docker的镜像创建过程+创建私人仓库 (已重新编写)

Posted kiroct

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了docker的镜像创建过程+创建私人仓库 (已重新编写)相关的知识,希望对你有一定的参考价值。

docker的镜像创建

创建镜像有三种方法,分别为基于已有镜像创建、基于本地模板创建以及基于Dockerfile创建。

1.基于现有镜像创建

(1)首先启动一个镜像,在容器里做修改

docker create -it centos:7 /bin/bash

docker ps -a  #查看

(2)然后将修改后的容器提交为新的镜像,需要使用该容器的ID号创建新镜像
docker commit -m "new" -a "centos" d63d5c7b7a03 centos:test
#常用选项:
-m说明信息;
-a 作者信息;
-p生成过程中停止容器的运行。

docker images   #查看信息

2.基于本地模板创建
通过导入操作系统模板文件可以生成镜像,模板可以从OPENVZ开源项目下载,下载地址为http://openvz.org/Download/template/precreated   #浏览器下载地址
#指令下载
wget http://download.openvz.org/template/precreated/debian-7.0-x86-minimal.tar.gz

#导入为镜像
cat debian-7.0-x86-minimal.tar.gz | docker import - debian:test

3.基于Dockerfile 创建
//联合文件系统(UnionFS )
UnionFS (联合文件系统) : Union文 件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交
来一层层的叠加,同时可以将不同目录挂载到同-一个虚拟文件系统下。AUFS、 OverlayFs 及Devicemapper 都是一 种UnionFS.

Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。

特性:一次同时加载多个文件系统,但从外面看起来,只能看到一一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录。

我们下载的时候看到的一层 层的就是联合文件系统。

小结:
1. 使用现有的镜像启动容器,在容器中进行修改操作。再用docker commit
再用cat包名| docker import -镜像名生成新的镜像再用cat包名| docker import -镜像名生成新的镜像

创建一个centos7的镜像,可以看到是从公共仓库下载的

将修改后的容器提交为新的镜像

从网站下载指定的模版文件(debian-7.0-x86-minimal.tar.gz)
{下载很慢,我先下载好了放在opt里进行操作了}
这是直接从外网下载(非常的慢)

这是我预先下载好导入到opt,然后导入为镜像文件,标签test2

可以看到已经导入进去了

镜像加载的原理!!!

Docker的镜像实际。上由一-层一 层的文件系统组成,这种层级的文件系统就是UnionFS。
bootfs主要包含bootloader和kernel,bootloader主 要是引导加载kernel,Linux刚启 动时会加载bootfs文件系统。

在Docker镜像的最底层是bootfs,这---层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs。

rootfs,在bootfs之 上。包含的就是典型Linux系统中的/dev, /proc, /bin, /etc等标准目录和文件。rootfs就 是各种不同的操作系统发行版,比如Ubuntu, Centos等等。

我们可以理解成一开始内核里什 么都没有,操作一- 个命令下载debian,这时就会在内核.上面加了一-层基础镜像;再安装一” 个emacs,会在基础镜像.上叠加一层image;接着再安装--个apache,又会在images.上而再叠加一层image。最后它们看起来就像一个文件系统即容器的rootfs。在Docker的体系里把这些rootfs叫做Docker的镜像。 但是,此时的每一 层rootfs都是read-only的, 我们此时还不能对其进行操作。当我们创建一个 容器,也就是将Docker镜像进行实例化,系统会在一层或是多层read-only的rootfs之上分配一层 空的read-write的rootfs。

//为什么Docker里的centos的大小才200M?
因为对于精简的Os,rootfs可以很小,只需要包含最基本的命令、工具和程序库就可以了,因为底层直接用宿主机的kernel,自己只需要提供rootfs就可以了。由此可见对于不同的1inux发行版,bootfs基本是一致的, rootfs会 有差别,因此不同的发行版可以公用bootfs。

镜像分层的示意图

rootfs示意图

bootfs示意图

创建容器的时候,docker后台运行的流程

当利用dockerrun来创建容器时,
(1)检查本地是否存在指定的镜像。当镜像不存在时,会从公有仓库下载;
(2)利用镜像创建并启动-一个容器;
(3)分配一个文件系统给容器,在只读的镜像层外面挂载 层可读写层:
(4)从宿主主机配置的网桥接口中桥接一个 虚拟机接口到容器中:
(5)分配一个地址池中的IP地址给容器;
(6)执行用户指定的应用程序,执行完毕后容器被终止运行。

dockerfile !!!

Docker镜像是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)。镜像不包含任何动态数据,其内容在构建之后也不会被改变。

镜像的定制实际上就是定制每一层所添加的配置、文件。
如果我们可以把每一层修改、安装、构建、操作的命令都写进一个一个脚本,用这个脚本来构建、定制镜像,那么镜像构建透明性的问题、体积的问题就都会解决。这个脚本就是Dockerfile.

Dockerfile是一个文本文件,其内包含了一条条的指令(Instruction),每一条指令构建一层, 因此每一条指 令的内容,就是描述该层应当如何构建。有了Dockerfile,当我们需要定制自己额外的需求时,只需在Dockerfile.上添加或者修改指令,重新生成image即可,省去了敲命令的麻烦。

除了手动生成Docker镜像之外,可以使用Dockerfile自动生成镜像。Dockerfile是由 多条的指令组成的文件,其中每条指令对应Linux中的一条命令,Docker 程序将读取Dockerfile中的指令生成指定镜像。

Dockerfile结构大致分为四个部分:基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。Dockerfile每行支持一 条指 令,每条指令可携带多个参数,支持使用以“#“号开头的注释。

#Docker镜像结构的分层
镜像不是一个单一的文件,而是有多层构成。容器其实是在镜像的最.上面加了一
层读写层,在运行容器里做的任何文件改动,都会写到这个读写层。如果删除了容器,也就删除了其最上面的读写层,文件改动也就丢失了。Docker使用存储驱动管理镜像每层内容及可读写层的容器层。

(1)Dockerfile中的每个指令都会创建一个新的镜像层:
(2)镜像层将被缓存和复用:
(3)当Dockerfile的指令修改了,复制的文件变化了,或者构建镜像时指定的变量不同了,对应的镜像层缓存就会失效:
(4)某一层的镜像缓存失效,它之后的镜像层缓存都会失效;
(5)镜像层是不可变的,如果在某一层中添加一个文件,然后在下一层中删除它,则镜像中依然会包含该文件,只是这个文件在Docker容器中不可见了。

小结:说白了就是每一条命令都会创建一个新的镜像层

dockerfile 的常用操作命令

(1) FROM 镜像
指定新镜像所基于的基础镜像,第一条指令必须为FROM指令,每创建一个镜像就需要一条FROM指令

(2) MAINTAINER名字
说明新镜像的维护人信息

(3) RUN 命令
在所基于的镜像上执行命令,并提交到新的镜像中

(4) ENTRYPOINT ["要运行的程序","参数1","参数2"]
设定容器启动时第一个运行的命令及其参数。
可以通过使用命令docker run --entrypoint 来覆盖镜像中的ENTRYPOINT指令的内容。

(5) CMD ["要运行的程序","参数1", "参数2"]
上面的是exec形式, shell形式: CMD命令参数1参数2
启动容器时默认执行的命令或者脚本,Dockerfile只 能有一条CMD命令。如果指定多条命令,只执行最后一条命令。
如果在dockerrun时指定了命令或者镜像中有ENTRYPOINT,那么CDM就会被覆盖。
CMD可以为ENTRYPOINT 指令提供默认参数。

(6) EXPOSE 端口号
指定新镜像加载到Docker 时要开启的端口

(7) ENV 环境变量变量值
设置一个环境变量的值,会被后面的RUN使用

(8) ADD源文件/目录目标文件/目录
将源文件复制到镜像中,源文件要与Dockerfile 位于相同目录中,或者是一一个URL
有如下注意事项:

1、如果源路径是个文件,且目标路径是以/结尾, 则docker会把目标路径当作-一个目录,会把源文件拷贝到该目录下。如果目标路径不存在,则会自动创建目标路径。

2、如果源路径是个文件,且目标路径是不以/结尾,则docker会把目标路径当作一“个文件。
如果目标路径不存在,会以目标路径为名创建一一个文件,内容同源文件:
如果目标文件是个存在的文件,会用源文件覆盖它,当然只是内容覆盖,文件名还是目标文件名。
如果目标文件实际是个存在的目录,则会源文件拷贝到该目录下。注意, 这种情况下,最好显示的以/结尾,以避免混淆。

3、如果源路径是个目录,且目标路径不存在,则docker会自动以目标路径创建一一个目录,把源路径目录下的文件拷贝进来。
如果目标路径是个已经存在的目录,则docker 会把源路径目录下的文件拷贝到该目录下。

4、如果源文件是个归档文件(压缩文件),则docker会自动帮解压。
URL下载和解压特性不能一起 使用。任何压缩文件通过URL拷贝,都不会自动解压。

(9) COPY源文件/目录目标文件/目录
只复制本地主机. 上的文件/目录复制到目标地点, 源文件/目录要与Dockerfile 在相同的目录中

(10) VOLUME [" 目录"]
在容器中创建一个挂载点

(11) USER用户名/UID
指定运行容器时的用户

(12) WORKDIR 路径
为后续的RUN、CMD、ENTRYPOINT 指定工作目录

(13) ONBUILD命令
指定所生成的镜像作为一个基础镜像时所要运行的命令。
当在一个Dockerfile文 件中加上ONBUILD指 令,该指令对利用该Dockerfile构建镜像 (比如为A镜像)不会产生实质性影响。
但是当编写一个新的Dockerfile文件来基于A镜像构建一一个镜像( 比如为B镜像)时,这时构造A镜像的Dockerfile文件中的ONBUILD指令就生效了,在构建B镜像的过程中,首先会执行ONBUILD指令指定的指令,然后才会执行其它指令。

(14) HEALTHCHECK
健康检查

小结:
在编写Dockerfile时,有严格的格式需要遵循:
●第一行必须使用FROM指令指明所基于的镜像名称;
●之后使用MAINTAINER指令说明维护该镜像的用户信息:
●然后是镜像操作相关指令,如RUN指令。每运行一条指令, 都会给基础镜像添加新的一层。
最后使用CMD指今指宗启动容器时要云行的命今操作

ENTRYPOINT指定容器启动时第一个执行的命令,通常是启动容器里应用的命令
docker run - -entrypoint mkdir /abc > ENTRYPOINT ["mkdir", "/123"] > CMD

ENTRYPOINT  [ "mkdir"]
CMD [ "touch"]

基础镜像信息   FROM
维护者信息   MAINTAINER
镜像操作指令  RUN
容器启动时执行指令  ENTRYPOINT CMD
ADD  abc123.txt /opt/abc

dockerfile 练习;创建一个apache

```html/xml
注意,所有操作均在/opt/apache中进行
##首先是建立工作目录
mkdir /opt/apache
cd /opt/apache
vim Dockerfile

#首先from定义基于的基础镜像
FROM centos:7

#然后MAINTAINER定义维护镜像的用户信息
MAINTAINER this is apache image <lp>

##使用run镜像操作指令安装apache软件

RUN yum -y install httpd

#使用expose暴露80端口
EXPOSE 80

复制网站首页文件

ADD index.html /var/www/html/index.html

#将执行脚本复制到镜像中

ADD run.sh /run.sh
RUN chmod 755 /run.sh

#启动容器时执行脚本
CMD ["/run.sh"]


```html/xml
下面准备执行脚本run.sh
vim run.sh

#!/bin/bash
rm -rf /run/httpd/*                              #清理httpd的缓存
exec /usr/sbin/apachectl -D FOREGROUND           #指定为前台运行

小结:因为Docker容器仅在它的1号进程(PID为1)运行时,会保持运行。如果1号进程退出了,Docker容器也就退出了。`

dockerfile 的小结


首先去opt创建apache工作目录,写dockerfile

下面用于写run脚本来清理阿帕奇缓存和前台运行


创建一个阿拉奇网页

在/opt/apache中创建镜像,运行成功即可

查看下库中是否被添加,运行这个镜像,然后doscker ps -a 来查询端口

同网段浏览器验证这个端口

docker 搭建本地私有化仓库

#首先下载registry 镜像
docker pull registry

#在daemon.json文件中添加私有镜像仓库地址
vim /etc/docker/daemon.json

{
"insecure-registries": ["192.168.80.10:5000"],

"registry-mirrors": ["https://6ijb8ube.mirror.aliyuncs.com"]
}

systemctl restart docker .service

#运行registry容器
docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest
-------------------
注释:-itd: 在容器中打开一一个伪终端进行交互操作,并在后台运行
-v: 把宿主机的/data/ registry目录绑定到容器/var/lib/registry目录(这个目录是registry容器中存放镜像文件的目录),来实现数据的持久化;
-p:映射端口;访问宿主机的5000端口就访问到registry容器的服务了
--restart=always:这是重启的策略,在容器退出时总是重启容器
--name registry: 创建容器命名为registry
registry:latest:这个是刚才pull下来的镜像

容器的重启策略
no:默认策略,在容器退出时不重启容器
on-failure:在容器非正常退出时(退出状态非0),才会重启容器
on-failure:3 :在容器非正常退出时重启容器,最多重启3次
always:在容器退出时总是重启容器
unless-stopped:在容器退出时总是重启容器,但是不考虑在Docker守护进程启动时就已经停止了的容器

#为镜像打标签
docker tag centos:7 192.168.80.10: 5000/centos:v1

#上传到私有仓库
docker push 192. 168.80.10: 5000/centos:v1

#列出私有仓库的所有镜像
curl http://192.168.80.10:5000/v2/ catalog

#出私有仓库的centos 镜像有哪些tag
curl http://192.168.80.10: 5000/v2/centos/tags/list

#先删除原有的centos 的镜像,再测试私有仓库下载
docker rmi -f 8652b9f0cb4c
docker pull 192.168. 80.10: 5000/centos:v1

首先是去下载registry

在daemon.json文件中添加私有镜像仓库地址(我的ip地址),然后重启docker


运行registry

然后就是给镜像打标签与上传

最后就是使用curl指令查看私有仓库里的镜像

以上是关于docker的镜像创建过程+创建私人仓库 (已重新编写)的主要内容,如果未能解决你的问题,请参考以下文章

docker私人仓库

CentOS7搭建Docker私有仓库----Docker

Docker镜像创建及建立私有仓库

Docker 镜像创建私有仓库搭建和数据管理

docker数据与管理

Docker仓库管理镜像 -- 公共仓库Docker Hub和私人仓库Registry和harbor