Docker的核心组件包括:
docker 架构图
Docker 采用的是 Client/Server 架构。客户端向服务器发送请求,服务器负责构建、运行和分发容器。
1 . Docker 客户端
常用的客户端就是 docker 命令,除了 docker 命令行工具,也可以通过 RESTAPI 与服务器通信。
2 . Docker 服务器
Docker daemon是服务器组件,以Linux后台服务的方式运行。Docker daemon 运行在Docker host上,负责创建、运行、监控容器,构建、存储镜像。
3 . Docker 镜像
镜像可以看做是一个只读模板,通过镜像可以生成容器。镜像的生成:
4 . Docker 容器
容器就是镜像的运行实例。
5 . Registry
Registry 是存放 Docker 镜像的仓库,Registry 分私有和公有两种。Docker Hub(htps:/hub.docker.com/)是默认的Registry,由Docker公司维护,上面的镜像,用户可以自由下载和使用。
用户也可以创建自己的私有Registry。
docker pull 命令可以从 Registry下载镜像。docker run 命令则是先下载镜像(如果本地没有),然后再启动容器。
hello-world 是 Docker 官方提供的一个镜像,通常用来验证Docker是否安装成功。
我们使用命令 docker pull hello-world
拉取镜像,使用命令 docker images
查看镜像信息。
base 镜像:
所以,base 镜像通常都是各linux 发行版的 docker 镜像。
❝Linux 操作系统由内核空间和用户空间组成,内核空间是 kernel,用户空间的文件系统是 rootfs(包含 /dev、/proc、/bin等)。base 镜像底层直接使用 Host 的 kernel,自己只提供 rootfs。所以 docker 构建的系统镜像非常小。容器只能使用 host 的kernel,不能修改,如果容器对 kernel 版本有要求,则不建议用容器,使用虚拟机也许更适合。
❞
新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层。
这样的话,最大的一个好处就是:共享资源。
比如:有多个镜像都从相同的base镜像构建而来,那么Docker Host只需在磁盘上保存一份base镜像;同时内存中也只需加载一份base镜像,就可以为所有容器服务了,而且镜像的每一层都可以被共享。
当某个容器修改了基础镜像的内容,并不会影响其他容器的基础镜像,修改会被限制在单个容器内,这就是容器 「Copy-on-Wite特性」。
当容器启动时,一个新的可写层被加载到镜像的顶部。这一层被称为“容器层”,所有对容器的改动(添加、删除,修改)都只会发生在容器层中。只有容器层是可写的,容器层下面的所有镜像层都是只读的。
❝镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如/a,上层的/a会覆盖下层的/a,也就是说用户只能访问到上层中的文件/a。在容器层中,用户看到的是一个叠加之后的文件系统。
❞
❝(1)添加文件。在容器中创建文件时,新文件被添加到容器层中。 (2)读取文件。在容器中读取某个文件时,Docker会从上往下依次在各镜像层中查找此文件。一旦找到,打开并读入内存。 (3)修改文件。在容器中修改已存在的文件时,Docker会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。 (4)删除文件。在容器中删除文件时,Docker也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。
❞
❝只有当需要修改时才复制一份数据,这种特性被称作Copy-on-Wite。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。
❞
使用 docker commit 构建主要包含三步:
例如:我们使用 docker run -it CONTAINER
进入容器,在容器中安装了某些程序,退出容器执行 docker commit CONTAINER [REPOSITORY[:TAG]]
。这样就创建了一个新的镜像。
但是并不建议使用此方式构建镜像,原因是不可复用构建过程,且构建过程不直观,存在安全隐患。
Dockerfile 是一个文本文件,记录的是镜像构建的所有步骤。
执行 docker build -t 新镜像名 .
构建镜像。
-t
: 指定构建的新镜像名称.
:指定 build context 为当前目录。(build context 为镜像构建提供所需的文件或目录)-f
参数指定 Dockerfile 的位置。❝build context 目录下的所有文件和子目录都会发送给 Docker daemon,所以使用 build context 应当注意,不要将多余的文件放到其中,否则会构建缓慢甚至失败。
❞
❝构建完成功,我们可以使用
docker history 镜像名
来查看镜像的Dockerfile 执行过程。❞
Docker 会缓存已有镜像的镜像层,构建新镜像时,如果某镜像层已经存在,就直接使用,无须重新创建。
若希望在构建镜像时不使用缓存,可以在 docker build 命令中加上-no-cache
参数。
Dockerfile 中每一个指令都会创建一个镜像层,上层是依赖于下层的。无论什么时候,只要某一层发生变化,其上面所有层的缓存都会失效。
也就是说,如果我们改变 Dockerfile 指令的执行顺序,或者修改或添加指令,都会使缓存失效。
Dockerfile构建镜像的过程:
从这个过程可以看出,如果Dockerfile由于某种原因执行到某个指令失败了,我们也将能够得到前一个指令成功执行构建出的镜像,这对调试 Dockerfile非常有帮助。我们可以运行最新的这个镜像定位指令失败的原因。
方法是通过 docker run -it 镜像
,启动镜像的一个容器,根据报错信息来进行调试。
1.. #
:
Dockerfile 支持“#”开头的注释。
2 . FROM
:
指定base镜像。
3 . MAINTAINER
:
设置镜像的作者,可以是任意字符串。
4 . COPY
:
将文件从 build context 复制到镜像。
COPY支持两种形式:COPY src dest 与 COPY["src","dest"]。
注意:src 只能指定 build context中的文件或目录。
5 . ADD
:
与COPY类似,从build context复制文件到镜像。不同的是,如果 src 是归档文件(tar、zip、gz、xz等),文件会被自动解压到dest。
6 . ENV
:
设置环境变量,环境变量可被后面的指令使用。
7 . EXPOSE
:
指定容器中的进程会监听某个端口,Docker可以将该端口暴露出来。
8 . VOLUME
:
将文件或目录声明为 volume。
9 . WORKDIR
:
为后面的 RUN、CMD、ENTRYPOINT、ADD或 COPY 指令设置镜像中的当前工作目录。
10 . RUN
:
在容器中运行指定的命令。
11 . CMD
:
容器启动时运行指定的命令。
Dockerfile 中可以有多个CMD指令,但只有最后一个生效。CMD可以被docker run 之后的参数替换。
12 . ENTRYPOINT
:
设置容器启动时运行的命令。
Dockerfile中可以有多个ENTRYPOINT指令,但只有最后一个生效。CMD或docker run 之后的参数会被当作参数传递给 ENTRYPOINT。
❝注意:使用 RUN 安装包时,运行
apt-get update && apt-get install....
,这样放在一个 RUN 指令中执行,能够保证每次安装的是最新的包,否则使用 apt-get update创建的镜像层,很可能是很久前的缓存。❞
Copyright© 2013-2020
All Rights Reserved 京ICP备2023019179号-8