docker的镜像创建过程+创建私人仓库 （已重新编写）

Posted 2022-03-10 kiroct

docker的镜像创建

创建镜像有三种方法，分别为基于已有镜像创建、基于本地模板创建以及基于Dockerfile创建。

1.基于现有镜像创建

(1)首先启动一个镜像，在容器里做修改

docker create -it centos:7 /bin/bash

docker ps -a  #查看

(2)然后将修改后的容器提交为新的镜像，需要使用该容器的ID号创建新镜像
docker commit -m "new" -a "centos" d63d5c7b7a03 centos:test
#常用选项:
-m说明信息;
-a 作者信息;
-p生成过程中停止容器的运行。

docker images   #查看信息

2.基于本地模板创建
通过导入操作系统模板文件可以生成镜像，模板可以从OPENVZ开源项目下载，下载地址为http://openvz.org/Download/template/precreated   #浏览器下载地址
#指令下载
wget http://download.openvz.org/template/precreated/debian-7.0-x86-minimal.tar.gz

#导入为镜像
cat debian-7.0-x86-minimal.tar.gz | docker import - debian:test

3.基于Dockerfile 创建
//联合文件系统(UnionFS )
UnionFS (联合文件系统) : Union文 件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交
来一层层的叠加，同时可以将不同目录挂载到同-一个虚拟文件系统下。AUFS、 OverlayFs 及Devicemapper 都是一 种UnionFS.

Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承，基于基础镜像(没有父镜像)，可以制作各种具体的应用镜像。

特性:一次同时加载多个文件系统，但从外面看起来，只能看到一一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

我们下载的时候看到的一层 层的就是联合文件系统。

小结：
1. 使用现有的镜像启动容器，在容器中进行修改操作。再用docker commit
再用cat包名| docker import -镜像名生成新的镜像再用cat包名| docker import -镜像名生成新的镜像

创建一个centos7的镜像，可以看到是从公共仓库下载的

将修改后的容器提交为新的镜像

从网站下载指定的模版文件（debian-7.0-x86-minimal.tar.gz）
｛下载很慢，我先下载好了放在opt里进行操作了｝
这是直接从外网下载（非常的慢）

这是我预先下载好导入到opt，然后导入为镜像文件，标签test2

可以看到已经导入进去了

镜像加载的原理！！！

Docker的镜像实际。上由一-层一 层的文件系统组成，这种层级的文件系统就是UnionFS。
bootfs主要包含bootloader和kernel，bootloader主 要是引导加载kernel，Linux刚启 动时会加载bootfs文件系统。

在Docker镜像的最底层是bootfs，这---层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs。

rootfs，在bootfs之 上。包含的就是典型Linux系统中的/dev, /proc, /bin, /etc等标准目录和文件。rootfs就 是各种不同的操作系统发行版，比如Ubuntu, Centos等等。

我们可以理解成一开始内核里什 么都没有，操作一- 个命令下载debian，这时就会在内核.上面加了一-层基础镜像;再安装一” 个emacs，会在基础镜像.上叠加一层image;接着再安装--个apache，又会在images.上而再叠加一层image。最后它们看起来就像一个文件系统即容器的rootfs。在Docker的体系里把这些rootfs叫做Docker的镜像。 但是，此时的每一 层rootfs都是read-only的， 我们此时还不能对其进行操作。当我们创建一个 容器，也就是将Docker镜像进行实例化，系统会在一层或是多层read-only的rootfs之上分配一层 空的read-write的rootfs。

//为什么Docker里的centos的大小才200M?
因为对于精简的Os，rootfs可以很小，只需要包含最基本的命令、工具和程序库就可以了，因为底层直接用宿主机的kernel，自己只需要提供rootfs就可以了。由此可见对于不同的1inux发行版，bootfs基本是一致的， rootfs会 有差别，因此不同的发行版可以公用bootfs。

镜像分层的示意图

rootfs示意图

bootfs示意图

创建容器的时候，docker后台运行的流程

当利用dockerrun来创建容器时，
(1)检查本地是否存在指定的镜像。当镜像不存在时，会从公有仓库下载;
(2)利用镜像创建并启动-一个容器;
(3)分配一个文件系统给容器，在只读的镜像层外面挂载 层可读写层:
(4)从宿主主机配置的网桥接口中桥接一个 虚拟机接口到容器中:
(5)分配一个地址池中的IP地址给容器;
(6)执行用户指定的应用程序，执行完毕后容器被终止运行。

dockerfile ！！！

Docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的一些配置参数(如匿名卷、环境变量、用户等)。镜像不包含任何动态数据，其内容在构建之后也不会被改变。

镜像的定制实际上就是定制每一层所添加的配置、文件。
如果我们可以把每一层修改、安装、构建、操作的命令都写进一个一个脚本，用这个脚本来构建、定制镜像，那么镜像构建透明性的问题、体积的问题就都会解决。这个脚本就是Dockerfile.

Dockerfile是一个文本文件，其内包含了一条条的指令(Instruction)，每一条指令构建一层， 因此每一条指 令的内容，就是描述该层应当如何构建。有了Dockerfile，当我们需要定制自己额外的需求时，只需在Dockerfile.上添加或者修改指令，重新生成image即可，省去了敲命令的麻烦。

除了手动生成Docker镜像之外，可以使用Dockerfile自动生成镜像。Dockerfile是由 多条的指令组成的文件，其中每条指令对应Linux中的一条命令，Docker 程序将读取Dockerfile中的指令生成指定镜像。

Dockerfile结构大致分为四个部分:基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。Dockerfile每行支持一 条指 令，每条指令可携带多个参数，支持使用以“#“号开头的注释。

#Docker镜像结构的分层
镜像不是一个单一的文件，而是有多层构成。容器其实是在镜像的最.上面加了一
层读写层，在运行容器里做的任何文件改动，都会写到这个读写层。如果删除了容器，也就删除了其最上面的读写层，文件改动也就丢失了。Docker使用存储驱动管理镜像每层内容及可读写层的容器层。

(1)Dockerfile中的每个指令都会创建一个新的镜像层:
(2)镜像层将被缓存和复用:
(3)当Dockerfile的指令修改了，复制的文件变化了，或者构建镜像时指定的变量不同了，对应的镜像层缓存就会失效:
(4)某一层的镜像缓存失效，它之后的镜像层缓存都会失效;
(5)镜像层是不可变的，如果在某一层中添加一个文件，然后在下一层中删除它，则镜像中依然会包含该文件，只是这个文件在Docker容器中不可见了。

小结：说白了就是每一条命令都会创建一个新的镜像层

dockerfile 的常用操作命令

(1) FROM 镜像
指定新镜像所基于的基础镜像，第一条指令必须为FROM指令，每创建一个镜像就需要一条FROM指令

(2) MAINTAINER名字
说明新镜像的维护人信息

(3) RUN 命令
在所基于的镜像上执行命令，并提交到新的镜像中

(4) ENTRYPOINT ["要运行的程序"，"参数1"，"参数2"]
设定容器启动时第一个运行的命令及其参数。
可以通过使用命令docker run --entrypoint 来覆盖镜像中的ENTRYPOINT指令的内容。

(5) CMD ["要运行的程序"，"参数1"， "参数2"]
上面的是exec形式， shell形式: CMD命令参数1参数2
启动容器时默认执行的命令或者脚本，Dockerfile只 能有一条CMD命令。如果指定多条命令，只执行最后一条命令。
如果在dockerrun时指定了命令或者镜像中有ENTRYPOINT,那么CDM就会被覆盖。
CMD可以为ENTRYPOINT 指令提供默认参数。

(6) EXPOSE 端口号
指定新镜像加载到Docker 时要开启的端口

(7) ENV 环境变量变量值
设置一个环境变量的值，会被后面的RUN使用

(8) ADD源文件/目录目标文件/目录
将源文件复制到镜像中，源文件要与Dockerfile 位于相同目录中，或者是一一个URL
有如下注意事项:

1、如果源路径是个文件，且目标路径是以/结尾， 则docker会把目标路径当作-一个目录，会把源文件拷贝到该目录下。如果目标路径不存在，则会自动创建目标路径。

2、如果源路径是个文件，且目标路径是不以/结尾，则docker会把目标路径当作一“个文件。
如果目标路径不存在，会以目标路径为名创建一一个文件，内容同源文件:
如果目标文件是个存在的文件，会用源文件覆盖它，当然只是内容覆盖，文件名还是目标文件名。
如果目标文件实际是个存在的目录，则会源文件拷贝到该目录下。注意， 这种情况下，最好显示的以/结尾，以避免混淆。

3、如果源路径是个目录，且目标路径不存在，则docker会自动以目标路径创建一一个目录，把源路径目录下的文件拷贝进来。
如果目标路径是个已经存在的目录，则docker 会把源路径目录下的文件拷贝到该目录下。

4、如果源文件是个归档文件(压缩文件)，则docker会自动帮解压。
URL下载和解压特性不能一起 使用。任何压缩文件通过URL拷贝，都不会自动解压。

(9) COPY源文件/目录目标文件/目录
只复制本地主机. 上的文件/目录复制到目标地点， 源文件/目录要与Dockerfile 在相同的目录中

(10) VOLUME [" 目录"]
在容器中创建一个挂载点

(11) USER用户名/UID
指定运行容器时的用户

(12) WORKDIR 路径
为后续的RUN、CMD、ENTRYPOINT 指定工作目录

(13) ONBUILD命令
指定所生成的镜像作为一个基础镜像时所要运行的命令。
当在一个Dockerfile文 件中加上ONBUILD指 令，该指令对利用该Dockerfile构建镜像 (比如为A镜像)不会产生实质性影响。
但是当编写一个新的Dockerfile文件来基于A镜像构建一一个镜像( 比如为B镜像)时，这时构造A镜像的Dockerfile文件中的ONBUILD指令就生效了，在构建B镜像的过程中，首先会执行ONBUILD指令指定的指令，然后才会执行其它指令。

(14) HEALTHCHECK
健康检查

小结：
在编写Dockerfile时，有严格的格式需要遵循:
●第一行必须使用FROM指令指明所基于的镜像名称;
●之后使用MAINTAINER指令说明维护该镜像的用户信息:
●然后是镜像操作相关指令，如RUN指令。每运行一条指令， 都会给基础镜像添加新的一层。
最后使用CMD指今指宗启动容器时要云行的命今操作

ENTRYPOINT指定容器启动时第一个执行的命令，通常是启动容器里应用的命令
docker run - -entrypoint mkdir /abc > ENTRYPOINT ["mkdir", "/123"] > CMD

ENTRYPOINT  [ "mkdir"]
CMD [ "touch"]

基础镜像信息   FROM
维护者信息   MAINTAINER
镜像操作指令  RUN
容器启动时执行指令  ENTRYPOINT CMD
ADD  abc123.txt /opt/abc

dockerfile 练习；创建一个apache

```html/xml
注意，所有操作均在/opt/apache中进行
##首先是建立工作目录
mkdir /opt/apache
cd /opt/apache
vim Dockerfile

#首先from定义基于的基础镜像
FROM centos:7

#然后MAINTAINER定义维护镜像的用户信息
MAINTAINER this is apache image <lp>

##使用run镜像操作指令安装apache软件

RUN yum -y install httpd

#使用expose暴露80端口
EXPOSE 80

复制网站首页文件

ADD index.html /var/www/html/index.html

#将执行脚本复制到镜像中

ADD run.sh /run.sh
RUN chmod 755 /run.sh

#启动容器时执行脚本
CMD ["/run.sh"]

```html/xml
下面准备执行脚本run.sh
vim run.sh

#!/bin/bash
rm -rf /run/httpd/*                              #清理httpd的缓存
exec /usr/sbin/apachectl -D FOREGROUND           #指定为前台运行

小结：因为Docker容器仅在它的1号进程(PID为1)运行时，会保持运行。如果1号进程退出了，Docker容器也就退出了。`

dockerfile 的小结

首先去opt创建apache工作目录，写dockerfile

下面用于写run脚本来清理阿帕奇缓存和前台运行

创建一个阿拉奇网页

在/opt/apache中创建镜像，运行成功即可

查看下库中是否被添加，运行这个镜像，然后doscker ps -a 来查询端口

同网段浏览器验证这个端口

docker 搭建本地私有化仓库

#首先下载registry 镜像
docker pull registry

#在daemon.json文件中添加私有镜像仓库地址
vim /etc/docker/daemon.json

｛
"insecure-registries": ["192.168.80.10:5000"],

"registry-mirrors": ["https://6ijb8ube.mirror.aliyuncs.com"]
｝

systemctl restart docker .service

#运行registry容器
docker run -itd -v /data/registry:/var/lib/registry -p 5000:5000 --restart=always --name registry registry:latest
-------------------
注释：-itd: 在容器中打开一一个伪终端进行交互操作，并在后台运行
-v: 把宿主机的/data/ registry目录绑定到容器/var/lib/registry目录(这个目录是registry容器中存放镜像文件的目录)，来实现数据的持久化;
-p:映射端口;访问宿主机的5000端口就访问到registry容器的服务了
--restart=always:这是重启的策略，在容器退出时总是重启容器
--name registry: 创建容器命名为registry
registry:latest:这个是刚才pull下来的镜像

容器的重启策略
no:默认策略，在容器退出时不重启容器
on-failure:在容器非正常退出时(退出状态非0)，才会重启容器
on-failure:3 :在容器非正常退出时重启容器，最多重启3次
always:在容器退出时总是重启容器
unless-stopped:在容器退出时总是重启容器，但是不考虑在Docker守护进程启动时就已经停止了的容器

#为镜像打标签
docker tag centos:7 192.168.80.10: 5000/centos:v1

#上传到私有仓库
docker push 192. 168.80.10: 5000/centos:v1

#列出私有仓库的所有镜像
curl http://192.168.80.10:5000/v2/ catalog

#出私有仓库的centos 镜像有哪些tag
curl http://192.168.80.10: 5000/v2/centos/tags/list

#先删除原有的centos 的镜像，再测试私有仓库下载
docker rmi -f 8652b9f0cb4c
docker pull 192.168. 80.10: 5000/centos:v1

首先是去下载registry

在daemon.json文件中添加私有镜像仓库地址（我的ip地址），然后重启docker


运行registry

然后就是给镜像打标签与上传

最后就是使用curl指令查看私有仓库里的镜像