Docker 详解（三）：Docker 镜像管理基础

1.镜像的概念

镜像可以理解为应用程序的集装箱，而 Docker 用来装卸集装箱。

Docker 镜像含有启动容器所需要的文件系统及其内容，因此，其用于创建并启动容器。

Docker 镜像采用分层构建机制，最底层为 bootfs，其上为 rootfs。

bootfs：用于系统引导的文件系统，包括 bootloader 和 kernel，容器启动完成后会被卸载以节约内存资源。
rootfs：位于 bootfs 之上，表现为 Docker 容器的根文件系统。
- 传统模式中，系统启动之时，内核挂载 rootfs 会首先将其挂载为只读模式，完整性自检完成后将其重新挂载为读写模式。
- Docker中，rootfs 由内核挂载为只读模式，而后通过 联合挂载 技术额外挂载一个 可写层。

注意：当删除容器时，这个容器自有的 可写层 会一起被删除。

2.Docker 镜像层

在这里插入图片描述
位于下层的镜像称为 父镜像（parent image），最底层的称为 基础镜像（base image）；最上层为 可读写层，其下的均为 只读层。

3.Docker 存储驱动

Docker 提供了多种存储驱动来实现不同的方式存储镜像，下面是常用的几种存储驱动：

AUFS
OverlayFS
Devicemapper
Btrfs
VFS

3.1 AUFS

AUFS（AnotherUnionFS）是一种 Union FS，是文件级的存储驱动。AUFS 是一个能透明覆盖一个或多个现有文件系统的层状文件系统，把多层合并成文件系统的单层表示。简单来说就是支持将不同目录挂载到同一个虚拟文件系统下的文件系统。这种文件系统可以一层一层地叠加修改文件。无论底下有多少层都是只读的，只有最上层的文件系统是可写的。当需要修改一个文件时，AUFS 创建该文件的一个副本，使用 CoW 将文件从只读层复制到可写层进行修改，结果也保存在可写层。在 Docker 中，底下的只读层就是 Image，可写层就是 Container。

3.2 OverlayFS

Overlay 是 Linux 内核 $3.18$ 后支持的，也是一种 Union FS，和 AUFS 的多层不同的是 Overlay 只有两层：一个 upper 文件系统和一个 lower 文件系统，分别代表 Docker 的镜像层和容器层。当需要修改一个文件时，使用 CoW 将文件从只读的 lower 复制到可写的 upper 进行修改，结果也保存在 upper 层。在 Docker 中，底下的只读层就是 Image，可写层就是 Container。目前最新的 OverlayFS 为 Overlay2。

3.3 DeviceMapper

Device Mapper 是 Linux 内核 $2.6.9$ 后支持的，提供的一种从逻辑设备到物理设备的映射框架机制，在该机制下，用户可以很方便的根据自己的需要制定实现存储资源的管理策略。AUFS 和 OverlayFS 都是文件级存储，而 Device Mapper 是块级存储，所有的操作都是直接对块进行操作，而不是文件。Device Mapper 驱动会先在块设备上创建一个资源池，然后在资源池上创建一个带有文件系统的基本设备，所有镜像都是这个基本设备的快照，而容器则是镜像的快照。所以在容器里看到文件系统是资源池上基本设备的文件系统的快照，并没有为容器分配空间。当要写入一个新文件时，在容器的镜像内为其分配新的块并写入数据，这个叫 用时分配。当要修改已有文件时，再使用 CoW 为容器快照分配块空间，将要修改的数据复制到在容器快照中新的块里再进行修改。

4.Docker Registry

启动容器时，Docker daemon 会试图从本地获取相关的镜像，本地镜像不存在时，其将从 Registry 中下载该镜像并保存到本地。

Registry 用于保存 Docker 镜像，包括镜像的层次结构和元数据。用户可以自建 Registry，亦可使用官方的 Docker Hub。

Docker Registry 的分类：

Sponsor Registry：第三方的 Registry，供客户和 Docker 社区使用。
Mirror Registry：第三方的 Registry，只让客户使用。
Vendor Registry：由发布 Docker 镜像的供应商提供的 Registry。
Private Registry：通过设有防火墙和额外的安全层的私有实体提供的 Registry。

Docker Registry 的组成：

Repository
- 由某特定的 Docker 镜像的所有迭代版本组成的镜像仓库。
- 一个 Registry 中可以存在多个 Repository。
- Repository 可分为 顶层仓库 和 用户仓库。
- 用户仓库名称格式为 “用户名/仓库名”。
- 每个仓库可包含多个 Tag（标签），每个标签对应一个镜像。
Index
- 维护用户帐户、镜像的检验以及公共命名空间的信息。
- 相当于为 Registry 提供了一个完成用户认证等功能的检索接口。

Docker Registry 中的镜像通常由开发人员制作，而后推送至公共或私有 Registry上保存，供其他人员使用，例如部署到生产环境。

在这里插入图片描述

5.Docker 镜像的制作

多数情况下，我们做镜像是基于别人已存在的某个基础镜像来实现的，我们把它称为 Base Image。比如一个纯净版的最小化的 centos、ubuntu 或 debian。

镜像的生成途径：

Dockerfile
基于容器制作
Docker Hub automated builds

在这里插入图片描述

5.1 基于容器制作镜像

Create a new image from container’s changes

Usage：（通过一个容器来新建一个镜像）

docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]

Options	Default	Description
-a（--author）	-	Author (e.g., “John Hannibal Smith hannibal@a-team.com”)
-c（--change list）	-	Apply Dockerfile instruction to the created image
-m（--message string）	-	Commit message
-p（--pause）	true	Pause container during commit

下载 busybox 镜像（使用 docker pull 命令）。

[root@wang ~]# docker pull busybox
[root@wang ~]# docker images 
REPOSITORY   TAG       IMAGE ID       CREATED       SIZE
busybox      latest    b97242f89c8a   6 weeks ago   1.23MB
httpd        latest    683a7aad17d3   6 weeks ago   138MB

在镜像 busybox 中 创建并运行 一个叫 tests 的容器，并使用交互模式进行编辑。

--name：为容器指定一个名称。
-i：以交互模式运行容器，通常于 -t 一起使用。
-t：为容器重新分配一个伪输入终端，通常于 -i 一起使用。

[root@wang ~]# docker run --name tests -it busybox
/ # ls
bin etc proc sys usr
dev home root tmp var
/ # mkdir /data
/ # echo 'hello world' > /data/index.html
/ # cat data/index.html
hello world

在创建镜像时，我们不能关闭容器，必须使其处于运行状态，所以我们必须要 另起一个终端，然后执行。

docker commit -p ${boolean} ${id|name}。-p 表示在 commit 时，将容器暂停，默认为 true。

[root@wang ~]# docker commit -p tests
sha256:cf9069c773f714266dceb1a676d2149c0eb3486210b16098064a7e47d144e93d
[root@wang ~]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED          SIZE
<none>       <none>    cf9069c773f7   12 seconds ago   1.23MB
busybox      latest    b97242f89c8a   6 weeks ago      1.23MB
httpd        latest    683a7aad17d3   6 weeks ago      138MB

更改镜像容器名称，镜像有名称时为复制，没名称时为剪切。

[root@wang ~]# docker tag cf9069c773f7 web:v0.1
[root@wang ~]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED         SIZE
web          v0.1      cf9069c773f7   2 minutes ago   1.23MB
busybox      latest    b97242f89c8a   6 weeks ago     1.23MB
httpd        latest    683a7aad17d3   6 weeks ago     138MB

[root@wang ~]# docker tag web:v0.1 wangming111/web:v0.2
[root@wang ~]# docker images
REPOSITORY        TAG       IMAGE ID       CREATED         SIZE
web               v0.1      cf9069c773f7   5 minutes ago   1.23MB
wangming111/web   v0.2      cf9069c773f7   5 minutes ago   1.23MB
busybox           latest    b97242f89c8a   6 weeks ago     1.23MB
httpd             latest    683a7aad17d3   6 weeks ago     138MB

登入 Docker Hub 账号

[root@wang ~]# docker login
Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username: wangming111
Password:
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
 
Login Succeeded
 
[root@wang ~]# docker push wangming111/web:v0.2
The push refers to repository [docker.io/wangming123/web]
def2306acc5a: Retrying in 1 second
0064d0478d00: Preparing
denied: requested access to the resource is denied

上传镜像

[root@wang ~]# docker push wangming111/web:v0.2
The push refers to repository [docker.io/wangming111/web]
def2306acc5a: Pushed
0064d0478d00: Pushed
v0.2: digest: sha256:ce8bd8180ce19ff284885d996201f7f923232f23ff2de936e90e432aa40bfe80 size: 734

删除镜像

[root@wang ~]# docker rmi wangming111/web:v0.2
Untagged: wangming111/web:v0.2
Untagged: wangming111/web@sha256:ce8bd8180ce19ff284885d996201f7f923232f23ff2de936e90e432aa40bfe80 
[root@wang ~]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED          SIZE
web          v0.1      cf9069c773f7   38 minutes ago   1.23MB
busybox      latest    b97242f89c8a   6 weeks ago      1.23MB
httpd        latest    683a7aad17d3   6 weeks ago      138MB

下载镜像

[root@wang ~]# docker pull wangming111/web:v0.2
v0.2: Pulling from wangming111/web
Digest: sha256:ce8bd8180ce19ff284885d996201f7f923232f23ff2de936e90e432aa40bfe80
Status: Downloaded newer image for wangming111/web:v0.2
docker.io/wangming111/web:v0.2
[root@wang ~]# docker images
REPOSITORY        TAG       IMAGE ID       CREATED          SIZE
web               v0.1      cf9069c773f7   39 minutes ago   1.23MB
wangming111/web   v0.2      cf9069c773f7   39 minutes ago   1.23MB
busybox           latest    b97242f89c8a   6 weeks ago      1.23MB
httpd             latest    683a7aad17d3   6 weeks ago      138MB

查看下载镜像的内容是否一致

[root@wang ~]# docker run -it wangming111/web:v0.2
/ # ls
bin   dev   home  root  tmp   var
data  etc   proc  sys   usr
/ # cat data/index.html
hello world
/ #

创建 httpd 镜像，并设置为默认进程，-a 作者信息，-c 修改默认启动命令，/bin/httpd 为启动进程，-f 是不让它在后台运行，-h 指定目录。

docker run -it --rm 命令可以轻松快速地启动和停止容器。由于容器是轻量级的，启动速度非常快，可以在几秒钟内启动一个新的容器。而当容器不再使用时，rm 参数也能够快速地清除该容器，避免垃圾堆积（当用户退出终端时，容器会被立即删除）。
docker ps 用于查看 Docker 服务器中容器状态（运行 / 暂停 / 停止）。

[root@wang ~]# docker run -it --rm httpd
[root@wang ~]# docker commit -a 'wangming111.com' -c 'CMD ["/bin/httpd","-f","-h","/data"]' -p 8e5929feae8d wangming111/web:v0.3
sha256:e102ed55833191216045bd6425c9e7981eb361443a883af4e65b8e9fc29c41e2
[root@wang ~]# docker images
REPOSITORY        TAG       IMAGE ID       CREATED             SIZE
wangming111/web   v0.3      e102ed558331   23 seconds ago      1.23MB
web               v0.1      cf9069c773f7   About an hour ago   1.23MB
wangming111/web   v0.2      cf9069c773f7   About an hour ago   1.23MB
busybox           latest    b97242f89c8a   6 weeks ago         1.23MB
httpd             latest    683a7aad17d3   6 weeks ago         138MB
[root@wang ~]# docker push wangming111/web:v0.3
The push refers to repository [docker.io/wangming111/web]
877b56cdb8c4: Pushed
def2306acc5a: Layer already exists
0064d0478d00: Layer already exists
v0.3: digest: sha256:37a806e1b51abe84477a525dbfe4cb7f702fcbb16bcb103dbdf1ed57cfcf14e8 size: 941
[root@wang ~]# docker run -it --rm wangming111/web:v0.3
[root@wang ~]# docker ps
CONTAINER ID   IMAGE                  COMMAND                  CREATED         STATUS         PORTS     NAMES
08dda626edb1   wangming111/web:v0.3   "/bin/httpd -f -h /d…"   3 minutes ago   Up 3 minutes             stoic_elion

5.2 镜像的导入与导出

假如有 $2$ 台主机，我们在主机 $1$ 上做了一个镜像，主机 $2$ 想用这个镜像怎么办呢？

我们可以在主机 $1$ 上 push 镜像到镜像仓库中，然后在主机 $2$ 上 pull 把镜像拉下来使用，这种方式就显得比较麻烦，假如我只是测试用的，在一台主机上做好镜像后在另一台主机上跑一下就行了，没必要推到仓库上然后又把它拉到本地来。

此时我们可以在已有镜像的基础上把镜像打包成一个压缩文件，然后拷贝到另一台主机上将其导入，这就是镜像的导入和导出功能。

镜像导出

[root@wang ~]# docker save -o web.tar.gz wangming111/web
[root@wang ~]# ls
anaconda-ks.cfg  web.tar.gz

镜像导入

[root@wang ~]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED       SIZE
web          v0.1      cf9069c773f7   3 hours ago   1.23MB
busybox      latest    b97242f89c8a   6 weeks ago   1.23MB
httpd        latest    683a7aad17d3   6 weeks ago   138MB
[root@wang ~]# docker load -i web.tar.gz
Loaded image: wangming111/web:v0.3
Loaded image: wangming111/web:v0.2
[root@wang ~]# docker images
REPOSITORY        TAG       IMAGE ID       CREATED             SIZE
wangming111/web   v0.3      e102ed558331   About an hour ago   1.23MB
web               v0.1      cf9069c773f7   3 hours ago         1.23MB
wangming111/web   v0.2      cf9069c773f7   3 hours ago         1.23MB
busybox           latest    b97242f89c8a   6 weeks ago         1.23MB
httpd             latest    683a7aad17d3   6 weeks ago         138MB