农林科技公司网站模板,建设部网站城市规划资质标准,安徽国贸网站建设,网站为什么维护中作者 | 飞向星的客机来源 | CSDN博客#x1f31f; 前言Docker 镜像是 Docker 容器的基石#xff0c;容器是镜像的运行实例#xff0c;有了镜像才能启动容器。Docker 镜像是一个只读的模板#xff0c;一个独立的文件系统#xff0c;包括运行一个容器所需的数据#xff0c;… 作者 | 飞向星的客机来源 | CSDN博客 前言Docker 镜像是 Docker 容器的基石容器是镜像的运行实例有了镜像才能启动容器。Docker 镜像是一个只读的模板一个独立的文件系统包括运行一个容器所需的数据可以用来创建容器。base镜像base(基础) 镜像是指完全从零开始构建的镜像 它不会依赖其他镜像甚至会成为被依赖的镜像其他镜像以它为基础进行扩展。通常 base 镜像都是 Linux 的系统镜像 如 Ubuntu、CentOS、Debian 等。下面通过 Docker 拉取一个 base 镜像并查看 这里以 CentOS 为例 示例代码如下从以上示例中可以看出一个 CentOS 镜像大小只有 202MB但在安装系统时一个 CentOS 大概有几 GB这与操作系统有关。先观察 Linux 原本的操作系统结构如图所示Kernel 是内核空间。bootfs 文件系统在 Linux 启动时加载。rootfs 是包含操作命令的文件系统。base 镜像的创建过程中Kernel、 bootfs 与 rootfs 都会加载然后 bootfs 文件系统 (包括 Kernel) 被卸载掉镜像只保留 rootfs 文件系统供用户进行操作。bootfs 与 Kernel 将与宿主机共享。另外为了增加 Docker 的灵活性base 镜像提供的都是最小安装的 Linux 系统。Linux 系统不同的发行版之间最大的区别就是 rootfs 的不同例如Ubuntu 系统的应用程序管理器是 apt而 CentOS 是 yum。由此可见只要提供不同的 rootfs 文件系统就可以同时支持多种操作系统如图所示从上图中可以看到两个不同的 Linux 发行版提供了各自的 rootfs 文件系统而它们共用的是底层宿主机的 Kernel。假设宿主机的系统是 Ubuntu 16.04Kernel 版本是 4.4.0无论 base 镜像原本的发行版 Kernel 版本如何在这台宿主机上都是 4.4.0。下面通过示例来验证示例代码如下从上述示例中可以看出base 镜像与宿主机的 Kernel 版本都是 3.10。base 镜像的 Kernel 是与宿主机共享的其版本与宿主机一致并且不能进行修改。镜像的本质Docker 镜像是一个只读的文件系统由一层一层的文件系统组成每一层仅镜像的本质包含前一层的差异部分这种层级文件系统被称为 UnionFS。大多数 Docker 镜像都在 base 镜像的基础上进行创建每进行一次新的创建就会在镜像上构建一个新的 UnionFS。查看 ubuntu:15.04 镜像的层级结构示例代码如下通常对 Docker 的操作命令都是以 “docker” 开头。pull 是下载镜像的命令在英文中是 “拉” 的意思所以下载镜像又叫作 拉取镜像。以上示例中第 5 行到第 8 行是每一层 UnionFS 的 ID 号第 9 行是整个镜像的 ID 号这个 ID 号可以用来操控镜像。然后查看镜像示例代码如下在以上示例中不仅可以看到先前下载的 Ubuntu15.04 镜像还可以看到其他镜像说明 docker images 是查看本地所有镜像的命令。而查看到的信息中除了镜像名称还有版本号、镜像 ID 号、创建时间以及镜像大小。接着通过命令查看镜像的构建过程示例代码如下这里使用 “history” 与镜像 ID 号组合的命令查看镜像构建过程所显示的信息包括镜像 ID 号、创建时间、由什么命令创建以及镜像大小。从以上示例中的信息可以看出ubuntu:15.04 镜像由四个只读层 (Read Layer) 构建而成每一层都是由一条命令构成的最终得到 ID 号为 dlb55fd07600 的镜像但以用户的视角只能看到最上层。当用户将这个镜像放在容器中运行时四层之上会创建出一个可读可写层Read-Write Layer)用户对 Docker 的操作都通过可读可写层进行。如果用户修改了一个已存在的文件那该文件将会从可读可写层下的只读层复制到可读可写层该文件的只读版本仍然存在只是已经被可读可写层中该文件的副本所隐藏。可读可写层又叫作容器层只读层又叫作镜像层容器层之下均为镜像层层级结构如图所示镜像的这种分层机制最大的一个好处就是共享资源。例如有很多个镜像都基于一个基础镜像构建而来那么在本地的仓库中就只需要保存一份基础镜像所有需要此基础镜像的容器都可以共享它而且镜像的每一层都可以被共享从而节省磁盘空间。因为有了分层机制本地保存的基础镜像都是只读的文件系统不用担心对容器的操作会对镜像有什么影响。为了将零星的数据整合起来人们提出了镜像层 (Image Layer) 这个概念如图所示下图所示为一个镜像层我们能够发现一个层并不仅仅包含文件系统的改变它还能包含其他重要的信息。元数据 (Metadata) 就是关于这个层的额外信息包括 Docker 运行时的信息与父镜像层的信息并且只读层与可读可写层都包含元数据如图所示除此之外每一层还有一个指向父镜像层的指针。如果没有这个指针说明它处于最底层是一个基础镜像如图所示查找本地镜像Docker 本地镜像通常是储存在服务器上的下面验证本地镜像的储存路径示例代码如下从以上示例中可以看到Docker 本地镜像储存路径是 /var/Iib/Docker。在本地查看镜像时通常使用 docker images 命令示例代码如下从以上示例中可以看到结果显示中有多项镜像信息下面对信息进行解释。 REPOSITORY镜像仓库即一些关联镜像的集合。例如Ubuntu 的每个镜像对应着不同的版本。与 Docker Registry 不同镜像仓库提供 Docker 镜像的存储服务。即 Docker Registry 中有很多镜像仓库镜像仓库中有很多镜像 (相互独立)。 TAG镜像的标签常用来区分不同的版本默认标签为 latest。 IMAGE ID镜像的ID号镜像的唯一标识常用于操作镜像 (默认值只列出前 12 位)。 CREATED镜像创建的时间。 SIZE镜像的大小。 参数用法在 docker images 命令后加上不同的参数就形成了不同的查询方式导致不同的查询结果。下面介绍各参数的含义以及用法。-a表示显示所有本地镜像默认不显示中间层镜像这是工作中经常使用到的参数用来从本地镜像中寻找符合生产条件的镜像。示例代码如下-q表示只显示本地所有镜像 ID 号。示例代码如下-no-trunc表示使用不截断的模式显示并显示完整的镜像 ID 号。示例代码如下构建镜像Docker 的官方镜像库 Docker Hub 发布了成千上万的公共镜像供全球用户使用。用户可以直接拉取(下载所需要的镜像提高了工作效率。但是在很多工作环境中一旦对镜像有特殊需求就需要我们手动去构建镜像。本文章将会介绍基于 docker commit 命令与 Dockerfile 两种方式来构建自己的 Docker 镜像。 使用 docker commit 命令构建镜像使用 docker commit 命令将容器的可读可写层转换为一个只读层这样就把一个容器转换成了一个不可变的镜像如图所示下面我们给一个 Centos 的镜像安装一个 Vim 服务设置开机启动并将其构建成一个新的镜像以免每次启动容器都要再次安装 Vim。首先启动一个 Centos 的容器示例代码如下从以上示例中可以看到容器启动之后主机名发生了改变说明用户直接进入了容器再进行操作就是对容器的操作。然后在容器中安装 Vim示例代码如下安装完成之后退出容器示例代码如下使用 exit 命令退出容器之后 该容器将默认关闭。下面使用 docker commit 命令在 CentOS 镜像的基础上创建新的镜像示例代码如下在命令中需要用镜像 ID 号来指定基础镜像并不需要将 ID 号都输入进去只要输入几个字符使 ID 号与其他镜像不冲突即可。此时可以看到刚刚构建的新镜像代码如下从以上示例中可以看到 新镜像的大小是 326MB而此前的 CentOS 镜像只有 202MB 这是因为在安装 Vim 时还安装了许多依赖包。然后 查看镜像中是否已经自动安装了 Vim 示例代码如下从以上示例中可以看到新镜像已经包含了 Vim。这种构建新镜像的方式在工作中并不常见原因如下。1效率低下如果要给 Ubuntu 镜像也添加一个Vim需要将上述全部过程重复一遍。2不透明用户使用时不知道镜像是如何构建的难以对镜像做出正确的判断。 使用 Dockerfile 构建镜像镜像可以基于 Dockerfile 构建。Dockerfile 是一个描述文件包含若干条命令每条命令都会为基础文件系统创建新的层次结构这正好弥补了 docker commit 构建镜像效率低下的缺点。Dockerfile 定义容器内部环境中发生的事情。网络接口和磁盘驱动器等资源的访问在此环境内虚拟化与系统的其余部分隔离。Dockerfile 主要使用 docker build 命令根据 Dockerfile 文件中的指令执行若干次 docker commit 命令构建镜像每次执行 docker commit 命令时都会生成一个新的层因此许多新的层会被创建如图所示 Dockerfile常用命令下面介绍 Dockerfile 中常用的命令,完整说明见官方文档。FROM指定源镜像,必须是已经存在的镜像,必须是Dockerfile中第一条非注释的命令,因为其后的所有指令都使用该镜像。MAINTAINER指定作者信息。RUN在当前容器中运行指定的命令。EXPOSE指定运行容器时要使用的端口。可以使用多个EXPOSE命令。CMD指定容器启动时运行的命令Dockerfile 可以出现多个 CMD 指令但只有最后一个生效。CMD 可以被启动容器时添加的命令覆盖。ENTRYPOINTCMD 或容器启动时添加的命令会被当做参数传递给 ENTRYPOINT。COPY文件或目录复制到当前容器中。ADD将文件或者目录复制到当前容器中源文件如果是归档(压缩)文件则会被自动解压到目标位置。VOLUME为容器添加容器卷可以存在于一个或多个目录用来提供共享存储。该命令会在容器数据卷部分详细介绍。WORKDIR在容器内设置工作目录。ENV设置环境变量。USER指定容器以什么用户身份运行默认是 root。 运行一个Dockerfile下面演示使用 Docker file 创建 centos/vim示例代码如下这里在宿主机的 root 目录下创建了一个 Dockerfile 文件。接着向 Docker file 文件中添加内容 示例代码如下添加完成之后保存并退出。有了 Dockerfile 文件之后即可创建新的镜像示例代码如下通过 docker build 命令执行 Dockerfile 文件-t 用来指定新镜像名为 centos/vim-Dockerfile命令行末尾的 . 表示 Dockerfile 文件在当前目录Docker 默认从指定的目录寻找 Dockerfile 文件也可以使用 -f 参数指定 Dockerfile 文件的位置。构建完成之后查看镜像是否构建成功示例代码如下从以上示例中可以看到新镜像已经构建成功。使用 Dockerfile 构建镜像基本可以分为以下五步。(1) 选择一个基础镜像,运行一个临时容器。(2) 执行一条命令对容器做修改。(3) 执行类似 docker commit 的操作生成一个新的镜像。(4) 删除临时容器再基于刚刚构建好的新镜像运行一个临时容器。(5) 重复 (2) (3) (4) 步直到执行完 Dockerfile 中的所有指令。centos/vim-Dockerfile 由 CentOS 基础镜像和 RUN yum -y install vim 构成现在两个镜像都包含了 ID 号为 lel148e4cc2c 的只读层如图所示以上结论可以使用 docker history 命令验证docker history 命令专门用来查看镜像的结构示例代码如下这里可以看到 CentOS 镜像中确实包含了 ID 号为 1e1148e4cc2c 的只读层。接着再查看新镜像 centos/vim-Dockerfile 的结构示例代码如下从以上示例中可以看到两个镜像都含有一个相同的只读层并且这个只读层是共享的。Docker 构建镜像时有缓存机制如果构建镜像层时该镜像层已经存在就直接使用无须重新构建。下面为先前的 Dockerfile 文件添加一点内容安装一个 ntp 服务重新构建一个新的镜像示例代码如下这里多加了一条安装 ntp 服务的命令。添加完成后开始创建镜像示例代码如下在示例的第 6 行代码中可以看到Docker 没有重新安装 Vim而是直接使用了先前安装过的缓存。Dockerfile 文件是从上至下依次执行的上层依赖于下层。无论什么时候只要某一层发生变化其上面所有层的缓存都会失效。改变先前的 Dockerfile 文件中两条 RUN 命令的上下顺序观察 Docker 还会不会使用缓存机制示例代码如下:将 Dockerfile 中两条 RUN 命令的顺序互换之后开始创建镜像示例代码如下由以上验证可知将两条 RUN 命令交换顺序导致镜像层次发生改变Docker 会重建镜像层。由此可见 Docker 的镜像层级结构特性只有下面的层次内容、顺序完全一致才会使用缓存机制。如果在构建镜像时不想使用缓存可以在 docker build 命令中添加 --no-cache 参数否则默认使用缓存。除了在使用 Dockerfile 构建镜像时有缓存机制在从仓库拉取镜像时也会有缓存机制即已经拉取到本地的镜像层可以被多个镜像共同使用可以说是一次拉取多次使用前提是下层镜像完全相同。通常使用 Dockerfile 构建镜像时如果由于某些原因镜像构建失败我们能够得到前一个指令成功执行构建出的镜像继而可以运行这个镜像查找指令失败的原因这对调试 Dockerfile 有极大的帮助。从 Docker Hub 拉取的 CentOS 镜像是最小化的其中没有 vim 命令。下面测试错误构建 Docker 镜像的结果,示例代码如下将 Dockerfile 中任意一条 RUN 命令改为错误的再开始创建镜像示例代码如下在示例中由于第三步报错镜像没有创建成功。但也生成了一个新镜像这个镜像是第二步操作构建的通常可以通过这个新镜像排查错误示例代码如下Docker 容器技术中编写 Dockerfile 文件是非常重要的部分下面总结编写 Dockerfile 文件的一些小技巧相信可以帮助大家更好地使用 Docker 与 Dockerfile。1容器中只运行单个应用。从技术角度讲在一个容器中可以实现整个 LNMP (LinuxNginxMySQLPHP) 架构。但这样做有很大的弊端。首先镜像构建的时间会非常长每次修改都要重新构建其次镜像文件会非常大,大大降低容器的灵活性。2将多个 RUN 指令合并成一个。众所周知Docker 镜像是分层的Dockerfile 中的每一条指令都会创建一个新的镜像层镜像层是只读的。Docker镜像层类似于洋葱想要更改内层需要将外层全部撕掉。3基础镜像的标签尽量不要使用 latest。当镜像的标签没有指定时默认使用 latest 标签。当镜像更新时latest 标签会指向不同的镜像可能会对服务产生影响。4执行 RUN 命令后删除多余文件。假设执行了更新 yum 源的命令会自动下载解压一些软件包但是在运行容器的时候不需要这些包。最好将它们删除因为这些软件包会使镜像 SIZE 变大。5合理调整 COPY 与 RUN 的顺序。将变化少的部分放在 Dockerfile 文件的前面充分利用镜像缓存机制。6选择合适的基础镜像。最好选择满足环境需要而且体积小巧的镜像比如 Alpine 版本的 node 镜像。Alpine 是一个极小化的 Linux 发行版只有 5.5MB非常适合作为基础镜像。Docker Hub docker search 命令Docker Hub 上有许多镜像 但并不都是 Docker 官方人员制作的 一些镜像是由 Docker 用户上传并维护的。工作中可以通过 docker search 命令从镜像仓库中查找所需要的镜像。示例代码如下以上示例中查找的是与 CentOS 有关的镜像Docker Hub 中有关 CentOS 的镜像远不止这些这里显示的只是其中一部分。下面对镜像的每项信息进行讲解。NDEX镜像索引这里代表镜像仓库。NAME镜像名称。DESCRIPTION关于镜像的描述使用户可以有方向性地选择镜像。STARS镜像的星标数反映 Docker 用户对镜像的收藏情况值越高代表使用的用户越多。OFFICIAL有此标记的都是 Docker 官方维护的镜像没有此标记的通常是用户上传的镜像。AUTOMATED用来区分是否为自动化构建的镜像有此标记的为自动化构建的镜像否则不是。 docker search 参数运用给 docker search 命令添加不同的参数就会得到不同的查询结果下面对各参数进行解释。--automated表示只列出自动化构建的镜像示例代码如下--no-trunc表示显示完整的镜像描述示例代码如下-s表示列出星标数不小于指定值的镜像需要在参数后添加指定值示例代码如下 镜像推送用户向 Docker Hub 推送镜像需要有一个 Docker Hub 账号。在 Docker 客户端使用 docker login 命令登录 Docker Hub 账号如图所示下面使用 docker push 命令向 Docker Hub 推送镜像示例代码如下这里第 6 行出现了报错镜像没有推送成功报错信息显示请求资源被拒绝。这是因为 DockerHub 上的镜像都有一个 tag 标签用户上传镜像时需要给镜像添加 tag 标签。下面使用 docker tag 命令给镜像添加 tag 标签示例代码如下tag 标签添加完之后再查看一遍镜像确保准确无误示例代码如下可以看到先前的镜像并没有发生改变Docker 只是在它的基础上又创建了一个新镜像。与先前的镜像相比新镜像只是修改了名字镜像大小不变。有了新镜像就可以将其推送给 Docker Hub 了示例代码如下镜像推送完成之后 可以登录 Docker Hub 查看 验证镜像是否推送成功 如图所示从上图可以看出镜像已经推送成功这个镜像在 Docker Hub 上可以供所有用户下载并使用。尝试拉取先前推送的镜像示例代码如下镜像拉取完成后查看是否拉取成功示例代码如下从以上示例中可以看出已经成功拉取了先前推送的镜像拉取的镜像与本地的镜像相比ID 号和镜像大小都是相同的。这就体现出了 DockerHub 官方镜像库的方便之处用户可以将镜像上传到云端做到随用随取也可以将自己优秀的镜像与广大开源爱好者共享。Docker Hub 在给用户带来便利的同时也暴露出了极大的安全问题。任何 Docker 用户都可以随时随地上传镜像到 Docker Hub将其推送给其他 Docker 用户任何用户都可以拉取使用这些镜像但谁都无法辨别所下载的镜像是否包含恶意信息。2018 年发生了一起安全事故一名 Docker 用户上传了 17 个带有恶意软件的镜像攻击者利用这些恶意 Docker 镜像在受害者的计算机上安装基于 XMRig 的门罗币挖矿软件。其中一些镜像已经安装超过一百万次还有一些则被使用了数十万次。Docker 官方网站维护人员调查确认后删除了这些恶意镜像风波才得以平息。在使用 Docker 镜像时要先在测试环境中安装运行最安全的方法是尽可能使用自制的 Docker 镜像或使用经过验证的镜像。Docker镜像优化Docker 镜像采用的是层级结构一个镜像最多拥有 127 层 UnionFS。每条 Dockerfile 命令都会创建一个镜像层增加镜像大小。在生产环境中使用 Docker 容器时要尽可能地精简 Docker 镜像减少 UnionFS 的层数。精简镜像不仅能缩短新镜像的构建时间还能减少磁盘用量。由于精简后的镜像更小用户在拉取镜像时能节省时间部署服务的效率也能得到提升。精简镜像包含的文件更少更加不容易被攻击提高了镜像的安全性。 base镜像优化base 镜像优化就是在满足环境要求的前提下使用最小的 base 镜像。常用的 Linux base 镜像有 CentOS、Ubuntu、Alpine 等其中一些比较小的 base 镜像适合作为精简镜像的基础镜像如 Alpine、BusyBox 等。下面分别拉取 Alpine 与 BusyBox 的镜像进行对比示例代码如下Scratch 是一个空镜像只能用于构建其他镜像常用于执行一些包含了所有依赖的二进制文件。如果以 Scratch 为 base 镜像意味着不以任何镜像为基础下面的指令将作为镜像的第一层存在。BusyBox 相对于 Scratch 多了一些常用的 Linux 命令BusyBox 的官方镜像大小只有 1MB 多一点非常适合构建小镜像。Alpine 是一款高度精简又包含了基本工具的轻量级 Linux 发行版官方 base 镜像只有 5MB 多一点很适合当作 base 镜像使用。 Dockerfile 优化用户在定义 Dockerfile 文件时使用太多的 RUN 命令会导致镜像非常靡肿甚至超出可构建的最大层数。根据优化原则应该将多条 RUN 命令合并为一条命令精心设计每一个 RUN 命令减小镜像体积并且精心编排最大化地利用缓存。下面创建一个 Dockerfile 文件示例代码如下接着 使用这个 Dockerfile 构建一个新的镜像 示例代码如下从以上示例中可以看到整个镜像构建的过程是十分烦琐的。查看新镜像的大小与 UnionFS 的层数示例代码如下从以上示例中可以看到新镜像 centos/vim-bulky 的大小是 509MB而镜像的 UnionFS 层数是 8 层。这样编写 Dockerfile 导致新镜像非常庞大既增加了构建部署的时间也很容易出错。下面对 Dockerfile 进行优化示例代码如下在Dockerfile中使用 “” 与 ‘’** 将多条命令合成一条” 表示命令还没有结束‘’**表示换行。下面通过优化过的 Dockerfile 构建新镜像,示例代码如下从以上示例可以看出优化后的 Dockerfile 构建镜像的过程比优化前精简了一些。查看并对比两个新镜像示例代码如下从以上示例中可以看到镜像 centos/vim-portable 只有 305MB比镜像 centos/vim-bulky 节省了 204MB 的资源甚至比源镜像 centos/vim 还小了 21MB。接着查看镜像 centos/vim-portable 的 UnionFS 层数示例代码如下从以上示例中可以看到镜像 centos/vim-portable 的 UnionFS 只有 6 层而先前的镜像 centos/vim-bulky 有 8 层 UnionFS。 清理无用的文件在 RUN 命令中使用 yum、apt、apk 等工具时可以借助这些工具自带的参数进行优化。如执行 apt-get install-y 时添加 --no-install-recommends 选项就可以不安装建议性的依赖包这些依赖包都是不必要的。组件的安装和清理要放置在同一条命令里面因为 Dockerfile 的每条命令都会产生一个新的镜像层在执行下一条命令时上一条命令所产生的镜像层已经为只读层不可修改。Ubuntu 或 Debian 系统使用 rm -rf/var/lib/apt/lists/* 清理镜像中的缓存文件CentOS 等系统使用 yum clean all 命令清理。Docker 社区中还有许多优化镜像的工具如压缩镜像的工具 Docker-squash用起来简单方便。本章小结本章介绍了 Docker 镜像的构成采用了层级结构层层递进然后介绍了镜像的仓库包括官方公有仓库 Docker Hub 和 私有仓库最后详细讲解了如何构建 Docker 镜像并对 Dockerfile 文件进行了简单的优化。相信大家通过本章的学习已经掌握了镜像的原理以及操作方式。往期推荐read 文件一个字节实际会发生多大的磁盘IO如何优雅保护 Kubernetes 中的 SecretsRedis 内存满了怎么办这样置才正确云原生的本手、妙手和俗手点分享点收藏点点赞点在看
