docker 镜像分层原理

Posted 2023-05-01

参考技术A

参考链接： https://blog.csdn.net/runner668/article/details/80955381

Docker 支持通过扩展现有镜像，创建新的镜像。

实际上，Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。比如我们现在构建一个新的镜像，Dockerfile 如下：

构建过程如下图所示

可以看到，新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件，就在现有镜像的基础上增加一层。

问什么 Docker 镜像要采用这种分层结构呢？

最大的一个好处就是 - 共享资源。

比如：有多个镜像都从相同的 base 镜像构建而来，那么 Docker Host 只需在磁盘上保存一份 base 镜像；同时内存中也只需加载一份 base 镜像，就可以为所有容器服务了。而且镜像的每一层都可以被共享，我们将在后面更深入地讨论这个特性。

这时可能就有人会问了：如果多个容器共享一份基础镜像，当某个容器修改了基础镜像的内容，比如 /etc 下的文件，这时其他容器的 /etc 是否也会被修改？

答案是不会！
修改会被限制在单个容器内。
这就是我们接下来要说的容器 Copy-on-Write 特性。

新数据会直接存放在最上面的容器层。修改现有数据会先从镜像层将数据复制到容器层，修改后的数据直接保存在容器层中，镜像层保持不变。
如果多个层中有命名相同的文件，用户只能看到最上面那层中的文件。

当容器启动时，一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。

典型的Linux在启动后，首先将 rootfs 置为 readonly, 进行一系列检查, 然后将其切换为 “readwrite” 供用户使用。在docker中，起初也是将 rootfs 以readonly方式加载并检查，然而接下来利用 union mount 的将一个 readwrite 文件系统挂载在 readonly 的rootfs之上，并且允许再次将下层的 file system设定为readonly 并且向上叠加, 这样一组readonly和一个writeable的结构构成一个container的运行目录, 每一个被称作一个Layer。如下图所示。

所有对容器的改动，无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的，容器层下面的所有镜像层都是只读的。

下面我们深入讨论容器层的细节。

镜像层数量可能会很多，所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件，比如 /a，上层的 /a 会覆盖下层的 /a，也就是说用户只能访问到上层中的文件 /a。在容器层中，用户看到的是一个叠加之后的文件系统。

这样就解释了我们前面提出的问题：容器层记录对镜像的修改，所有镜像层都是只读的，不会被容器修改，所以镜像可以被多个容器共享。

docker学习：docker镜像分层原理及本地镜像推送到阿里云或私服

前言

大家好，这是我学习docker系列的笔记文章，目标是掌握docker,为后续学习K8s做准备。本文记录了docker镜像分层加载的原理，及如何把本地镜像推送到阿里云服务器或者本地私服 ，感兴趣的朋友可以看一下以前的文章。 前文回顾： docker入门（一）：在centOS虚拟机上安装docker docker入门（二）：docker的常用命令

docker镜像分层加载原理

Docker 镜像的基础是UnionFS(联合文件系统) ，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录，但从外面看起来，只能看到一个文件系统 。docker的镜像实际上由一层一层的文件系统组成，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。这里的UnionFS包含bootfs和rootfs两种。

• bootfs(boot file system)主要包含bootloader和kernel, bootloader主要是引导加载kernel, Linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs。
• rootfs (root file system) ，在bootfs之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu，Centos等等。

问：平时我们安装进虚拟机的CentOS都是好几个G，为什么docker这里才200M？？ 答： docker可以看作是一个精简的OS，rootfs可以很小，只需要包括最基本的命令、工具和程序库就可以了，因为底层直接用Host的kernel（bootfs基本是一致的）， 自己只需要提供 rootfs 就行了。

docker镜像commit操作产生新镜像

Docker镜像层都是只读的，容器层是可写的 当容器启动时，一个新的可写层被加载到镜像的顶部。 这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的，容器层下面的所有镜像层都是只读的。

尚硅谷讲解案例：可以从dockerhub下载一个ubuntu镜像，默认的是没有vim编辑器，通过镜像运行ubuntu容器后装一个vim，然后commit生成新镜像，比较新镜像是不是比刚下载的ubuntu大了很多。

#docker容器内执行以下两条命令安装vim：
apt-get update
apt-get -y install vim
#·安装完成后，commit我们自己的新镜像
docker commit -m="add vim cmd" -a=authoryu 容器ID  myutuntu:1.1

小总结： Docker中的镜像分层，支持通过扩展现有镜像，创建新的镜像。类似Java继承于一个Base基础类，自己再按需扩展。新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件，就在现有镜像的基础上增加一层。

本地镜像发布到阿里云

阿里云开发者平台地址： https://promotion.aliyun.com/ntms/act/kubernetes.html

1. 新建一个镜像仓库，因个人版是免费的，可以注册体验一下，通过首页的镜像搜索按钮可以直达镜像服务，在镜像列表中新建，如下图：
2. 进入管理界面获得脚本
3. 推送镜像脚本实例

#注释：yuqingbuy是命名空间，cea1bb40441c是镜像id
docker login --username=yuqingbuy registry.cn-hangzhou.aliyuncs.com
docker tag cea1bb40441c registry.cn-hangzhou.aliyuncs.com/atguiguwh/myubuntu:1.1
docker push registry.cn-hangzhou.aliyuncs.com/atguiguwh/myubuntu:1.1

4. 下载镜像命令 docker pull registry.cn-hangzhou.aliyuncs.com/atguiguwh/myubuntu:1.1

将本地镜像推送到私有库

Docker Registry是官方提供的工具，可以用于构建私有镜像仓库。 镜像名称常用命名规则：远端仓库地址urI/分类仓库名字/镜像名字:标签名字 示例： harbor.test.com/test/nginx:v1

1. 下载镜像Docker Registry

docker pull registry 

2. 运行私有库Registry，相当于本地有个私有Docker hub

docker run -d -p 5000:5000  -v /zzyyuse/myregistry/:/tmp/registry --privileged=true registry
#registry它的默认端口是5000；2、--restart=always的含义是容器出现故障时默认无限次的尝试重启
#默认情况，仓库被创建在容器的/var/lib/registry目录下，建议自行用容器卷映射，方便于宿主机联调，实用容器卷加--privileged=true参数

启动后，直接访问IP:5000端口，访问不到任何内容,需要在后面加上/v2/_catalog

3. curl验证私服库上有什么镜像

也可以直接在浏览器访问，可以看到，目前私服库没有任何镜像上传过。。。。。。

4. 将新镜像修改成符合私服规范的Tag

按照公式： docker tag 镜像:Tag Host:Port/Repository:Tag 自己host主机IP地址，填写同学你们自己的，不要粘贴错误，O(∩_∩)O

比如将yyubuntu:1.2 这个镜像修改为192.168.111.162:5000/yyubuntu:1.2

5. 修改配置文件使之支持http

为什么要改配置文件？ <font color=red>docker默认不允许http方式推送镜像，通过配置选项来取消这个限制。====> 修改完后如果不生效，建议重启docker</font> registry-mirrors 配置的是国内阿里提供的镜像加速地址，不用加速的话访问官网的会很慢。 2个配置中间有个逗号 ,别漏了，这个配置是json格式的。 7. push推送到私服库

此时通过curl再次验证本地服务器已经有了镜像，且能正常启动容器了，本小节先分享到这里，动手试试？