目录
①bootfs (boot file system) 内核空间
②rootfs (root file system) 内核空间
5.1 为什么、docker的centos镜像只有200M多一点
5.7 AUFS 与overlay/ overlay2 (docker高版本)
引言:
Dockerfile 是一个文本文件,其内包含了一条条的指令(Instruction),用于构建镜像。每一条指令构建一层镜像,因此每一条指令的内容,就是描述该层镜像应当如何构建。
一、dockerfile概念
-
dockerfile是**自定义镜像**的一套规则
-
dockerfile由多条指令构成,Dockerfile中的每一条指令都会对应于Docker镜像中的每一层
1.1docker镜像的分层
dockerfile的原理就是镜像分层。
- Dockerfile 中的**每个指令都会创建一个新的镜像层**(是一个临时的容器,执行完后将不再存在,再往后进行重新的创建与操作)
- 镜像层将被缓存和复用(后续的镜像层将基于前面的一层,每一层都会有下几层的缓存)
- 当 Dockerfile 的指令修改了,复制的文件变化了,或者构建镜像时指定的变量不同了(后续操作必然更改前面的镜像层),那么对应的镜像层缓存就会失效(就会自动销毁)
- 某一层的镜像缓存失效之后,它之后的镜像层缓存就都会失效(第一层不成功,那么第二层也就再成功,相当于地基)
- 容器的修改并不会影响镜像,如果在某一层中添加一个文件,在下一层中删除它,镜像中依然会包含该文件
二、Docker镜像的创建
2.1基于dockerfile创建
dockerfile是由**一组指令组**成的文件
dockerfile每行支持一条指令,每条指令可携带多个参数,一条指令可以用&&方式,去写多条指令。
dockerfile支持以“#”为开头的注释
2.1.1dockerfile 结构(四部分)
- 基础镜像信息(Linux发行版:centos ubantu suse debian alpine redhat)
- 维护者信息(docker search可查看)
- 镜像操作指令(tar yum make)
- 容器启动时执行指令(**cmd["/root/run.sh"] 、entrypoint**都是系统启动时,第一个加载的程序/脚本/命令)
2.1.2dockerfile操作指令
| 指令 | 含义 |
| FROM [镜像] | 指定新镜像所基于的镜像,第一条指令必须为FROM指令,每创建一个镜像就需要一条FROM指令,例如centos:7。 from有两层含义:①开启一个新的镜像②必须写的一行指令 |
| MAINTAINER [名字] | 说明新镜像的维护人信息(可写可不写) |
| RUN命令 | 每一条RUN后面跟一条命令,在所基于的镜像上执行命令,并提交到新的镜像中,RUN必须大写 |
| CMD [“要运行的程序”,“参数1”、“参数2”] | 指定启动容器时需要运行的命令或者脚本,Dockerfile只能有一条CMD命令,如果指定多条则只能执行最后一条,“bin/bash”也是一条CMD,并且会覆盖image镜像里面的cmd。 |
| EXPOSE [端口号] | 指定新镜像加载到Docker时要开启的端口**(暴露端口)**,就是这个容器暴露出去的端口号。 |
| ENV [环境变量] [变量值] | 设置一个**环境变量**的值,会被后面的RUN使用。容器可以根据自己的需求创建时传入环境变量,镜像不可以。 |
| ADD [源文件/目录] [目标文件/目录] | ①将源文件复制到目标文件,源文件要与Dockerfile位于相同目录中,②或者是一个URL,③**若源文件是压缩包则会将其解压缩** |
| COPY [源文件/目录] [目标文件/目录] | 将本地主机上的文件/目录复制到目标地点,源文件/目录要与Dockerfile在相同的目录中,copy只能用于复制,add复制的同时,如果复制的对象是压缩包,ADD还可以解压,copy比add节省资源 |
| VOLUME [“目录”] | 在容器中创建一个挂载点,简单来说就是-v,指定镜像的目录挂载到宿主机上。 |
| USER [用户名/UID] | 指定运行容器时的用户 |
| WORKDIR [路径] | 为后续的RUN、CMD、ENTRYPOINT指定工作目录,相当于是一个临时的"CD",否则需要使用绝对路径,例如workdir /opt。移动到opt目录,并在这下面的指令都是在opt下执行。 |
| ONBUILD [命令] | 指定所生成的镜像作为一个基础镜像时所要运行的命令**(是一种优化)** |
| HEALTHCHECK | 健康检查 |
2.2 基于已有镜像创建
将容器里面运行的程序及运行环境打包生成新的镜像
docker commit [选项] 容器id/容器名 仓库名:标签| -m | 说明信息 |
| -a | 作者信息 |
| -p | 生成过程中停止容器的运行 |
2.3 基于本地模板创建
通过导入操作系统模板文件生成新的镜像
使用wget命令导入为本地镜像
wget http://download.openvz.org/template/precreated/debian-7.0-x86-minimal.tar.gz以上下载太慢可直接下载安装包:debian-7.0-x86-minimal.tar.gz,提取码:v511
导入镜像
cat debian-7.0-x86-minimal.tar.gz | docker import - debian:new导入成功后可查看本地镜像信息
docker images
三、镜像分层的原理
3.1 docker镜像分层(基于AUFS构建)
- docker镜像位于bootfs之上
- 每一层镜像的下一层成为父镜像
- 第一层镜像成为base image(操作系统环境镜像)
- 容器层(可读可写,为了给用户操作),在最顶层(writable)
- 容器层以下都是readonly
LXC是**一种内核中的容器技术**,早期docker在没有将资源容器化的功能时,就是靠内核中LXC来完成容器虚拟化的。现在docker 拥有了自己的docker libcontainer库文件,这种库文件可以做到将资源容器化的操作,所以对LXC的依赖性大大降低。
3.2 涉及技术
①bootfs (boot file system) 内核空间
- 主要包含bootloader和kernel
- bootloader主要是引导加载kernel, Linux刚启 动时会加载bootfs文件系统,在Docker 镜像的最底层是bootfs
- 这一层与我们典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统也会把临时创建的bootfs这个文件系统删掉
- 在1inux操作系统中(不同版本的linux发行版本),linux加载bootfs时会将rootfs设置为read-only,系统自检后会将只读改为读写,让我们可以在操作系统中进行操作
②rootfs (root file system) 内核空间
- 在bootfs之上(base images, 例如centos、ubuntu)
- 包含的就是典型Linux 系统中的/dev, /proc, /bin, /etc 等标准目录和文件
- rootfs就是各种不同的操作系统发行版,比如Ubuntu,Centos等等
四、案例实验
4.1 构建apache容器服务
cd /opt
mkdir apache
vim Dockerfile
FROM centos:7
MAINTAINER LIC
RUN yum -y update
RUN yum -y install httpd
EXPOSE 80
ADD index.html /var/www/html/index.html
ADD run.sh /run.sh
RUN chmod +x /run.sh
CMD ["/run.sh"]
===>:wq
echo 'this is lic' > index.html
vim run.sh
#!/bin/bash
rm -rf /run/httpd/*
exec /usr/sbin/apachectl -D FOREGROUND
===>:wq
docker build -t httpd:centos7 .
docker images
docker run -d -p 7788:80 httpd:centos7
真机访问
http://192.168.223.30:7788
4.2 构建ssh镜像
cd /opt
mkdir sshd
cd sshd
vim sshdfile
#基础镜像
FROM centos
#镜像维护人信息
MAINTAINER LIC
#更新基于镜像yum源
RUN yum -y update
#在基于镜像上安装软件
#openssh是SSH协议的免费开源实现
#net-tools组件可支持使用ifconfig命令查看网卡信息
#lsof查看进程打开的文件、打开文件的进程、进程打开的端口
#telnet支持远程登陆
#passwd用于设置密码,更新用户身份令牌
RUN yum -y install openssh* net-tools lsof telnet passwd
#更改root用户密码为123123
RUN echo '123123' | passwd --stdin root
#将ssh服务端配置文件中所有的UsePAM yes替换为UsePAM no,关闭第三方认证登陆,别人都无法远程登陆该主机
RUN sed -i 's/UsePAM yes/UsePAM no/g' /etc/ssh/sshd_config
#创建非密钥对文件,生成到/etc/ssh/目录下为ssh_host_rsa_key
RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
RUN sed -i '/^session\s\+required\s\+pam_loginuid.so/s/^/#/' /etc/pam.d/sshd
#嵌套创建/root/.ssh目录并且将/root目录属主和属组改为root并且为/root/.ssh目录赋权700,只有root用户可读写执行
RUN mkdir -p /root/.ssh && chown root.root /root && chmod 700 /root/.ssh
#指定端口22
EXPOSE 22
#在运行容器时启动ssh服务,并开启守护进程
CMD ["/usr/sbin/sshd","-D"]
#构建新镜像,因为这次dockerfile文件不是官方默认的名称了,所以我们-f指定以/opt/sshd/sshdfile来生成镜像,-t指定新镜像名为mysshd,tag为1.0
docker build -f /opt/sshd/sshdfile -t mysshd:1.0 .
#后台运行并生成容器,暴露端口1111
docker run -d -p 1111:22 mysshd:1.0
#验证
ssh localhost -p 1111
4.3 升级ssh镜像,构建systemctl镜像
cd /opt
mkdir systemctl
cd systemctl
vim Dockerfile
#基础环境,上一题的sshd容器环境
FROM mysshd:1.0
#设置变量 container 值为docker
ENV container docker
#基础镜像上执行切换到/lib/systemd/system/sysinit.target.wants目录下,for循环遍历该目录下所有文件,如果文件名称不是systemd-tmpfiles-setup.service,则删除该,换行符
RUN (cd /lib/systemd/system/sysinit.target.wants/;for i in *;do [ $i ==\
systemd-tmpfiles-setup.service ] || rm -f $i;done);\
rm -f /lib/systemd/system/multi-user.target.wants/*;\
rm -f /etc/systemd/system/*.wants/*;\
rm -f /lib/systemd/system/local-fs.target.wants/*;\
rm -f /lib/systemd/system/sockets.target.wants/*udev*;\
rm -f /lib/systemd/system/sockets.target.wants/*initctl*;\
rm -f /lib/systemd/system/basic.target.wants/*;\
rm -f /lib/systemd/system/anaconda.target.wants/*;
#创建数据卷,用于挂载到宿主目录
VOLUME ["/sys/fs/cgroup"]
#启动容器时进行系统初始化
CMD ["/usr/sbin/init"]
五、总结
5.1 为什么、docker的centos镜像只有200M多一点
- 因为docker镜像**只有rootts和其他镜像层,共用宿主机的linux内核(bootfs)**,因此很小
- bootfs + rootfs :作用是加载、引导内核程序+挂载使用linux操作系统(centos ubantu)等等一些关键的目录文件。
- 就是说bootsfs用内核的,rootfs用自己的
- 对于一个精简的os,rootfs可以很小,只需要包括最基本的命令、工具和程序库就可以了,因为底层直接用Rost的kernel,自己只需要提供rootfs就行了。所以对于不同的linux发行版,bootfs基本是一致的,rootfs会有差别,所以不同的发行版可以公用bootfs
5.2 LXC和容器是什么关系?
LXC是内核中容器技术/驱动,功能是将资源容器化。完成资源容器虚拟化的过程。是早期docker的依赖组件目前docker 拥有自己的libcontianer库。可以实现容器虚拟化的功能,对LXC依赖性大大降低。
5.3 dockerfile镜像分层的原理
- 用overlay2存储引擎的方式叠加上去,最上面是容器层是可读可写的,其他镜像是可读的,
- 他们是共用的内核资源,共用的是操作系统里所必须的引导程序,挂载,系统之间的文件,
- 这些文件他和内核之间共享,所以他比实际的centos要小。
5.4 容器之间相互通信的方式
docker 0 、 数据卷容器 、 --link 隧道 、 container 模式(直连接口,同一个network namespaces里,通过同一个网卡的方式,在同一个名称空间里 共有一个IP,通过localhost交互/自己的ip或端口交互)
5.5 ADD和copy区别
Dockerfile中的COPY指令和ADD指令都可以将主机上的资源复制或加入到容器镜像中,都是在构建镜像的过程中完成的.
- copy只能用于复制(节省资源)
- ADD复制的同时,如果复制的对象时压缩包,ADD还可以解压(消耗资源)
- COPY指令和ADD指令的唯一区别在于是否支持从远程URL获取资源。COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中。而ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中
- 满足同等功能的情况下,推荐使用COPY指令。ADD指令更擅长读取本地tar文件并解压缩
5.6 cmd和entrypoint区别
首先要讲一讲exec和shell的区别
- exec:容器加载时使用的启动的第一个任务进程
- shell:容器加载时使用的第一个bash (/bin/bash /bin/sh /bin/init)
- 如果 entrypoint使用了shell模式,CMD指令会被忽略。
- 如果entrypoint使用了exec模式,CMD指定的内容被追加为 entrypoint指定命令的参数。
- 如果entrypoint使用了exec模式,CMD也应该使用exec模式。
- cmd是容器环境启动时默认加载的命令
- entrypoint是容器环境启动时第一个加载的命令程序/脚本程序 init
5.7 AUFS 与overlay/ overlay2 (docker高版本)
- AUFS是一种联合文件系统。它使用同一个Linux
host上的多个目录,逐个堆叠起来,对外呈现出一个统一的文件系统。AUrs使用该特性,实现了Docker镜像的分层
- 而docker使用了overlay/overlay2存储驱动来支持分层结构
overlays将单个Linux主机上的两个目录合并成一个目录。这些目录被称为层,统一过程被称为联合挂载
- overlay 结构
overlayfs在linux主机上只有两层,一个目录在下层,用来保存镜像(docker),另外一个目录在上层,用来存储容器信息
- rootfs 基础镜像
- lower 下层信息、(为境像层,可读)
- upper 上层目录(容器信息,可读可写)
- work 运行的工作目录(copy-on-write写时复制-》准备容器环境)
- merged "视图层”(容器视图)