四、Docker 镜像

1. 什么是镜像

UnionFS(联合文件系统):Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。Union 文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。

 

分层的原因:

  1. 分层最大的一个好处就是共享资源

  2. 有多个镜像都从相同的base镜像构建而来,那么宿主机只需在磁盘上保存一份base镜像;

  3. 同时内存中也只需加载一份base镜像,就可以为所有容器服务了,而且镜像的每一层都可以被共享。

Docker 镜像加载原理

docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统就是UnionFS。

典型的 Linux 启动到运行需要两个FS,bootfs + rootfs:

bootfs(boot file system)主要包含 bootloader 和 kernel,bootloader主要是引导加载 kernel,Linux 刚启动时会加载 bootfs文件系统,在Docker镜像的最底层是bootfs。这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器bootloader和内核kernel。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。

rootfs (root file system),在bootfs之上。包含的就是典型Linux系统中的/dev, /proc, /bin, /etc等标准目录和文件。roots就是各种不同的操作系统发行版,比如Ubuntu,Centos等等。

 

当用docker run启动这个容器时,实际上在镜像的顶部添加了一个新的可写层。这个可写层也叫容器层。

 

容器启动后,其内的应用所有对容器的改动,文件的增删改操作都只会发生在容器层中,对容器层下面的所有只读镜像层没有影响。

Docker 镜像都是只读的,当容器启动时,一个新的可写层加载到镜像的顶部!这一层就是我们通常说的容器层,容器之下的都叫镜像层!

 

Docker 镜像中为什么没有内核

从镜像大小上面来说,一个比较小的镜像只有1KB多点,或几MB,而内核文件需要几十MB, 因此镜像里面是没有内核的,镜像在被启动为容器后将直接使用宿主机的内核,而镜像本身则只提供相应的rootfs,即系统正常运行所必须的用户空间的文件系统,比如/dev/,/proc,/bin,/etc等目录,所以容器当中基本是没有/boot目录的(就算是有,里面也可能是空的),而/boot当中保存的就是与内核相关的文件和目录。

由于容器启动和运行过程中是直接使用了宿主机的内核,不会直接调用过物理硬件,所以也不会涉及到硬件驱动,因此也用不上内核和驱动。而如果虚拟机技术,对应每个虚拟机都有自已独立的内核

2. Docker镜像Commit操作

通过镜像创建容器,然后对容器层进行操作,镜像层不动,再把操作后的容器层和镜像层打包成一个新的镜像提交。

docker commit:用容器创建一个新的镜像。

语法:

docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]

 

OPTIONS说明:

  • -a提交的镜像作者;

  • -c使用Dockerfile指令来创建镜像;

  • -m 提交时的说明文字;

  • -p 在commit时,将容器暂停。

使用实例:通过镜像创建容器,然后对容器层进行操作,再把操作后的容器层和镜像层打包成一个新的镜像提交。

课堂案例:

增强centos 镜像。

先准备好一个centos:6.9 的容器

1. docker pull centos:6.9

2. docker run -it --name=centos6 centos:6.9 /bin/bash

 

centos 镜像只提供了Linux内核所必须的一些常用命令,但是例如像 vim 等命令默认是提供的,现在我们将原始的一个centos 镜像容器安装好vim 命令之后再重新打包成一个新的镜像centos-plus.

无法使用yum源的问题

无法使用yum源的问题removing mirrorlist with no valid mirrors: /var/cache/yum/x86_64/6/base/mirrorlist

  1. 通过执行如下命令修改fastestmirror.conf的配置参数

    sed -i "s|enabled=1|enabled=0|g" /etc/yum/pluginconf.d/fastestmirror.conf

     

  2. 备份文件 (可选)

    mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak

     

  3. 替换repo源

    如果是香港服务器或者海外,替换为官方Vault源

    curl -o /etc/yum.repos.d/CentOS-Base.repo https://www.xmpan.com/Centos-6-Vault-Official.repo

     

    如果是国内建议使用阿里云,执行如下

    curl -o /etc/yum.repos.d/CentOS-Base.repo https://www.xmpan.com/Centos-6-Vault-Aliyun.repo

     

     

案例步骤:

  1. 更新包管理工具(ubantu 使用apt-get)

    yum update

     

  2. 安装vim 工具

    yum -y install vim

     

  3. 任意编辑一个文件,里面随便写点东西

    vim test.txt

     

  4. 将现有的centos容器commit 成一个新的镜像

    docker commit -a="编程任我行" -m="加强版的centos" centos6 centosplus:latest

     

  5. 将新的镜像生成一个容器,看看是否带有vim 工具

    docker run -it --name=centosplus centosplus /bin/bash

     

 

 

课后练习:

生成一个加强版的tomcat

1、先下载 tomcat 镜像

2、通过tomcat 镜像创建运行tomcat 容器:

docker run -d --name="tomcat01" tomcat

 

3、进入正在运行的tomcat容器:

docker exec -it tomcat01 /bin/bash

 

4、把tomcat容器 webapps.dist目录下的文件拷贝到webapps目录下:

cp -r webapps.dist/* webapps

 

5、docker commit 提交镜像

将容器 dc904437d987 保存为新的镜像,并添加提交人信息和说明信息,提交后的镜像名为tomcatplus,版本为1.0:

docker commit -a="编程任我行" -m="制作新的tomcat文件" dc904437d987 tomcatplus:1.0

 

 

可以看到commit提交后的新 tomcat 镜像大小比原来的tomcat镜像要大一点,因为我们在容器层中进行了复制文件操作。

 

 

3. 搭建Docker 仓库

公有仓库

目前Docker官方维护了一个公共仓库Docker Hub, 大部分需求都可以通过在Docker Hub中直接下载镜像来使用。

注册登录

可以在https://hub.docker.com 免费注册一个Docker账号。在命令行执行docker login输入用户名及密码来完成在命令行界面登记Docker Hub。你可以通过docker logout退出登录。

[root@bogon ~]# docker login
Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username: renwoxingcoding
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

 

拉取镜像

可以通过docker search命令来查找官方仓库中的镜像,并利用docker pull命令来将它下载到本地。

 

 

推送镜像

用户也可以在登录后通过docker push命令来将自己的镜像推送到Docker Hub。

推送镜像的规范是: 注册用户名/镜像名

tag命令修改为规范的镜像:

docker tag 旧镜像名或者镜像Id  新的镜像名
如:
docker tag nginx renwoxingcoding/nginx

 

上传镜像到公共仓库

docker push 新的镜像名
如:
docker push renwoxingcoding/nginx

 

上传过后,查看docker hub远程公共仓库

registry 私有仓库

有时候使用Docker Hub这样的公共仓库可能不方便,用户可以创建一个本地仓库供私人使用。比如,基于公司内部项目构建的镜像。

优点

1、速度快

2、维护方便

3、安全

docker-registry是官方提供的工具,可以用于构建私有的镜像仓库。

安装运行docker-registry

可以通过获取官方registry镜像来运行。默认情况下,仓库会被创建在容器的/var/lib/registry目录下。可以通过-v参数来将镜像文件存放在本地的指定路径。

# 1. 拉取镜像
docker pull registry:2.5

# 2. 创建存储registry的目录
mkdir /opt/registry

# 3. 创建registry实例
docker run -d --name registry -p 5000:5000 -v /opt/registry:/var/lib/registry   registry:2.5

 

浏览器访问http://192.168.253.133:5000/v2,出现下面情况说明registry运行正常。

 

修改/etc/docker/daemon.json文件,写入以下内容,让docker信任registry地址 (否则一直无法推送):

{
  "registry-mirrors": ["http://hub-mirror.c.163.com", "https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn"],
  "insecure-registries":["192.168.253.133:5000"]
}

 

修改完之后,重启docker:

$ systemctl daemon-reload
$ systemctl restart docker

 

 

创建好私有仓库之后,就可以使用docker tag来标记一个镜像,然后推送它到仓库。先在本机查看已有的镜像。

docker image -a

 

使用docker tag将nginx:latest这个镜像标记为192.168.253.133:5000/nginx:latest格式为:

docker tag IMAGE[:TAG] [REGISTRY_HOST[:REGISTRY_PORT]/]REPOSITORY[:TAG]
如:
4. docker tag nginx 192.168.253.133:5000/nginx:latest

 

使用docker push上传标记的镜像

5. docker push 192.168.253.133:5000/nginx:latest

 

结果如下:

[root@bogon docker]# docker push 192.168.253.133:5000/nginx
Using default tag: latest
The push refers to repository [192.168.253.133:5000/nginx]
a2e59a79fae0: Pushed
4091cd312f19: Pushed
9e7119c28877: Pushed
2280b348f4d6: Pushed
e74d0d8d2def: Pushed
a12586ed027f: Pushed
latest: digest: sha256:06aa2038b42f1502b59b3a862b1f5980d3478063028d8e968f0810b9b0502380 size: 1570

 

验证私仓是否可用:

  1. 可以先将本机的镜像删除,再docker pull 拉取

  2. 再开一台虚拟机进行拉取(也需要设置daemon.json中的insecure-registries)

 

可视化registry管理界面

上述搭建的私仓,我们无法进行可视化的删除与查询,我们可以借助于registry-web插件帮助我们实现可视化管理。由于registry默认是不支持删除操作,我们需要对registry容器重新安装让其支持删除功能。

  1. /opt/registry 目录下,准备好一本yaml配置文件(第八单元会讲yml的语法),

    storage.delete.enabled 参数设置为true,是为了让仓库支持删除功能。默认没有这个参数,也就是不能删除仓库镜像。

    version: 0.1
    log:
      fields:
        service: registry
    storage:
      delete:
        enabled: true
      cache:
        blobdescriptor: inmemory
      filesystem:
        rootdirectory: /var/lib/registry
    http:
      addr: :5000
      headers:
        X-Content-Type-Options: [nosniff]
    health:
      storagedriver:
        enabled: true
        interval: 10s
        threshold: 3

     

  2. 运行registry 容器,并且把配置文件挂载到本地,方便修改和保存

    \ 表示命令换行

    --restart=always : 设置自动启动

    docker run -d --name registry -p 5000:5000 \
    --restart=always \
    -v /opt/registry:/var/lib/registry \
    -v /opt/registry/config.yml:/etc/docker/registry/config.yml \
    registry:2.5

     

  3. 验证registry 容器是否正常进行

    方式一:curl 192.168.253.133:5000/v2
    方式二:进行通过浏览器访问 :http://192.168.253.133:5000

     

    搭建registry-web
  4. (1) 拉取镜像,hyper/docker-registry-web 这个镜像目前使用人数较多

     d
    ocker pull hyper/docker-registry-web

     

    (2) 运行容器

    REGISTRY_READONLY 参数设置为false,是为了web页面可以显示删除按钮。默认是true,只读状态,没有删除按钮,只能查看。

    docker run -it -d --name registry-web \
    --restart=always \
        -e REGISTRY_URL=http://192.168.253.137:5000/v2 \
        -e REGISTRY_NAME=192.168.253.137:5000 \
        -e REGISTRY_READONLY=false \
        -p 9015:8080 \
        hyper/docker-registry-web

     

    部署完成后,浏览器打开仓库UI地址即可查看到所有应用镜像

    http://192.168.253.133:9015

     

 

 

配套视频链接:全网首发java/.net双案例Docker精品课程,Docker 进阶教程(双语言双案例助力教学)-已完结_哔哩哔哩_bilibili

 
 
 

热门相关:链-两个女人的诱惑   我的性青春女老板与我   19禁性爱的沼泽   女士邀请函3   有特点的电影