四、Docker 镜像
1. 什么是镜像UnionFS(联合文件系统):Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。Union 文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128174225897-525399653.png
分层的原因:
[*]分层最大的一个好处就是共享资源
[*]有多个镜像都从相同的base镜像构建而来,那么宿主机只需在磁盘上保存一份base镜像;
[*]同时内存中也只需加载一份base镜像,就可以为所有容器服务了,而且镜像的每一层都可以被共享。
Docker 镜像加载原理
docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统就是UnionFS。
典型的 Linux 启动到运行需要两个FS,bootfs + rootfs:
bootfs(boot file system)主要包含 bootloader 和 kernel,bootloader主要是引导加载 kernel,Linux 刚启动时会加载 bootfs文件系统,在Docker镜像的最底层是bootfs。这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器bootloader和内核kernel。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。
rootfs (root file system),在bootfs之上。包含的就是典型Linux系统中的/dev, /proc, /bin, /etc等标准目录和文件。roots就是各种不同的操作系统发行版,比如Ubuntu,Centos等等。
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128174252902-531839073.png
当用docker run启动这个容器时,实际上在镜像的顶部添加了一个新的可写层。这个可写层也叫容器层。
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128174307915-1855173416.png
容器启动后,其内的应用所有对容器的改动,文件的增删改操作都只会发生在容器层中,对容器层下面的所有只读镜像层没有影响。
Docker 镜像都是只读的,当容器启动时,一个新的可写层加载到镜像的顶部!这一层就是我们通常说的容器层,容器之下的都叫镜像层!
Docker 镜像中为什么没有内核
从镜像大小上面来说,一个比较小的镜像只有1KB多点,或几MB,而内核文件需要几十MB, 因此镜像里面是没有内核的,镜像在被启动为容器后将直接使用宿主机的内核,而镜像本身则只提供相应的rootfs,即系统正常运行所必须的用户空间的文件系统,比如/dev/,/proc,/bin,/etc等目录,所以容器当中基本是没有/boot目录的(就算是有,里面也可能是空的),而/boot当中保存的就是与内核相关的文件和目录。
由于容器启动和运行过程中是直接使用了宿主机的内核,不会直接调用过物理硬件,所以也不会涉及到硬件驱动,因此也用不上内核和驱动。而如果虚拟机技术,对应每个虚拟机都有自已独立的内核
2. Docker镜像Commit操作
通过镜像创建容器,然后对容器层进行操作,镜像层不动,再把操作后的容器层和镜像层打包成一个新的镜像提交。
docker commit:用容器创建一个新的镜像。
语法:
docker commit CONTAINER ]
OPTIONS说明:
[*]-a提交的镜像作者;
[*]-c使用Dockerfile指令来创建镜像;
[*]-m 提交时的说明文字;
[*]-p 在commit时,将容器暂停。
使用实例:通过镜像创建容器,然后对容器层进行操作,再把操作后的容器层和镜像层打包成一个新的镜像提交。
课堂案例:
增强centos 镜像。
先准备好一个centos:6.9 的容器
1. docker pull centos:6.9
2. docker run -it --name=centos6 centos:6.9 /bin/bash
centos 镜像只提供了Linux内核所必须的一些常用命令,但是例如像 vim 等命令默认是提供的,现在我们将原始的一个centos 镜像容器安装好vim 命令之后再重新打包成一个新的镜像centos-plus.
无法使用yum源的问题
无法使用yum源的问题removing mirrorlist with no valid mirrors: /var/cache/yum/x86_64/6/base/mirrorlist
[*]通过执行如下命令修改fastestmirror.conf的配置参数
sed -i "s|enabled=1|enabled=0|g" /etc/yum/pluginconf.d/fastestmirror.conf
[*]备份文件 (可选)
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
[*]替换repo源
如果是香港服务器或者海外,替换为官方Vault源
curl -o /etc/yum.repos.d/CentOS-Base.repo https://www.xmpan.com/Centos-6-Vault-Official.repo
如果是国内建议使用阿里云,执行如下
curl -o /etc/yum.repos.d/CentOS-Base.repo https://www.xmpan.com/Centos-6-Vault-Aliyun.repo
案例步骤:
[*]更新包管理工具(ubantu 使用apt-get)
yum update
[*]安装vim 工具
yum -y install vim
[*]任意编辑一个文件,里面随便写点东西
vim test.txt
[*]将现有的centos容器commit 成一个新的镜像
docker commit -a="编程任我行" -m="加强版的centos" centos6 centosplus:latest
[*]将新的镜像生成一个容器,看看是否带有vim 工具
docker run -it --name=centosplus centosplus /bin/bash
课后练习:
生成一个加强版的tomcat
1、先下载 tomcat 镜像
2、通过tomcat 镜像创建运行tomcat 容器:
docker run -d --name="tomcat01" tomcat
3、进入正在运行的tomcat容器:
docker exec -it tomcat01 /bin/bash
4、把tomcat容器 webapps.dist目录下的文件拷贝到webapps目录下:
cp -r webapps.dist/* webapps
5、docker commit 提交镜像
将容器 dc904437d987 保存为新的镜像,并添加提交人信息和说明信息,提交后的镜像名为tomcatplus,版本为1.0:
docker commit -a="编程任我行" -m="制作新的tomcat文件" dc904437d987 tomcatplus:1.0
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128174611891-359175278.png
可以看到commit提交后的新 tomcat 镜像大小比原来的tomcat镜像要大一点,因为我们在容器层中进行了复制文件操作。
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128174629959-1936020302.png
3. 搭建Docker 仓库
公有仓库
目前Docker官方维护了一个公共仓库Docker Hub, 大部分需求都可以通过在Docker Hub中直接下载镜像来使用。
注册登录
可以在https://hub.docker.com 免费注册一个Docker账号。在命令行执行docker login输入用户名及密码来完成在命令行界面登记Docker Hub。你可以通过docker logout退出登录。
# docker login
Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username: renwoxingcoding
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
Login Succeeded
拉取镜像
可以通过docker search命令来查找官方仓库中的镜像,并利用docker pull命令来将它下载到本地。
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128174710210-2032202118.png
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128174724793-1738880262.png
推送镜像
用户也可以在登录后通过docker push命令来将自己的镜像推送到Docker Hub。
推送镜像的规范是: 注册用户名/镜像名
tag命令修改为规范的镜像:
docker tag 旧镜像名或者镜像Id新的镜像名
如:
docker tag nginx renwoxingcoding/nginx
上传镜像到公共仓库
docker push 新的镜像名
如:
docker push renwoxingcoding/nginx
上传过后,查看docker hub远程公共仓库
registry 私有仓库
有时候使用Docker Hub这样的公共仓库可能不方便,用户可以创建一个本地仓库供私人使用。比如,基于公司内部项目构建的镜像。
优点:
1、速度快
2、维护方便
3、安全
docker-registry是官方提供的工具,可以用于构建私有的镜像仓库。
安装运行docker-registry
可以通过获取官方registry镜像来运行。默认情况下,仓库会被创建在容器的/var/lib/registry目录下。可以通过-v参数来将镜像文件存放在本地的指定路径。
# 1. 拉取镜像
docker pull registry:2.5
# 2. 创建存储registry的目录
mkdir /opt/registry
# 3. 创建registry实例
docker run -d --name registry -p 5000:5000 -v /opt/registry:/var/lib/registry registry:2.5
浏览器访问http://192.168.253.133:5000/v2,出现下面情况说明registry运行正常。
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128174809766-977352351.png
修改/etc/docker/daemon.json文件,写入以下内容,让docker信任registry地址 (否则一直无法推送):
{
"registry-mirrors": ["http://hub-mirror.c.163.com", "https://registry.docker-cn.com","https://docker.mirrors.ustc.edu.cn"],
"insecure-registries":["192.168.253.133:5000"]
}
修改完之后,重启docker:
$ systemctl daemon-reload
$ systemctl restart docker
创建好私有仓库之后,就可以使用docker tag来标记一个镜像,然后推送它到仓库。先在本机查看已有的镜像。
docker image -a
使用docker tag将nginx:latest这个镜像标记为192.168.253.133:5000/nginx:latest格式为:
docker tag IMAGE[:TAG] /]REPOSITORY[:TAG]
如:
4. docker tag nginx 192.168.253.133:5000/nginx:latest
使用docker push上传标记的镜像
5. docker push 192.168.253.133:5000/nginx:latest
结果如下:
# docker push 192.168.253.133:5000/nginx
Using default tag: latest
The push refers to repository
a2e59a79fae0: Pushed
4091cd312f19: Pushed
9e7119c28877: Pushed
2280b348f4d6: Pushed
e74d0d8d2def: Pushed
a12586ed027f: Pushed
latest: digest: sha256:06aa2038b42f1502b59b3a862b1f5980d3478063028d8e968f0810b9b0502380 size: 1570
验证私仓是否可用:
[*]可以先将本机的镜像删除,再docker pull 拉取
[*]再开一台虚拟机进行拉取(也需要设置daemon.json中的insecure-registries)
可视化registry管理界面
上述搭建的私仓,我们无法进行可视化的删除与查询,我们可以借助于registry-web插件帮助我们实现可视化管理。由于registry默认是不支持删除操作,我们需要对registry容器重新安装让其支持删除功能。
[*]在/opt/registry 目录下,准备好一本yaml配置文件(第八单元会讲yml的语法),
storage.delete.enabled 参数设置为true,是为了让仓库支持删除功能。默认没有这个参数,也就是不能删除仓库镜像。
version: 0.1
log:
fields:
service: registry
storage:
delete:
enabled: true
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: /var/lib/registry
http:
addr: :5000
headers:
X-Content-Type-Options:
health:
storagedriver:
enabled: true
interval: 10s
threshold: 3
[*]运行registry 容器,并且把配置文件挂载到本地,方便修改和保存
\ 表示命令换行
--restart=always : 设置自动启动
docker run -d --name registry -p 5000:5000 \
--restart=always \
-v /opt/registry:/var/lib/registry \
-v /opt/registry/config.yml:/etc/docker/registry/config.yml \
registry:2.5
[*]验证registry 容器是否正常进行
方式一:curl 192.168.253.133:5000/v2
方式二:进行通过浏览器访问 :http://192.168.253.133:5000
搭建registry-web
[*](1) 拉取镜像,hyper/docker-registry-web 这个镜像目前使用人数较多
docker pull hyper/docker-registry-web
(2) 运行容器
REGISTRY_READONLY 参数设置为false,是为了web页面可以显示删除按钮。默认是true,只读状态,没有删除按钮,只能查看。
docker run -it -d --name registry-web \
--restart=always \
-e REGISTRY_URL=http://192.168.253.137:5000/v2 \
-e REGISTRY_NAME=192.168.253.137:5000 \
-e REGISTRY_READONLY=false \
-p 9015:8080 \
hyper/docker-registry-web
部署完成后,浏览器打开仓库UI地址即可查看到所有应用镜像
http://192.168.253.133:9015
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128175023808-73416389.png
https://img2023.cnblogs.com/blog/568354/202311/568354-20231128175041978-804927900.png
配套视频链接:全网首发java/.net双案例Docker精品课程,Docker 进阶教程(双语言双案例助力教学)-已完结_哔哩哔哩_bilibili
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]