docker 镜像结构原理

目录

参考文档:第八篇:Docker镜像结构原理_Linux运维开发的技术博客_51CTO博客

1、基础镜像 base

base 镜像有两层含义:

为什么我们的镜像文件比一般的软件小一些呢?

二、镜像的分层结构

问什么 Docker 镜像要采用这种分层结构呢?

这时可能就有人会问了:如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc 下的文件,这时其他容器的 /etc 是否也会被修改?

三、容器的可写层

镜像分层实验:


参考文档:第八篇:Docker镜像结构原理_Linux运维开发的技术博客_51CTO博客

镜像:是一个软件单元

镜像是各个不同的层组合而成的,镜像的分层思想

最底层是基础镜像 , base image

1、基础镜像 base

base 镜像有两层含义:

1. 不依赖其他镜像,从 scratch 构建。
2. 其他镜像可以之为基础进行扩展。

为什么我们的镜像文件比一般的软件小一些呢?

原因是镜像里的系统使用的是宿主机的内核,因此比较小,而基础镜像里一般有操作系统的库、运行环境、依赖软件等

因此使用docker pull centos下载最新版本的Centos镜像也就207M左右,而我们平时下载一个原生的centos镜像都是4G,对于 Docker 初学者都会有这个疑问。

下面来了解下Linux 操作系统由内核空间和用户空间组成,如下图所示docker 镜像结构原理_第1张图片

rootfs
内核空间是 kernel,Linux 刚启动时会加载 bootfs 文件系统,之后 bootfs 会被卸载掉。
用户空间的文件系统是 rootfs,包含我们熟悉的 /dev, /proc, /bin 等目录。
对于 base 镜像来说,底层直接用 Host 的 kernel,自己只需要提供 rootfs 就行了。
而对于一个精简的 OS,rootfs 可以很小,只需要包括最基本的命令、工具和程序库就可以了。相比其他 Linux 发行版,CentOS 的 rootfs 已经算臃肿的了,alpine 还不到 10MB。
我们平时安装的 CentOS 除了 rootfs 还会选装很多软件、服务、图形桌面等,需要好几个 GB 就不足为奇了。

rootfs  --》是容器内部的操作系统,镜像里的操作系统提供的

不同的镜像里有rootfs,包含的东西不一样

rootfs 加载完成后,容器里形成一个封闭的环境,类似于一个操作系统

rootfs 通常包含了操作系统核心文件,例如 /bin、/sbin、/etc 等目录和一些配置文件、设备文件等。它刚好能够满足 Linux 启动所需的最小要求,并支持基本的系统管理工具,如 init、udev、mount 等。它包括操作系统所需的主要文件和目录,可以被挂载作为根文件系统使用。

bootfs --》 容器启动的时候需要的内容,是linux kernel 提供了bootfs

bootfs 可以理解为 Linux 系统启动时所需要的文件和目录所在的文件系统,通常包括操作系统内核、引导程序、设备驱动等。也就是说,bootfs 是启动过程中所需的基本文件和目录的集合。

需要注意的是,bootfs 和 rootfs 的概念并不相同,bootfs 只是一个启动过程中所需文件和目录的集合,而 rootfs 则是整个根文件系统的代表,包含了所有文件和目录。

docker 镜像结构原理_第2张图片

Docker 可以同时支持多种 Linux 镜像,模拟出多种操作系统环境。 

比如 Ubuntu 14.04 使用 upstart 管理服务,apt 管理软件包;而 CentOS 7 使用 systemd 和 yum。这些都是用户空间上的区别,Linux kernel 差别不大。

docker 镜像结构原理_第3张图片容器只能使用 Host 的 kernel,并且不能修改。所有容器都共用 host 的 kernel,在容器中没办法对 kernel 升级。如果容器对 kernel 版本有要求(比如应用只能在某个 kernel 版本下运行),则不建议用容器,这种场景虚拟机可能更合适。

二、镜像的分层结构

Docker 支持通过扩展现有镜像,创建新的镜像。
实际上,Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。

比如我们现在构建一个新的镜像,Dockerfile 如下:

docker 镜像结构原理_第4张图片

① 新镜像不再是从 scratch 开始,而是直接在 Debian base 镜像上构建。
② 安装 emacs 编辑器。
③ 安装 apache2。
④ 容器启动时运行 bash。

linux的开机启动流程:

        MBR --》GRUB --》 kernel --》systemd --》其他服务进程

kernel是宿主机的内核,加载一个容器,先加载kernel

        kernel --》bootfs --》加载镜像里rootfs --》容器里已经有一个操作系统 --》加载程序 --》容器成功启动好了

镜像的构建过程如图:

docker 镜像结构原理_第5张图片 

可以看到,新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层。 

问什么 Docker 镜像要采用这种分层结构呢?


最大的一个好处就是 - 共享资源。

比如:有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。

这时可能就有人会问了:如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc 下的文件,这时其他容器的 /etc 是否也会被修改?


答案:不会!因为修改会被限制在单个容器内

三、容器的可写层

当容器启动时,一个新的可写层被加载到镜像的顶部。
这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。

docker 镜像结构原理_第6张图片

所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。
只有容器层是可写的,容器层下面的所有镜像层都是只读的。

下面我们深入讨论容器层的细节。
镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如 /a,上层的 /a 会覆盖下层的 /a,也就是说用户只能访问到上层中的文件 /a。在容器层中,用户看到的是一个叠加之后的文件系统。

1.添加文件
在容器中创建文件时,新文件被添加到容器层中。
2. 读取文件
在容器中读取某个文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,打开并读入内存。
3. 修改文件
在容器中修改已存在的文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。
4. 删除文件
在容器中删除文件时,Docker 也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。

只有当需要修改时才复制一份数据,这种特性被称作 Copy-on-Write。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。
这样就解释了我们前面提出的问题:容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。

镜像分层实验:

撰写一个简单的镜像

[root@mysql mydocker]# vim Dockerfile
[root@mysql mydocker]# cat Dockerfile 
FROM centos:7
RUN yum install vim -y
RUN yum install net-tools tree -y
RUN mkdir /sc
RUN touch /sc/feng{1..10}.txt
RUN rm -rf /sc/feng1.txt
CMD ["/bin/bash"]
[root@mysql mydocker]# 
[root@mysql mydocker]# docker build -t sccentos:7.9 . 

 我们如何查看生成的镜像的层数呢,我们可以使用

docker images -a

我们创建一个容器调用这个镜像

但是这样运行的话,我们是放在后台运行 ,但是这样我们查看docker 进程的时候,并没有看到我创建的这个进程,原因是什么呢

 

因此我们不能在后端运行

如何让此容器一直运行呢,我们需要使用下如命令:

这样就能通过docker ps 查看到我们的容器了

下面我们将优化docker容器分层 

优化后Dockerfile文件

docker 镜像结构原理_第7张图片

创建新的镜像 

[root@mysql mydocker]# docker build -t sccentos:8 . 

优化后的镜像可以看到明显的大小的区别

因此如何让你的镜像尽可能的小?

在镜像制作的过程中每执行一次RUN命令,镜像里就会多一些内容,镜像就会多大一些

镜像要加载到容器中去运行,一个容器对应一个进程,而进程是需要消耗cpu和内存的

因此我们在制作镜像的时候,我们需要避免使用多条RUN命令,可以使用&&符号代替

你可能感兴趣的:(docker,linux,运维)