凡是过往,皆为序章

0%

Docker_04

发表于 分类于 阅读次数: Valine:
本文字数: 2.2k 阅读时长 ≈ 7 分钟

Docker 的 镜像讲解。

镜像是什么?

镜像是一种轻量级、可执行的独立软件包,用来打包软件运行环境基于运行环境开发的软件,它包含运行某个软件的所有内容,包括代码、运行时的库、环境变量 和 配置文件。

所有的应用,直接打包成docker镜像,就可以直接部署!

如何得到镜像?

  • 从远程镜像下载
  • 从朋友拷贝
  • 自己制作一个 DockerFile

Docker镜像加载原理

UnionFS(联合文件系统)

UnionFS (联合文件系统):Union文件系统( UnionFS )是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtualfilesystem)。

Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。

特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录

Docker镜像加载原理

docker的镜像实际上由一层一层的文件系统组成,这种层级的文件系统UnionFS。

bootfs(boot file system)主要包含bootloader和kernel,bootloader主要是引导加载kernel,Linux刚启动时会加载bootfs文件系统,在Docker镜像的最底层是bootfs。这一层与我们典型的LinuxlUnix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。

系统启动需要引导加载,bootfs所负责的,这一层是几乎不变的,所有发行版的Linux系统可以共用的。

rootfs (root file system),在bootfs之上。包含的就是典型Linux系统中的/dev, /proc,/bin, /letc等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如Ubuntu ,Centos等等。

使用docker pull centos下载最新版本的Centos镜像也就200M左右,而我们平时下载一个原生的centos镜像都是4G,为什么差别这么大呢?对于 Docker 初学者都会有这个疑问。

下面来了解下Linux 操作系统由内核空间和用户空间组成,如下图所示:

可以看到 最底层是 bootfs,这层是linux 的内核,在这层之上的是rootfs,即提供linux 的标准目录文件等。

不同 Linux 发行版的区别主要就是 rootfs。

比如 Ubuntu 14.04 使用 upstart 管理服务,apt 管理软件包;而 CentOS 7 使用 systemd 和 yum。这些都是用户空间上的区别,Linux kernel 差别不大,即底层都是相同的bootfs。

所以 Docker 可以同时支持多种 Linux 镜像,模拟出多种操作系统环境。

上图 Debian 和 BusyBox上层提供各自的 rootfs,底层共用 Docker Host 的 kernel

对于一个精简的OS , rootfs可以很小,只需要包含最基本的命令,工具和程序库就可以了,因为底层直接用Host的kernel。

自己只需要提供rootfs就可以了。由此可见对于不同的linux发行版, bootfs基本是一致的, rootfs会有差别,因此不同的发行版可以公用bootfs。

分层理解

分层的镜像

我们 docker pull 的时候,在下载的过程中我们可以看到docker的镜像好像是在一层一层的在下载。

思考:为什么Docker镜像要采用这种分层的结构呢?

最大的好处,就是资源共享了!

比如有多个镜像都从相同的Base镜像构建而来,那么宿主机只需在磁盘上保留一份base镜像,同时内存中也只需要加载一份base镜像,这样就可以为所有的容器服务了,而且镜像的每一层都可以被共享。

什么是base镜像?

  1. 不依赖其他镜像,从 scratch 构建。
  2. 其他镜像可以使之作为基础进行扩展。

base 镜像的通常都是各种 Linux 发行版的 Docker 镜像,比如 Ubuntu, Debian, CentOS 等。

查看镜像分层的方式可以通过docker image inspect命令!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@localhost ~]# docker image inspect redis

...
"RootFS": {
            "Type": "layers",
            "Layers": [
                "sha256:f5600c6330da7bb112776ba067a32a9c20842d6ecc8ee3289f1a713b644092f8",
                "sha256:c492b4fe510f674e04af29c5a8be4d0104a53e82e68ae98a3f9a0dd385263b7c",
                "sha256:60f4b166131fd0c3b925a04e4976fbc43525e289e5edab72ffc4b7196085905f",
                "sha256:4bc5e04ae88961aa002128a1873888ad4adf5ce11712d601fec6ad5f280c547d",
                "sha256:06d5c35d63a8e4066ca996005b118a6051d2323c4af64c0fc2be014b4da7740e",
                "sha256:d3fc9f08141a1377e718b8a29fd94a8c46793b88efdbed4ad02cbe3a3d91de10"   // 分层信息
            ]
        },
...

理解:

所有的Docker镜像都起始于一个基础镜像层,当进行修改或增加新的内容时,就会在当前镜像层之上,创建新的镜像层。

举一个简单的例子,假如基于Ubuntu Linux16.04创建一个新的镜像,这就是新镜像的第一层;如果在该镜像中添加Python包,就会在基础镜像层之上创建第二个镜像层;如果继续添加一个安全补丁,就会创建第三个镜像层。

该镜像当前已经包含3个镜像层,如下图所示(这只是一个用于演示的很简单的例子)。

为什么docker镜像要采用这种分层结构呢?

最大的一个好处就是共享资源

比如:有多个镜像都从相同的base镜像构建而来,那么宿主机只需在磁盘上保存一份base镜像,同时内存中也只需加载一份base镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。

镜像的特点

Docker镜像都是只读的。

当容器启动时,一个新的可写层被加载到镜像的顶部。

这一层通常被称作为”容器层”,“容器层”之下的都叫”镜像层”。

~感谢你请我吃糖果~
-------------本文结束,感谢您的阅读,欢迎评论留言!-------------