、可执行的独立软件包,它包含运行某个软件所需的所有内容,我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等),这个打包好的运行环境就是image镜像文件。 只有通过这个镜像文件才能生成Docker容器实例(类似Java中new出来一个对象)。
1.2 分层的镜像
以我们的pull为例,在下载的过程中我们可以看到docker的镜像好像是在一层一层的在下载
[root@AliyunServer ~]# docker pull mysql
Using default tag: latest
latest: Pulling from library/mysql
72a69066d2fe: Already exists
93619dbc5b36: Already exists
99da31dd6142: Already exists
626033c43d70: Already exists
37d5d7efb64e: Already exists
ac563158d721: Already exists
d2ba16033dad: Already exists
688ba7d5c01a: Pull complete
00e060b6d11d: Pull complete
1c04857f594f: Pull complete
4d7cfa90e6ea: Pull complete
e0431212d27d: Pull complete
Digest: sha256:e9027fe4d91c0153429607251656806cc784e914937271037f7738bd5b8e7709
Status: Downloaded newer image for mysql:latest
docker.io/library/mysql:latest
1.3 UnionFS(联合文件系统)
Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。Union 文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(相当于Java的Object祖宗类,没有父镜像),可以制作各种具体的应用镜像。
特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录
1.4 Docker镜像加载原理
docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。
bootfs(boot file system)主要包含bootloader和kernel, bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统,在Docker镜像的最底层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。
rootfs (root file system) ,在bootfs之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等。
平时我们安装进虚拟机的CentOS都是好几个G,为什么docker这里才200M??
对于一个精简的OS,rootfs可以很小,只需要包括最基本的命令、工具和程序库就可以了,因为底层直接用Host的kernel,自己只需要提供 rootfs 就行了。由此可见对于不同的linux发行版, bootfs基本是一致的, rootfs会有差别, 因此不同的发行版可以公用bootfs。
1.5 为什么Docker镜像要采用这种分层的结构呢?
镜像分层最大的一个好处就是共享资源,方便复制迁移,就是为了复用。 比如说有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像; 同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。
2. 重点理解
Docker镜像层都是只读的,容器层是可写的 当容器启动时,一个新的可写层被加载到镜像的顶部。 这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
当容器启动时,一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的,容器层下面的所有镜像层都是只读的。
3. Docker镜像commit操作案例
docker commit提交容器副本使之成为一个新的镜像 docker commit -m=”提交的描述信息” -a=”作者” 容器ID 要创建的目标镜像名:[标签名] 案例演示ubuntu安装vim 原始的默认Ubuntu镜像是不带着vim命令的 docker容器内执行上述两条命令: apt-get update apt-get -y install vim 安装完成后,commit我们自己的新镜像
[root@AliyunServer ~]# docker commit -m="add vim" -a="mhk" e9b131a6f0b8 mhk/ubuntu:1.3
sha256:b9554954d84690028c11307744439c855de319587fedd870976b7c8a4e4e7723
[root@AliyunServer ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
mhk/ubuntu 1.3 b9554954d846 25 seconds ago 108MB
启动我们的新镜像并和原来的对比
[root@AliyunServer ~]# docker run -it b9554954d846 /bin/bash
root@132f7a8b975a:/# vim a.txt
4. 小总结
Docker中的镜像分层,支持通过扩展现有镜像,创建新的镜像。类似Java继承于一个Base基础类,自己再按需扩展。
新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层
5. 本地镜像发布到阿里云
5.1 本地镜像发布到阿里云流程
5.2 镜像的生成方法
上一讲已经介绍过 基于当前容器创建一个新的镜像,新功能增强 docker commit [OPTIONS] 容器ID [REPOSITORY[:TAG]] OPTIONS说明: -a :提交的镜像作者; -m :提交时的说明文字;
5.3 将本地镜像推送到阿里云
阿里云开发者平台
https://promotion.aliyun.com/ntms/act/kubernetes.html
创建仓库镜像
选择控制台,进入容器镜像服务
选择个人实例
命名空间
继续
仓库名称
继续
进入管理界面获得脚本
将镜像推送到阿里云
将镜像推送到阿里云registry
管理界面脚本
5.4 将阿里云上的镜像下载到本地
docker pull registry.cn-hangzhou.aliyuncs.com/mhk/myubuntu:[镜像版本号]
6. 本地镜像发布到私有库
6.1 是什么
- 官方Docker Hub地址:https://hub.docker.com/,中国大陆访问太慢了且准备被阿里云取代的趋势,不太主流。
- Dockerhub、阿里云这样的公共镜像仓库可能不太方便,涉及机密的公司不可能提供镜像给公网,所以需要创建一个本地私人仓库供给团队使用,基于公司内部项目构建镜像。
- Docker Registry是官方提供的工具,可以用于构建私有镜像仓库
6.2 将本地镜像推送到私有库
- 下载镜像Docker Registry
[root@AliyunServer ~]# docker pull registry Using default tag: latest latest: Pulling from library/registry Digest: sha256:169211e20e2f2d5d115674681eb79d21a217b296b43374b8e39f97fcf866b375 Status: Image is up to date for registry:latest docker.io/library/registry:latest - 运行私有库Registry,相当于本地有个私有Docker hub
[root@AliyunServer ~]# docker run -d -p 5000:5000 -v /mhkuse/myregistry/:/tmp/registry --privileged=true registry 806c3119715baf6e97de85434aed354001e7e3af6e94c9605fa885fec3f12973 [root@AliyunServer ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 806c3119715b registry "/entrypoint.sh /etc…" 37 seconds ago Up 36 seconds 0.0.0.0:5000->5000/tcp, :::5000->5000/tcp festive_varahamihira - 案例演示创建一个新镜像,ubuntu安装ifconfig命令
原始的Ubuntu镜像是不带着ifconfig命令的
- docker容器内执行上述两条命令:
apt-get update apt-get install net-tools
root@b8028da3af06:/# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.17.0.6 netmask 255.255.0.0 broadcast 172.17.255.255
ether 02:42:ac:11:00:06 txqueuelen 0 (Ethernet)
RX packets 6 bytes 516 (516.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
loop txqueuelen 1000 (Local Loopback)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
- 安装完成后,commit我们自己的新镜像
公式: docker commit -m=”提交的描述信息” -a=”作者” 容器ID 要创建的目标镜像名:[标签名] 命令:在容器外执行,记得 docker commit -m=”ifconfig cmd add” -a=”mhk” b8028da3af06 mhk/ubuntu:1.3
[root@AliyunServer ~]# docker commit -m="ifconfig cmd add" -a="mhk" b8028da3af06 mhk/ubuntu:1.3
sha256:67aed549da77c9f092be790e58a4fdd4d0481b733de56c71220bf27d3f9d4fbe
[root@AliyunServer ~]# docker commit -m="ifconfig cmd add" -a="mhk" b8028da3af06 mhk/ubuntu:1.3
sha256:67aed549da77c9f092be790e58a4fdd4d0481b733de56c71220bf27d3f9d4fbe
[root@AliyunServer ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
mhk/ubuntu 1.3 67aed549da77 About a minute ago 108MB
- 启动我们的新镜像并和原来的对比
官网是默认下载的Ubuntu没有ifconfig命令 我们自己commit构建的新镜像,新增加了ifconfig功能,可以成功使用
- curl验证私服库上有什么镜像
curl -XGET http://172.28.109.11:5000/v2/_catalog
[root@AliyunServer ~]# curl -XGET http://172.28.109.11:5000/v2/_catalog
{"repositories":[]}
可以看到,目前私服库没有任何镜像上传过
- 将新镜像mhk/ubuntu:1.3修改符合私服规范的Tag
按照公式: docker tag 镜像:Tag Host:Port/Repository:Tag 使用命令 docker tag 将mhk/ubuntu:1.3 这个镜像修改为172.28.109.11:5000/mhk/ubuntu:1.3 docker tag mhk/ubuntu:1.3 172.28.109.11:5000/mhk/ubuntu:1.3
[root@AliyunServer ~]# docker tag mhk/ubuntu:1.3 172.28.109.11:5000/mhk/ubuntu:1.3
[root@AliyunServer ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
172.28.109.11:5000/mhk/ubuntu 1.3 67aed549da77 9 minutes ago 108MB
mhk/ubuntu 1.3 67aed549da77 9 minutes ago 108MB
- 修改配置文件使之支持http
[root@AliyunServer ~]# cat /etc/docker/daemon.json { "registry-mirrors": ["https://3ghuubp0.mirror.aliyuncs.com"], "insecure-registries": ["172.28.109.11:5000"] }上述理由:docker默认不允许http方式推送镜像,通过配置选项来取消这个限制。====> 修改完后如果不生效,建议重启docker
- push推送到私服库
[root@AliyunServer ~]# docker push 172.28.109.11:5000/mhk/ubuntu:1.3 The push refers to repository [172.28.109.11:5000/mhk/ubuntu] 39e3dddc2b0d: Pushed 9f54eef41275: Pushed 1.3: digest: sha256:20d9db3b447fffdf6ff58049ab855eb9131749d4a807076677458442b47aab13 size: 741 - curl验证私服库上有什么镜像
[root@AliyunServer ~]# curl -XGET http://172.28.109.11:5000/v2/_catalog {"repositories":["mhk/ubuntu"]} - pull到本地并运行 ```shell [root@AliyunServer ~]# docker pull 172.28.109.11:5000/mhk/ubuntu:1.3 1.3: Pulling from mhk/ubuntu Digest: sha256:20d9db3b447fffdf6ff58049ab855eb9131749d4a807076677458442b47aab13 Status: Image is up to date for 172.28.109.11:5000/mhk/ubuntu:1.3 172.28.109.11:5000/mhk/ubuntu:1.3
[root@AliyunServer ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE 172.28.109.11:5000/mhk/ubuntu 1.3 67aed549da77 14 minutes ago 108MB mhk/ubuntu 1.3 67aed549da77 14 minutes ago 108MB
[root@AliyunServer ~]# docker run -it 67aed549da77 /bin/bash root@b64ebba83516:/#
#
# 7. Docker容器数据卷
Docker挂载主机目录访问如果出现cannot open directory .: Permission denied
解决办法:在挂载目录后多加一个--privileged=true参数即可
如果是CentOS7安全模块会比之前系统版本加强,不安全的会先禁止,所以目录挂载的情况被默认为不安全的行为,
在SELinux里面挂载目录被禁止掉了额,如果要开启,我们一般使用 --privileged=true 命令,扩大容器的权限解决挂载目录没有权限的问题,也即
使用该参数,container内的root拥有真正的root权限,否则,container内的root只是外部的一个普通用户权限。
## 7.1 是什么?
卷就是目录或文件,存在于一个或多个容器中,由docker挂载到容器,但不属于联合文件系统,因此能够绕过Union File System提供一些用于持续存储或共享数据的特性:
卷的设计目的就是数据的持久化,完全独立于容器的生存周期,因此Docker不会在容器删除时删除其挂载的数据卷
将docker容器内的数据保存进宿主机的磁盘中
运行一个带有容器卷存储功能的容器实例
docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录 镜像名
## 7.2 能干嘛?
将运用与运行的环境打包镜像,run后形成容器实例运行 ,但是我们对数据的要求希望是持久化的
Docker容器产生的数据,如果不备份,那么当容器实例删除后,容器内的数据自然也就没有了。
为了能保存数据在docker中我们使用卷。
特点:
1:数据卷可在容器之间共享或重用数据
2:卷中的更改可以直接实时生效
3:数据卷中的更改不会包含在镜像的更新中
4:数据卷的生命周期一直持续到没有容器使用它为止
## 7.3 数据卷案例
#### 7.3.1 宿主vs容器之间映射添加容器卷
直接命令添加
公式:docker run -it -v /宿主机目录:/容器内目录 ubuntu /bin/bash
```shell
[root@AliyunServer ~]# docker run -it --name myu --privileged=true -v /etc/myHostData:/etc/myDockerData ubuntu /bin/bash
root@56dd6249a002:/# cd /etc/myDockerData/
root@56dd6249a002:/etc/myDockerData# pwd
/etc/myDockerData
[root@AliyunServer ~]# cd /etc/myHostData/
[root@AliyunServer myHostData]# pwd
/etc/myHostData
查看数据卷是否挂载成功 docker inspect 容器ID
[root@AliyunServer myHostData]# docker inspect myu
"Mounts": [
{
"Type": "bind",
"Source": "/etc/myHostData",
"Destination": "/etc/myDockerData",
"Mode": "",
"RW": true,
"Propagation": "rprivate"
}
],
容器和宿主机之间数据共享
- docker修改,主机同步获得
- 主机修改,docker同步获得
- docker容器stop,主机修改,docker容器重启看数据是否同步。 ```shell root@56dd6249a002:/# cd /etc/myDockerData/ root@56dd6249a002:/etc/myDockerData# pwd /etc/myDockerData root@56dd6249a002:/etc/myDockerData# echo “docker update 123”>a.log root@56dd6249a002:/etc/myDockerData# cat a.log docker update 123
[root@AliyunServer myHostData]# cat a.log docker update 123 [root@AliyunServer myHostData]# echo “host update 456”»a.log [root@AliyunServer myHostData]# cat a.log docker update 123 host update 456
root@56dd6249a002:/etc/myDockerData# cat a.log docker update 123 host update 456
[root@AliyunServer myHostData]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 56dd6249a002 ubuntu “/bin/bash” About an hour ago Up About an hour myu [root@AliyunServer myHostData]# docker stop 56dd6249a002 56dd6249a002 [root@AliyunServer myHostData]# echo “host update 789”»a.log [root@AliyunServer myHostData]# docker start 56dd6249a002 56dd6249a002
[root@AliyunServer ~]# docker exec -it 56dd6249a002 /bin/bash root@56dd6249a002:/# cd /etc/myDockerData/ root@56dd6249a002:/etc/myDockerData# cat a.log docker update 123 host update 456 host update 789
#### 7.3.2 卷的继承和共享
容器1完成和宿主机的映射
docker run -it --privileged=true -v /mydocker/u:/tmp --name u1 ubuntu
```shell
[root@AliyunServer ~]# docker run -it --privileged=true -v /mydocker/u:/tmp --name u1 ubuntu
root@11620d977442:/# cd /tmp/
root@11620d977442:/tmp# ls -l
total 0
root@11620d977442:/tmp# touch u1_data.txt
root@11620d977442:/tmp# ls -l
total 0
-rw-r--r-- 1 root root 0 Feb 9 12:13 u1_data.txt
容器2继承容器1的卷规则 docker run -it –privileged=true –volumes-from 父类 –name u2 ubuntu
[root@AliyunServer ~]# docker run -it --privileged=true --volumes-from u1 --name u2 ubuntu
root@e3a64f06ddbe:/# cd tmp/
root@e3a64f06ddbe:/tmp# ls -l
total 0
-rw-r--r-- 1 root root 0 Feb 9 12:13 u1_data.txt
root@e3a64f06ddbe:/tmp# touch u2_data.txt
root@e3a64f06ddbe:/tmp# ls -l
total 0
-rw-r--r-- 1 root root 0 Feb 9 12:13 u1_data.txt
-rw-r--r-- 1 root root 0 Feb 9 12:15 u2_data.txt