sunqi/typora
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
main
typora/note/devops/docker/底层原理2——镜像.md

209 lines
10 KiB
Markdown
Raw Permalink Normal View History

first commit
2024-12-11 21:48:55 -05:00
### 一、镜像概述
Docker 镜像包含运行应用程序所需的所有内容:代码、运行时、库、环境变量和配置文件。镜像是构建 Docker 容器的蓝图。它们是分层的,每一层都代表一个镜像构建的指令。当你创建一个新的镜像时,你会在一个基础镜像之上添加一个新的层,这个基础镜像可能是一个操作系统(如 Ubuntu 或 CentOS也可能是另一个已经包含了额外组件的镜像。每当你在镜像上执行一个操作如安装软件包或修改文件Docker 都会在镜像的顶部添加一个新的层
### 二、镜像核心技术——联合文件系统 Union File System
联合文件系统允许多个不同的文件系统被叠加在一起,形成单个文件系统。每一层都可以添加变更,而不影响其他层。广泛应用于 Linux 发行版中的 Live CD、Docker 镜像等场景。常见的联合文件系统有 AUFS、OverlayFS、Btrfs 等
联合文件系统的原理是将多个目录(称为分支)叠加在一起,这样就可以合并它们的内容。用户在访问文件或目录时,实际上是在访问一个由这些分支叠加而成的统一视图。下面是一些关键特点和工作原理:
- **分层结构:**在 UnionFS 中,每个分支都可以看作是一个层,层与层之间可以是只读或者可写的。这些层从下往上叠加,形成一个统一的文件系统。最下面的层通常是只读的,而最上面的层是可写的
- **只读和可写层:**只读层包含不变的数据,而可写层通常用于存储变更。这种结构使得基础数据(只读层)在多个应用中被重复利用,而不需要复制,从而节省空间
- **Copy-On-WriteCOW**这是 UnionFS 的一种核心策略。当需要对文件进行修改时,如果该文件处于只读层,则首先会将该文件复制到最上面的可写层,然后再进行修改。这个过程称为“写时复制”,意味着只有在需要修改时,文件的副本才会被创建
- **文件和目录的合并视图:**从用户的角度来看叠加在一起的所有层就像是一个普通的文件系统。如果多个层中包含了相同的文件或目录UnionFS 按照一定的优先级规则(通常是最上面的层优先)来决定哪个版本对用户可见
- **删除和修改:**当删除或修改一个文件时UnionFS 会在可写层创建一个特殊的标记(白板或删除标记),表示该文件在这个层被删除或修改了。即使底层的只读分支中仍然存在这个文件的原始版本,用户也看不到
- **透明性:**对于最终用户和应用程序来说UnionFS 提供了一个透明的文件系统接口,使得它们无需关心底层的分层和叠加细节
### 三、镜像核心技术——写时复制 Copy On Write
一种优化策略,用于在容器中管理文件系统的写入操作
#### 基本原理
1. **初始状态:** 当容器启动时,文件系统的各个层次被堆叠在一起,形成一个联合文件系统。这些层次中的每一个层都是只读的
2. **写操作触发:** 当容器需要对文件系统进行写操作时,例如创建、修改或删除文件,"Copy-On-Write"被触发
3. **创建副本:** 联合文件系统不直接在底层文件系统上执行写操作。相反,它在顶层的可写层创建一个被写入的文件或目录的副本
4. **仅在需要时复制:** 副本的创建是按需进行的,只有在写入操作发生时才会复制相关的文件或目录。直到写入操作发生,原始文件系统层仍然是只读的
#### 优势与好处
1. **避免污染底层层次:** "Copy-On-Write"策略确保了底层文件系统层不会被写入,因此原始镜像或者其他容器共享的底层层次不会被修改。这有助于维护原始镜像的不变性
2. **节省存储空间:** 由于只有在写入操作发生时才会创建副本,"Copy-On-Write"减少了对存储空间的需求。多个容器可以共享相同的底层层次,只需保存它们各自的修改,而不必复制整个文件系统
3. **快速创建副本:** 由于只有在需要时才复制文件,"Copy-On-Write"使得容器可以快速创建修改,而不需要复制整个文件系统,提高了性能和效率
4. **隔离写入操作:** "Copy-On-Write"确保了容器之间的文件写入操作是相互隔离的。每个容器都有自己的写入层,使得它们可以独立地对文件系统进行修改,而不会相互影响
### 四、镜像制作
#### 技术
1. **Dockerfile** Docker 使用 Dockerfile 来定义和描述镜像的构建步骤。Dockerfile 是一个文本文件,包含了从基础镜像开始,逐步添加、配置和操作的指令,最终构建出一个新的镜像。
2. **基础镜像:** 基础镜像是构建其他镜像的起点,它通常包含了操作系统和基本的运行时环境。选择适当的基础镜像对于镜像的性能和大小都有影响。
3. **Docker CLI** Docker 命令行工具是与 Docker 引擎进行交互的主要方式。通过 Docker CLI可以执行构建、运行、推送等操作对 Docker 镜像进行管理。
4. **Docker Hub** Docker Hub 是一个中央仓库,用于存储和分享 Docker 镜像。用户可以将自己构建的镜像推送到 Docker Hub也可以从 Docker Hub 拉取公共镜像
#### 流程
1. **创建 Dockerfile** 首先,通过创建一个 Dockerfile 来定义镜像的构建步骤。Dockerfile 包含了一系列指令,例如基础镜像的选择、软件的安装、配置文件的添加等
```dockerfile
FROM base_image:tag
RUN apt-get update && apt-get install -y software
COPY local-files /app
```
2. **构建镜像:** 使用 `docker build` 命令执行 Dockerfile 中定义的构建步骤。这将会逐步执行每个指令,生成一个新的 Docker 镜像
```bash
docker build -t my_custom_image:tag .
```
3. **运行容器:** 可以使用 `docker run` 命令基于刚刚构建的镜像启动容器。在容器中,你可以测试和验证构建的应用程序或服务
```bash
docker run -it my_custom_image:tag
```
4. **推送到仓库:** 如果你想分享或备份你的镜像,可以使用 `docker push` 命令将镜像推送到 Docker Hub 或其他容器仓库
```bash
docker push my_custom_image:tag
```
5. 持续集成(可选):** 对于大型项目或团队,可以考虑将 Docker 镜像的构建过程整合到持续集成CI流程中确保代码变更触发自动的构建和测试
#### Dockerfile编写关键指令
1. **FROM** 指定基础镜像,所有其他指令都基于该镜像。
```dockerfile
FROM ubuntu:20.04
```
2. **LABEL** 为镜像添加元数据,通常用于提供版本、描述等信息。
```dockerfile
LABEL maintainer="your-name"
```
3. **RUN** 在镜像中执行命令,用于安装软件包、配置环境等。
```dockerfile
RUN apt-get update && apt-get install -y software
```
4. **COPY** 将文件从主机复制到镜像中。
```dockerfile
COPY local-files /app
```
5. **ADD** 类似于 COPY但可以处理 URL 和解压缩 tar 文件。
```dockerfile
ADD https://example.com/file.tar.gz /app
```
6. **WORKDIR** 设置工作目录,后续的相对路径都相对于该目录。
```dockerfile
WORKDIR /app
```
7. **ENV** 设置环境变量。
```dockerfile
ENV MY_VARIABLE=my-value
```
8. **EXPOSE** 声明容器运行时监听的网络端口。
```dockerfile
EXPOSE 80
```
9. **CMD** 指定容器启动时要运行的命令。可以有多个 CMD但只有最后一个生效。
```dockerfile
CMD ["executable", "param1", "param2"]
```
10. **ENTRYPOINT** 指定容器启动时要运行的命令,与 CMD 结合使用。CMD 提供默认参数。
```dockerfile
ENTRYPOINT ["executable", "param1", "param2"]
```
11. **VOLUME** 创建挂载点,用于持久化存储或与其他容器共享数据。
```dockerfile
VOLUME /data
```
12. **USER** 设置运行时的用户名或 UID。
```dockerfile
USER username
```
13. **ARG** 定义构建时的参数,可通过 `docker build` 命令传递。
```dockerfile
ARG version=latest
```
### 五、镜像存储与分发
#### 存储方式:
1. **本地文件系统:**
- Docker 镜像可以直接存储在本地文件系统上。这适用于开发和测试阶段,以及在单机环境中使用。
2. **Docker Hub 和其他 Registry**
- Docker Hub 是 Docker 官方提供的中央镜像仓库,允许用户将镜像上传至其中,并从中下载。私有仓库(如 Harbor、Amazon ECR、Azure Container Registry 等)也提供了类似的功能,适用于企业内部或有特殊需求的场景。
3. **Docker Volume**
- Docker Volume 用于持久化存储容器数据,但也可以用来存储镜像。这种方式适用于需要在容器之间共享数据的场景,但并不是首选的镜像存储方式。
4. **分布式存储系统:**
- 在某些场景中,可以使用分布式存储系统(如 Ceph、GlusterFS、NFS 等)来存储 Docker 镜像。这种方式允许多个 Docker 主机共享相同的存储,提供高可用性和扩展性。
#### 分发方式:
1. **Docker Push 和 Pull**
使用 `docker push` 命令将本地构建的镜像上传到 Docker Hub 或其他 Registry并使用 `docker pull` 命令在其他机器上下载镜像。这是最常见的分发方式。
```bash
# 将镜像推送至 Docker Hub
docker push username/repository:tag
# 在其他机器上拉取镜像
docker pull username/repository:tag
```
**Docker Save 和 Load**
使用 `docker save` 命令将镜像保存为 tar 文件,然后通过 `docker load` 命令在其他机器上加载。这种方式适用于离线环境或需要手动迁移镜像的情况。
```bash
# 将镜像保存为 tar 文件
docker save -o image.tar username/repository:tag
# 在其他机器上加载镜像
docker load -i image.tar
```
**导出和导入容器快照:**
使用 `docker export` 命令导出容器快照,然后使用 `docker import` 命令导入为镜像。这种方式适用于将容器快照分享给其他人。
```bash
# 导出容器快照
docker export container_id > container.tar
# 导入为镜像
cat container.tar | docker import - username/repository:tag
```
Reference in New Issue Copy Permalink