Docker学习05-镜像深度剖析+公私库搭建

之所以之前讲了镜像,这次还讲,不会炒回锅肉,老生常谈吧?不是,是因为之前的那就是粗浅的理解,这次才是真正的底层原理。

0x00 镜像定义

镜像是一种轻量级、可执行的独立软件包,它包含运行某个软件所需的所有内容,我们把应用程序和配置依赖打包好形成一个可交付的运行环境(包括代码、运行时需要的库、环境变量和配置文件等),这个打包好的运行环境就是image镜像文件。只有通过这个镜像文件才能生成Docker容器实例(类似Java中new出来的一个对象)。

0x01 分层的镜像

有没有注意到下载镜像的时候,是层层下载的?罗马不是一天建成的。

镜像就像是一块蛋糕,里面是面包,然后是奶油,再者是水果等层层堆叠出来的。之前都是用的别人的镜像,我们这次来试试做自己的蛋糕。

image-20220121213611981

0x02镜像底层原理

首先我们以tomcat为例,tomcat是一款高性能的中间件,提供了各种各样的服务。里面也就涉及到了一块一块,一层一层的功能点。所以镜像想要模拟出来,也是一样的。就跟乐高搭积木一样。

UnionFS(联合文件系统)

UnionFS(联合文件系统):Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite serveral directories into a single virtual filesystem)。Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。就像下面这个花卷一样。

image-20220121214505754

特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录。

0x03 Docker镜像加载原理

再次复习容器知识:可以把容器看做一个简易版的Linux环境。

image-20220121214945466

docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。

bootfs(boot file system)主要包含bootloader和kernel,bootloader主要是引导加载kernel,Linux刚启动时会加载bootfs文件系统,在Docker镜像的最低层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。

rootfs(root file system),在bootfs之上,包含的就是典型Linux系统中的/dev,/proc,/bin,/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如ubuntu,centos等。

image-20220121215429403

平时安装虚拟机都是好几个G,为什么docker里面才170多兆?说白了就是只要kernel和rootfs,尽量的瘦身对于一个精简的OS,rootfs可以很小,只需要包括最基本的命令、工具和程序就可以了,因为底层直接用Host的kernel,自己只需要提供rootfs就行了。由此可见对于不同的Linux发行版,bootfs基本是一致的,rootfs会有差别,因此不同的发行版可以公用bootfs。

0x04 为什么采用分层结构?

镜像分层最大的一个好处就是共享资源,方便复制迁移,就是为了复用。

比如说有多个镜像都从相同的base镜像构建而来,那么Docker Host只需在磁盘上保存一份base镜像;同时内存中也只需加载一份base镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。

理解:假设我们拉取了一个ubuntu,里面什么功能都没有,这次我们在里面新建了vim编辑器,我们在把它打包成一个新的ubuntu扩展版本。我不用从头来吧,我可以继承最小的那个ubuntu即可!

0x05 重点理解

Docker镜像层都是只读的,容器层是可写的,当容器启动时,一个新的可写层被加载到镜像和顶部。这一层通常被称作“容器层”,“容器层”之下的都叫“景象层”。

当容器启动时,一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。

所有对容器的改动-无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的,容器层下面的所有镜像层都是只读的。就跟抽烟一样,里面的烟都是一层一层的,烟盒都是底层容器;再好比你吃蛋糕,先从奶油开始吃,一层一层吃到底,但是蛋糕那个塑料托子你不会吃吧。。塑料托子就是kernel。

记住,docker的镜像是分层的,每一层的功能是复用。

image-20220121220223696

0x06 案例加深理解

docker commit提交容器副本使之成为一个新的镜像,说人话就是我们拉取的ubuntu中,没有vim命令,我现在给它安装一个,再将安装vim后的ubuntu变成一个镜像。

docker ubuntu安装vim

1、从Hub上下载ubuntu镜像到本地并成功运行

2、原始的默认ubuntu镜像是不带着vim命令的

3、外网连通的情况下,安装vim

apt-get update		//升级包管理工具
apt-get install -y vim	//安装vim

4、安装完成后,commit我们自己的新镜像

docker commit -m="描述如:add vim cmd" -a="作者" 容器ID 组织名/镜像名:版本号 

image-20220121222622360

5、启动我们的新镜像并和原来的对比

仅仅加了一个vim功能,就提升了100MB

image-20220121222811555

0x07 总结

Docker中的镜像分层,支持通过扩展现有镜像,创建新的镜像。类似Java继承于一个Base基础类,自己再按需扩展。新镜像是从base镜像一层一层叠加生成。每安装一个软件,就在现有镜像的基础上增加一层。

image-20220121224824600

0x08 本地镜像发布到阿里云

当我们自己处理完一个容器后,我们可以通过commit命令和dockerfile构建出一个新的image。如果想要共用,可以传到阿里云或者私有云。

image-20220123122439092

1、新建本地镜像素材原型

即使用commit命令做一个蛋糕,做一个新的镜像。

2、进入到阿里云开发者平台,容器镜像服务

https://cr.console.aliyun.com/cn-hangzhou/instances觉着长直接输入aliyun.com就行

image-20220123123151281

3、创建仓库镜像

01、选择个人实例

image-20220123123336009

02、命名空间

类似于Java创建一个包。

image-20220123123427402

03、创建命名空间

image-20220123123542060

然后可以选择公开,不过注意,这个是免费的,只是为了让你尝尝这个功能怎么使用罢了,要是真的想要让公司的人都用,

image-20220123123805055

随后选择镜像仓库,选择这个命名空间即可

image-20220123124020134

04、创建镜像仓库

我们在刚刚创建的命名空间中,还没有特定的镜像仓库,所以需要新建一个

image-20220123125549229

image-20220123125837969

05、进入管理界面,获得脚本命令

这些命令,不用敲,自己复制粘贴,然后更改一下数值即可。

image-20220123130054725

0x09 docker 私有库简介

1、官方Docker Hub地址:https://hub.docker.com/,中国大陆访问太慢了,且准备被阿里云取代的趋势,不太主流

2、Dockerhub、阿里云这样的公共镜像仓库可能不太方便,涉及机密的公司不可能提供镜像给公网,所以需要创建一个本地私人仓库供给团队使用,基于公司内部项目构建镜像。

Docker Registry 是官方提供的工具,可以用于构建私有镜像仓库。

说白了,自己建立一个镜像仓库

1、下载镜像docker registry

docker pull registry

2、运行私有库Registry,相当于本地有个私有Docker hub

docker run -d -p 5000:5000 -v /zzyyuse/myregistry/:/tmp/registry --privileged=true registry

中间的-v开始到后面,我们暂时先不用了解,涉及到数据卷问题

image-20220123134612501

3、案例演示创建一个新镜像,ubuntu安装ifconfig命令

  • 从Hub上下载ubuntu镜像到本地并成功运行,原始的ubuntu镜像是不带着ifconfig命令的
docker pull ubuntu
docker run -it ubuntu /bin/bash
ifconfig

image-20220123132336215

  • 外网连通的情况下,安装ifconfig命令并测试通过。随后commit制作新镜像
apt update
apt install net-tools
ifconfig
docker commit -m 

image-20220123132614152

4、curl验证、查看私有库上有什么镜像

curl -XGET http://127.0.0.1:5000/v2/_catalog		#{"repositories":[]}表示什么都没有

image-20220123134928672

5、将新镜像修改符合私服规范的tag

docker tag 镜像:tag Host:Port/Repository:Tag
docker tag zzyyubuntu:1.2 127.0.0.1:5000/zzyyubuntu:1.2		#举例子

6、修改配置文件使之支持http

上一步修改完镜像tag后,我们就要开始上传了。上传前因为docker registry做了安全加固,默认不允许使用http上传,所以需要取消这个限制。

vim /etc/docker/daemon.json
{
"registry-mirrors":["https://ddd.com"],		#这个逗号千万不要忘记
"insecure-registries":["192.168.75.122:5000"]	#添加这么一句话,改称自己ip
}
systemctl restart docker		#重启了docker之后,还需要重新run之前的registry
docker run -d -p 5000:5000 -v /zzyyuse/myregistry/:/tmp/registry --privileged=true registry

7、push推送到私服库

docker push 127.0.0.1:5000/ubuntu

image-20220123145711792

8、再次curl验证私服库上有什么镜像

curl -XGET http://127.0.0.1:5000/v2/_catalog

image-20220123145834605

9、pull验证

可以看到其实就是从本地的一个文件夹中拉下来的。

image-20220123150002786

posted @ 2022-01-23 15:20  sukusec不觉水流  阅读(77)  评论(0编辑  收藏  举报