文章目录
一、Docker镜像分层
Dockerfile由多条指令构成,Dockerfile中的每一条指令都会对应于Docker镜像中的每一层
- 镜像在生成的过程中是以分层的方式生成的:
1.Dockerfile 中的每个指令都会创建一个新的镜像层(是一个临时的容器,执行完后将不再存在,再往后进行重新的创建与操作)
2.镜像层将被缓存和复用(后续的镜像层将基于前面的一层,每一层都会有下几层的缓存)
3.当 Dockerfile 的指令修改了,复制的文件变化了,或者构建镜像时指定的变量不同了(后续操作必然更改前面的镜像层),那么对应的镜像层缓存就会失效(就会自动销毁)
4.某一层的镜像缓存失效之后,它之后的镜像层缓存就都会失效(第一层不成功,那么第二层也就再成功,相当于地基)
5.容器的修改并不会影响镜像,如果在某一层中添加一个文件,在下一层中删除它,镜像中依然会包含该文件
二、Docker 容器创建方法
1.基于 Dockerfile 创建(重点)
①概述
Dockerfile 是由一组指令组成的文件,其中每条指令对应 Linux 中的一条命令,Docker 程序将读取 Dockerfile 中的指令生成指定镜像
Dockerfile 结构大致分为四个部分:
- 基础镜像信息(Linux发行版:centos ubantu suse redhat)
- 维护者信息(docker search可查看)
- 镜像操作指令(tar yum make)
- 容器启动时执行指令(CMD["/root/run.sh"] ENTYPOINT都是系统启动时,第一个加载的程序/脚本/命令)
Dockerfile 每行支持一条指令,每条指令可携带多个参数,支持以“#”为开头的注释
②操作指令
| 指令 | 含义 |
|---|---|
| FROM [镜像] | 指定新镜像所基于的镜像,第一条指令必须为FROM指令,每创建一个镜像就需要一条FROM指令 |
| MAINTAINER [名字] | 说明新镜像的维护人信息 |
| RUN [命令] | 在所基于的镜像执行命令,并提交到新的镜像中 |
| CMD [“要运行的程序”,“参数1”、“参数2”] | 指令启动容器时要运行的命令或者脚本,Dockerfile只能有一条CMD命令,如果指定多条则只能执行最后一条 |
| EXPOSE [端口号] | 指定新镜像加载到Docker时要开启的端口 |
| ENV [环境变量] [变量值] | 设置一个环境变量的值,会被后面的RUN使用 |
| ADD [源文件/目录] [目标文件/目录] | 将源文件复制到目标文件,源文件要与Dockerfile位于相同目录中,或者是一个URL,若源文件是压缩包则会将其解压缩 |
| COPY [源文件/目录] [目标文件/目录] | 将本地主机上的文件/目录复制到目标地点,源文件/目录要与Dockerfile在相同的目录中 |
| VOLUME [“目录”] | 在容器中创建一个挂载点 |
| USER [用户名/UID] | 指定运行容器时的用户 |
| WORKDIR [路径] | 为后续的RUN、CMD、ENTRYPOINT指定工作目录,相当于是一个临时的"CD",否则需要使用绝对路径 |
| ONBUILD [命令] | 指定所生成的镜像作为一个基础镜像时所要运行的命令(是一种优化) |
| HEALTHCHECK | 健康检查 |
三、dockerfile分层原理
1.docker镜像分层(基于AUFS构建):
- docker镜像位于bootfs之上
- 每一层镜像的下一层成为父镜像
- 第一层镜像成为base image(操作系统环境镜像)
- 容器层(可读可写),在最顶层(writable)
- 容器层以下都是readonly
LXC:是内核中容器技术/驱动;功能是:将资源容器化(虚拟化)是早期docker的依赖组件,目前docker拥有自己的libcontianer库,可以实现容器虚拟化的功能,所以对LXC的依赖性大大降低
2.涉及技术
①bootfs (boot file system) 内核空间
- 主要包含bootloader和kernel
- bootloader主要是引导加载kernel, Linux刚启 动时会加载bootfs文件系统,在Docker 镜像的最底层是bootfs
- 这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会卸载bootfs
- 在1inux操作系统中(不同版本的linux发行版本),linux加 载bootfs时会将rootfs设置为read-only,系统自检后会将只读改为读写,让我们可以在操作系统中进行操作
②rootfs (root file system) 内核空间
- 在bootfs之上(base images, 例如centos、ubuntu)
- 包含的就是典型Linux 系统中的/dev, /proc, /bin, /etc 等标准目录和文件
- rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等
总结
1.容器之间相互通信的方式:
docker 0 、 数据卷容器 、 --link 隧道 、 contarnial 模式(直连接口,同一个network namespaces里,通过同一个网卡的方式,在同一个名称空间里 共有一个IP,通过localhost交互/自己的ip或端口交互)
2.ADD和copy区别
Dockerfile中的COPY指令和ADD指令都可以将主机上的资源复制或加入到容器镜像中,都是在构建镜像的过程中完成的
-
copy只能用于复制(节省资源)
-
ADD复制的同时,如果复制的对象时压缩包,ADD还可以解压(消耗资源)
-
COPY指令和ADD指令的唯一区别在于是否支持从远程URL获取资源。COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中。而ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中
-
满足同等功能的情况下,推荐使用COPY指令。ADD指令更擅长读取本地tar文件并解压缩
3.CMD和entrypoint区别
一般还是会用entrypoint的中括号形式作为docker 容器启动以后的默认执行命令,里面放的是不变的部分,可变部分比如命令参数可以使用cmd的形式提供默认版本,也就是run里面没有任何参数时使用的默认参数。如果我们想用默认参数,就直接run,否则想用其他参数,就run 里面加参数
4.dockerfile有哪些指令
5.为什么docker的centos镜像只有200M多一 点
bootfs + rootfs : 作用是加载、引导内核程序 + 挂载使用linux操作系统(centos ubantu )等一些关键的目录文件
bootsfs用内核的,rootfs用自己的
6.dockerfile镜像分层的原理
用overlay2存储引擎的方式叠加上去,最上面是容器层是可读可写的,其他镜像是可读的,他们是共用的内核资源,共用的是操作系统里所必须的引导程序,挂载,系统之间的文件,这些文件跟内核之间共享,所以他比实际的centos要小