1、Docker的体系架构
Docker 的核心组件包括:
- Docker 客户端:Client
- Docker 服务器:Docker daemon
- Docker 镜像:Image
- Registry:镜像仓库
- Docker 容器:Container
Docker 架构如图所示
Docker采用的是Client/Server 架构。客户端向服务器发送请求,服务器负责构建、运行和分发容器。客户端和服务器可以运行在同一个Host 上。
(1)Docker客户端
是用户和docker交互的一种方式。它用来接收用户指令并且和docker的守护进程进行通信。
(2)Docker服务器
Docker daemon运行在Docker host上,负责创建、运行、监控容器,构建、存储镜像。默认配置下,Docker daemon默认只能响应来自本地Host的客户端请求
(3)Docker镜像
Docker 镜像是用于创建Docker容器的模板。可将Docker镜像看成只读模板,类似于安装系统用到的那个iso文件,我们通过镜像来完成各种应用的部署。通过它可以创建Docker容器。例如某个镜像可能包含一个Apache HTTP Server以及用户开发的Web应用。
镜像有多种生成方法:(1)从无到有开始创建镜像 (2)下载并使用别人创建好的现成的镜像 (3)在现有镜像上创建新的镜像。
可以将镜像的内容和创建步骤描述在一个文本文件中,这个文件被称作Dockerfile,通过执行docker build <docker-file>命令可以构建出Docker镜像
(4)Docker容器
Docker容器就是Docker镜像的运行实例,容器是独立运行的一个或一组应用。容器可以被启动、开始、停止、删除等操作,每个容器都是相互隔离的。可以把容器看做是一个简易版的linux环境(包括root用户权限、进程空间、用户空间和网络空间等)和运行在其中的应用程序。
用户可以通过CLI(Docker)或是API启动、停止、移动或删除容器。可以这么认为,对于应用软件,镜像是软件生命周期的构建和打包阶段,而容器则是启动和运行阶段。
(5)镜像仓库
Registry是存放Docker镜像的仓库,Registry分私有和公有两种。
Docker Hub (https://hub.docker.com/)是默认的Registry,由Docker公司维护,上面有数以万计的镜像,用户可以自由下载和使用。
出于对速度或安全的考虑,用户也可以创建自己的私有Registry,后面我们会学习如何搭建私有Registry。
docker pull命令可以从Registry下载镜像。
docke run命令则是先下载镜像(如果本地没有),然后再启动容器。
2、docker镜像
镜像是Docker容器的基石,容器是镜像的运行实例,有了镜像才能启动容器。本章内容安排如下:首先通过研究几个典型的镜像, 分析镜像的内部结构,然后学习如何构建自己的镜像,最后介绍怎样管理和分发镜像。
(1)镜像的内部结构
为什么我们要讨论镜像的内部结构?
如果只是使用镜像,当然不需要了解,直接通过docker命令下载和运行就可以了。但如果我们想创建自己的镜像,或者想理解Docker为什么是轻量级的,就非常有必要学习这部分知识了。我们从一个最小的镜像开始吧。
(2)hello-world——最小的镜像
hello-world是Docker官方提供的一个镜像,通常用来验证Docker是否安装成功。我们先通过docker pull从Docker Hub下载它, 如图所示。
用docker images命令查看镜像的信息,如图所示。
hello-world 镜像竟然还不到2KB,通过docker run运行,如图所示。
其实我们更关心hello-world 镜像包含哪些内容。
Dockerfile是镜像的描述文件,定义了如何构建Docker 镜像。Dockerfile 的语法简洁且可读性强,后面我们会专门讨论如何编写Dockerfile。
hello-world 的Dockerfile 内容如图所示。
只有短短三条指令。
( l ) FROM scratch //镜像是从白手起家,从0开始构建(scratch是docker官方提供的,一个空镜像,专门用于构建其他镜像的)。
(2) ADD hello / //将文件“hello”复制到镜像的根目录。
(3) CMD [”/hello”] //容器启动时,执行/hello。
镜像hello-world 中就只有一个可执行文件“hello”,其功能就是打印出“ Hello from Docker. ” 等信息。
/hello 就是文件系统的全部内容,连最基本的/bin、/usr、/lib、/dev 都没有。hello-world 虽然是一个完整的镜像, 但它并没有什么实际用途。
通常来说,我们希望镜像能提供一个基本的操作系统环境,用户可以根据需要安装和配置软件。这样的镜像我们称作base 镜像。
3、base镜象
base镜像有两层含义:
(1)不依赖其他镜像,从scratch 构建;
(2)其他镜像可以以之为基础进行扩展。
所以,能称作base 镜像的通常都是各种Linux 发行版的Docker 镜像,比如Ubuntu、Debian、CentOS 等。
我们以CentOS为例考察base镜像包含哪些内容。下载镜像:
docker pull centos
镜像大小202MB。
一个CentOS才202MB
平时我们安装一个CentOS至少都有几个GB, 怎么可能才202MB !
相信这是几乎所有Docker初学者都会有的疑问。下面我们来解释这个问题。
我们都知道,Linux操作系统由内核空间和用户空间组成。对于Linux而言,内核启动后,会挂载 root(根) 文件系统为其提供用户空间支持。如图所示。
1) rootfs
内核空间是kernel,,Linux刚启动时会加载bootfs 文件系统。
用户空间的文件系统是rootfs,包含我们熟悉的 /dev, /proc, /bin 等目录。
对于 base 镜像来说,底层直接用 Host 的 kernel,自己只需要提供 rootfs 就行了。而base镜像,就相当于是一个 root 文件系统。比如 Docker官方镜像ubuntu:14.04 就包含了完整的一套 Ubuntu 14.04 最小系统的 root 文件系统。
而对于一个精简的 OS,rootfs 可以很小,只需要包括最基本的命令、工具和程序库就可以了。相比其他 Linux 发行版,CentOS 的 rootfs 已经算臃肿的了,alpine 还不到 10MB。
我们平时安装的 CentOS 除了 rootfs 还会选装很多软件、服务、图形桌面等,需要好几个 GB 就不足为奇了。
2) base镜像提供的是最小安装的 Linux 发行版,下面是 CentOS 镜像的 Dockerfile 的内容:
第二行 ADD 指令添加到镜像的 tar 包就是 CentOS 7 的 rootfs。在制作镜像时,这个 tar 包会自动解压到 / 目录下,生成 /dev, /proc, /bin 等目录。
注:可在Docker Hub(https://hub.docker.com/) 的镜像描述页面中查看Dockerfile。
4、镜像的分层结构(镜像层和容器层)
Docker 支持通过扩展现有镜像,创建新的镜像。
实际上,Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。比如我们现在构建一个新的镜像,Dockerfile 如下:
① 新镜像不再是从 scratch 开始,而是直接在 Debian base 镜像上构建。
② 安装 emacs 编辑器。
③ 安装 apache2。
④ 容器启动时运行 bash。
构建过程如下图所示:
可以看到,新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层。
为什么 Docker 镜像要采用这种分层结构呢?
最大的一个好处就是:共享资源。
比如:有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享,我们将在后面更深入地讨论这个特性。
这时可能就有人会问了:如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc下的文件,这时其他容器的 /etc 是否也会被修改?答案是不会!修改会被限制在单个容器内。
这就是我们接下来要学习的容器 Copy-on-Write 特性。
可写的容器层(Copy-on-Write)
当容器启动时,一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
所有对容器的改动--无论添加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的,容器层下面的所有镜像层都是只读的。
下面我们深入讨论容器层的细节。
镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如 /a,上层的 /a 会覆盖下层的 /a,也就是说用户只能访问到上层中的文件 /a。在容器层中,用户看到的是一个叠加之后的文件系统。
1)添加文件--在容器中创建文件时,新文件被添加到容器层中。
2)读取文件--在容器中读取某个文件时,并且容器层没有此文件,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后打开并读入内存。
3)修改文件--在容器中修改已存在的文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。
4)删除文件--在容器中删除文件时,Docker 也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。
只有当需要修改时才复制一份数据,这种特性被称作 Copy-on-Write。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。这样就解释了我们前面提出的问题:容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。