docker 架构
Docker的核心组件包括:
- Docker 客户端:Client
- Docker 服务器:Docker daemon
- Docker 镜像:Image
- Registry
- Docker 容器:Container
Docker 采用的是 Client/Server 架构。客户端向服务器发送请求,服务器负责构建、运行和分发容器。
- Docker 客户端
常用的客户端就是 docker 命令,除了 docker 命令行工具,也可以通过 RESTAPI 与服务器通信。
- Docker 服务器
Docker daemon是服务器组件,以Linux后台服务的方式运行。Docker daemon 运行在Docker host上,负责创建、运行、监控容器,构建、存储镜像。
- Docker 镜像
镜像可以看做是一个只读模板,通过镜像可以生成容器。 镜像的生成:
- 从零构建一个镜像
- 下载使用别人构建的镜像
- 在现有的镜像上构建新的镜像
- Docker 容器
容器就是镜像的运行实例。
- Registry
Registry 是存放 Docker 镜像的仓库,Registry 分私有和公有两种。 Docker Hub(htps:/hub.docker.com/)是默认的Registry,由Docker公司维护,上面的镜像,用户可以自由下载和使用。
用户也可以创建自己的私有Registry。
docker pull 命令可以从 Registry下载镜像。 docker run 命令则是先下载镜像(如果本地没有),然后再启动容器。
Docker 镜像
镜像常用命令:
- images: 显示镜像列表
- history: 显示镜像构建历史
- commit: 从容器创建新镜像
- build: 从Dockerfile构建镜像
- tag: 给镜像打tag
- pull: 从registry下载镜像
- push: 将镜像上传到registry
- rmi: 删除Docker host中的镜像
- search: 搜索Docker Hub中的镜像
hello-world
hello-world 是 Docker 官方提供的一个镜像,通常用来验证Docker是否安装成功。
我们使用命令 docker pull hello-world 拉取镜像,使用命令 docker images 查看镜像信息。
base 镜像
base 镜像:
- 不依赖其他镜像,从 scratch 构建
- 其他镜像可以以此为基础进行扩展
所以,base 镜像通常都是各linux 发行版的 docker 镜像。
Linux 操作系统由内核空间和用户空间组成,内核空间是 kernel,用户空间的文件系统是 rootfs(包含 /dev、/proc、/bin等)。base 镜像底层直接使用 Host 的 kernel,自己只提供 rootfs。所以 docker 构建的系统镜像非常小。 容器只能使用 host 的kernel,不能修改,如果容器对 kernel 版本有要求,则不建议用容器,使用虚拟机也许更适合。
镜像的分层结构
新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层。
这样的话,最大的一个好处就是:共享资源。
比如:有多个镜像都从相同的base镜像构建而来,那么Docker Host只需在磁盘上保存一份base镜像;同时内存中也只需加载一份base镜像,就可以为所有容器服务了,而且镜像的每一层都可以被共享。
当某个容器修改了基础镜像的内容,并不会影响其他容器的基础镜像,修改会被限制在单个容器内,这就是容器 Copy-on-Wite特性。
Copy-on-Wite
当容器启动时,一个新的可写层被加载到镜像的顶部。这一层被称为“容器层”,所有对容器的改动(添加、删除,修改)都只会发生在容器层中。只有容器层是可写的,容器层下面的所有镜像层都是只读的。
镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如/a,上层的/a会覆盖下层的/a,也就是说用户只能访问到上层中的文件/a。在容器层中,用户看到的是一个叠加之后的文件系统。
(1)添加文件。在容器中创建文件时,新文件被添加到容器层中。
(2)读取文件。在容器中读取某个文件时,Docker会从上往下依次在各镜像层中查找此文件。一且找到,打开并读入内存。
(3)修改文件。在容器中修改已存在的文件时,Docker会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。
(4)删除文件。在容器中删除文件时,Docker也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。
只有当需要修改时才复制一份数据,这种特性被称作Copy-on-Wite。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。 容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。
构建镜像
docker commit 构建
使用 docker commit 构建主要包含三步:
- 运行容器。
- 修改容器。
- 将容器保存为新的镜像。
例如:我们使用 docker run -it CONTAINER 进入容器,在容器中安装了某些程序,退出容器执行 docker commit CONTAINER [REPOSITORY[:TAG]]。这样就创建了一个新的镜像。
但是并不建议使用此方式构建镜像,原因是不可复用构建过程,且构建过程不直观,存在安全隐患。
Dockerfile 构建
Dockerfile 是一个文本文件,记录的是镜像构建的所有步骤。
执行 docker build -t 新镜像名 . 构建镜像。
-t: 指定构建的新镜像名称.:指定 build context 为当前目录。(build context 为镜像构建提供所需的文件或目录)- Docker 默认从 build context 中查找 Dockerfile 文件,也可以通过
-f参数指定 Dockerfile 的位置。
build context 目录下的所有文件和子目录都会发送给 Docker daemon,所以使用 build context 应当注意,不要将多余的文件放到其中,否则会构建缓慢甚至失败。
构建完成功,我们可以使用
docker history 镜像名来查看镜像的Dockerfile 执行过程。
镜像缓存特性
Docker 会缓存已有镜像的镜像层,构建新镜像时,如果某镜像层已经存在,就直接使用,无须重新创建。
若希望在构建镜像时不使用缓存,可以在 docker build 命令中加上-no-cache参数。
Dockerfile 中每一个指令都会创建一个镜像层,上层是依赖于下层的。无论什么时候,只要某一层发生变化,其上面所有层的缓存都会失效。
也就是说,如果我们改变 Dockerfile 指令的执行顺序,或者修改或添加指令,都会使缓存失效。
调试 Dockerfile
Dockerfile构建镜像的过程:
- (1)从base镜像运行一个容器。
- (2)执行一条指令,对容器做修改。
- (3)执行类似docker commit的操作,生成一个新的镜像层。
- (4)Docker再基于刚刚提交的镜像运行一个新容器。
- (5)重复2~4步,直到Dockerfile中的所有指令执行完毕。
从这个过程可以看出,如果Dockerfile由于某种原因执行到某个指令失败了,我们也将能够得到前一个指令成功执行构建出的镜像,这对调试 Dockerfile非常有帮助。我们可以运行最新的这个镜像定位指令失败的原因。
方法是通过 docker run -it 镜像,启动镜像的一个容器,根据报错信息来进行调试。
Dockerfile 常用指令
1.. # :
Dockerfile 支持“#”开头的注释。
FROM:
指定base镜像。MAINTAINER:
设置镜像的作者,可以是任意字符串。COPY:
将文件从 build context 复制到镜像。
COPY支持两种形式:COPY src dest 与 COPY["src","dest"]。
注意:src 只能指定 build context中的文件或目录。ADD:
与COPY类似,从build context复制文件到镜像。不同的是,如果 src 是归档文件(tar、zip、gz、xz等),文件会被自动解压到dest。ENV:
设置环境变量,环境变量可被后面的指令使用。EXPOSE:
指定容器中的进程会监听某个端口,Docker可以将该端口暴露出来。VOLUME:
将文件或目录声明为 volume。WORKDIR:
为后面的 RUN、CMD、ENTRYPOINT、ADD或 COPY 指令设置镜像中的当前工作目录。RUN:
在容器中运行指定的命令。CMD:
容器启动时运行指定的命令。
Dockerfile 中可以有多个CMD指令,但只有最后一个生效。CMD可以被docker run 之后的参数替换。ENTRYPOINT:
设置容器启动时运行的命令。
Dockerfile中可以有多个ENTRYPOINT指令,但只有最后一个生效。CMD或docker run 之后的参数会被当作参数传递给 ENTRYPOINT。
RUN/CMD/ENTRYPOINT
- (1)RUN: 执行命令并创建新的镜像层,RUN经常用于安装软件包。
- (2)CMD: 设置容器启动后默认执行的命令及其参数,但CMD能够被docker run后面跟的命令行参数替换。
- (3)ENTRYPOINT: 配置容器启动时运行的命令。ENTRYPOINT 看上去与CMD 很像,它们都可以指定要执行的命令及具参数。区别是 ENTRYPOINT不会被忽略,一定会被执行,即使运行docker run时指定了其他命令。
注意:使用 RUN 安装包时,运行
apt-get update && gpt-get install....,这样放在一个 RUN 指令中执行,能够保证每次安装的是最新的包,否则使用 apt-get update创建的镜像层,很可能是很久前的缓存。
