一、镜像介绍
1、定义
一个只读层被称为镜像,一个镜像是永久不会变的。
由于 Docker 使用一个统一文件系统,Docker 进程认为整个文件系统是以读写方式挂载的。 但是所有的变更都发生顶层的可写层,而下层的原始的只读镜像文件并未变化。由于镜像不可写,所以镜像是无状态的。
每一个镜像都可能依赖于由一个或多个下层的组成的另一个镜像。我们有时说,下层那个 镜像是上层镜像的父镜像。
2、镜像和容器的关系
为什么要说这个呢?因为是容器使用镜像,所以他们之间有密切的关系。
容器其实是在镜像的最上面加了一层读写层,在运行容器里文件改动时,会先从镜像里面要写的文件复制到容器自己的文件系统中(读写层)。
如果容器删除了,最上面的读写层也就删除了,改动也就丢失了。所以无论多少个容器共享一个镜像,所做的写操作都是从镜像的文件系统中复制过来操作的,并不会修改镜像的源文件,这种方式提高磁盘利用率。
若想持久化这些改动,可以通过docker commit将容器保存成一个新的镜像,但是不推荐这么操作,而是直接重新制作一个镜像,作为模板,这样的镜像会更小。
3、基础镜像
一个没有任何父镜像的镜像,谓之基础镜像,比如centos、Ubuntu等基础镜像,只是提供操作系统,没有任何应用。
4、镜像ID
所有镜像都是通过一个 64 位十六进制字符串 (内部是一个 256 bit 的值)来标识的。 为简化使用,前 12 个字符可以组成一个短ID,可以在命令行中使用。短ID还是有一定的 碰撞机率,所以服务器总是返回长ID。
5、获取镜像
- 可以使用
docker pull命令直接从仓库获取所需要的镜像。 - 也可以使用docker search container_name来搜索镜像。
镜像拉取到本地后,就可以构建容器了。
二、镜像管理(命令行)
1、镜像操作
- docker images # 显示本地所有的镜像列表,等价于docker image ls
- docker prune #删除没有使用的所有image
- docker import # 从一个tar包创建一个镜像,往往和export结合使用
- docker export #导出一个tar包格式的镜像
- docker build # 使用Dockerfile创建镜像(推荐)
- docker commit # 从容器创建镜像,一般很少使用,因为镜像是不可变的模板
- docker rmi # 删除一个镜像
- docker load # 从一个tar包创建一个镜像,和save配合使用
- docker save # 将一个镜像保存为一个tar包,带layers和tag信息
- docker history # 显示生成一个镜像的历史命令,Dockerfile里面的每条命令
- docker tag # 为镜像打一个tag
2、镜像仓库(registry)操作
- docker login # 登录到一个registry
- docker search # 从registry仓库搜索镜像
- docker pull # 从仓库下载镜像到本地
- docker push # 将一个镜像push到registry仓库中
三、企业级镜像仓库(Harbor)
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。