拿捏docker+k8s系列--docker镜像

715次阅读  |  发布于2年以前

docker 架构

Docker的核心组件包括:

docker 架构图

Docker 采用的是 Client/Server 架构。客户端向服务器发送请求,服务器负责构建、运行和分发容器。

1 . Docker 客户端

常用的客户端就是 docker 命令,除了 docker 命令行工具,也可以通过 RESTAPI 与服务器通信。

2 . Docker 服务器

Docker daemon是服务器组件,以Linux后台服务的方式运行。Docker daemon 运行在Docker host上,负责创建、运行、监控容器,构建、存储镜像。

3 . Docker 镜像

镜像可以看做是一个只读模板,通过镜像可以生成容器。镜像的生成:

4 . Docker 容器

容器就是镜像的运行实例。

5 . Registry

Registry 是存放 Docker 镜像的仓库,Registry 分私有和公有两种。Docker Hub(htps:/hub.docker.com/)是默认的Registry,由Docker公司维护,上面的镜像,用户可以自由下载和使用。

用户也可以创建自己的私有Registry。

docker pull 命令可以从 Registry下载镜像。docker run 命令则是先下载镜像(如果本地没有),然后再启动容器。

Docker 镜像

镜像常用命令:

hello-world

hello-world 是 Docker 官方提供的一个镜像,通常用来验证Docker是否安装成功。

我们使用命令 docker pull hello-world 拉取镜像,使用命令 docker images 查看镜像信息。

base 镜像

base 镜像:

所以,base 镜像通常都是各linux 发行版的 docker 镜像。

❝Linux 操作系统由内核空间和用户空间组成,内核空间是 kernel,用户空间的文件系统是 rootfs(包含 /dev、/proc、/bin等)。base 镜像底层直接使用 Host 的 kernel,自己只提供 rootfs。所以 docker 构建的系统镜像非常小。容器只能使用 host 的kernel,不能修改,如果容器对 kernel 版本有要求,则不建议用容器,使用虚拟机也许更适合。

镜像的分层结构

新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层。

这样的话,最大的一个好处就是:共享资源。

比如:有多个镜像都从相同的base镜像构建而来,那么Docker Host只需在磁盘上保存一份base镜像;同时内存中也只需加载一份base镜像,就可以为所有容器服务了,而且镜像的每一层都可以被共享。

当某个容器修改了基础镜像的内容,并不会影响其他容器的基础镜像,修改会被限制在单个容器内,这就是容器 「Copy-on-Wite特性」

Copy-on-Wite

当容器启动时,一个新的可写层被加载到镜像的顶部。这一层被称为“容器层”,所有对容器的改动(添加、删除,修改)都只会发生在容器层中。只有容器层是可写的,容器层下面的所有镜像层都是只读的。

❝镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如/a,上层的/a会覆盖下层的/a,也就是说用户只能访问到上层中的文件/a。在容器层中,用户看到的是一个叠加之后的文件系统。

❝(1)添加文件。在容器中创建文件时,新文件被添加到容器层中。 (2)读取文件。在容器中读取某个文件时,Docker会从上往下依次在各镜像层中查找此文件。一旦找到,打开并读入内存。 (3)修改文件。在容器中修改已存在的文件时,Docker会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。 (4)删除文件。在容器中删除文件时,Docker也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。

❝只有当需要修改时才复制一份数据,这种特性被称作Copy-on-Wite。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。

构建镜像

docker commit 构建

使用 docker commit 构建主要包含三步:

例如:我们使用 docker run -it CONTAINER 进入容器,在容器中安装了某些程序,退出容器执行 docker commit CONTAINER [REPOSITORY[:TAG]]。这样就创建了一个新的镜像。

但是并不建议使用此方式构建镜像,原因是不可复用构建过程,且构建过程不直观,存在安全隐患。

Dockerfile 构建

Dockerfile 是一个文本文件,记录的是镜像构建的所有步骤。

执行 docker build -t 新镜像名 . 构建镜像。

❝build context 目录下的所有文件和子目录都会发送给 Docker daemon,所以使用 build context 应当注意,不要将多余的文件放到其中,否则会构建缓慢甚至失败。

❝构建完成功,我们可以使用 docker history 镜像名 来查看镜像的Dockerfile 执行过程。

镜像缓存特性

Docker 会缓存已有镜像的镜像层,构建新镜像时,如果某镜像层已经存在,就直接使用,无须重新创建。

若希望在构建镜像时不使用缓存,可以在 docker build 命令中加上-no-cache参数。 Dockerfile 中每一个指令都会创建一个镜像层,上层是依赖于下层的。无论什么时候,只要某一层发生变化,其上面所有层的缓存都会失效。

也就是说,如果我们改变 Dockerfile 指令的执行顺序,或者修改或添加指令,都会使缓存失效。

调试 Dockerfile

Dockerfile构建镜像的过程:

从这个过程可以看出,如果Dockerfile由于某种原因执行到某个指令失败了,我们也将能够得到前一个指令成功执行构建出的镜像,这对调试 Dockerfile非常有帮助。我们可以运行最新的这个镜像定位指令失败的原因。

方法是通过 docker run -it 镜像,启动镜像的一个容器,根据报错信息来进行调试。

Dockerfile 常用指令

1.. # : Dockerfile 支持“#”开头的注释。

2 . FROM : 指定base镜像。

3 . MAINTAINER : 设置镜像的作者,可以是任意字符串。

4 . COPY : 将文件从 build context 复制到镜像。 COPY支持两种形式:COPY src dest 与 COPY["src","dest"]。 注意:src 只能指定 build context中的文件或目录。

5 . ADD : 与COPY类似,从build context复制文件到镜像。不同的是,如果 src 是归档文件(tar、zip、gz、xz等),文件会被自动解压到dest。

6 . ENV : 设置环境变量,环境变量可被后面的指令使用。

7 . EXPOSE : 指定容器中的进程会监听某个端口,Docker可以将该端口暴露出来。

8 . VOLUME : 将文件或目录声明为 volume。

9 . WORKDIR : 为后面的 RUN、CMD、ENTRYPOINT、ADD或 COPY 指令设置镜像中的当前工作目录。

10 . RUN : 在容器中运行指定的命令。

11 . CMD : 容器启动时运行指定的命令。 Dockerfile 中可以有多个CMD指令,但只有最后一个生效。CMD可以被docker run 之后的参数替换。

12 . ENTRYPOINT : 设置容器启动时运行的命令。 Dockerfile中可以有多个ENTRYPOINT指令,但只有最后一个生效。CMD或docker run 之后的参数会被当作参数传递给 ENTRYPOINT。

RUN/CMD/ENTRYPOINT

❝注意:使用 RUN 安装包时,运行 apt-get update && apt-get install.... ,这样放在一个 RUN 指令中执行,能够保证每次安装的是最新的包,否则使用 apt-get update创建的镜像层,很可能是很久前的缓存。

Copyright© 2013-2020

All Rights Reserved 京ICP备2023019179号-8