目录
参考文档:第八篇:Docker镜像结构原理_Linux运维开发的技术博客_51CTO博客
1、基础镜像 base
base 镜像有两层含义:
为什么我们的镜像文件比一般的软件小一些呢?
二、镜像的分层结构
问什么 Docker 镜像要采用这种分层结构呢?
这时可能就有人会问了:如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc 下的文件,这时其他容器的 /etc 是否也会被修改?
三、容器的可写层
镜像分层实验:
镜像:是一个软件单元
镜像是各个不同的层组合而成的,镜像的分层思想
最底层是基础镜像 , base image
1. 不依赖其他镜像,从 scratch 构建。
2. 其他镜像可以之为基础进行扩展。
原因是镜像里的系统使用的是宿主机的内核,因此比较小,而基础镜像里一般有操作系统的库、运行环境、依赖软件等
因此使用docker pull centos下载最新版本的Centos镜像也就207M左右,而我们平时下载一个原生的centos镜像都是4G,对于 Docker 初学者都会有这个疑问。
下面来了解下Linux 操作系统由内核空间和用户空间组成,如下图所示
rootfs
内核空间是 kernel,Linux 刚启动时会加载 bootfs 文件系统,之后 bootfs 会被卸载掉。
用户空间的文件系统是 rootfs,包含我们熟悉的 /dev, /proc, /bin 等目录。
对于 base 镜像来说,底层直接用 Host 的 kernel,自己只需要提供 rootfs 就行了。
而对于一个精简的 OS,rootfs 可以很小,只需要包括最基本的命令、工具和程序库就可以了。相比其他 Linux 发行版,CentOS 的 rootfs 已经算臃肿的了,alpine 还不到 10MB。
我们平时安装的 CentOS 除了 rootfs 还会选装很多软件、服务、图形桌面等,需要好几个 GB 就不足为奇了。
rootfs --》是容器内部的操作系统,镜像里的操作系统提供的
不同的镜像里有rootfs,包含的东西不一样
rootfs 加载完成后,容器里形成一个封闭的环境,类似于一个操作系统
rootfs 通常包含了操作系统核心文件,例如 /bin、/sbin、/etc 等目录和一些配置文件、设备文件等。它刚好能够满足 Linux 启动所需的最小要求,并支持基本的系统管理工具,如 init、udev、mount 等。它包括操作系统所需的主要文件和目录,可以被挂载作为根文件系统使用。
bootfs --》 容器启动的时候需要的内容,是linux kernel 提供了bootfs
bootfs 可以理解为 Linux 系统启动时所需要的文件和目录所在的文件系统,通常包括操作系统内核、引导程序、设备驱动等。也就是说,bootfs 是启动过程中所需的基本文件和目录的集合。
需要注意的是,bootfs 和 rootfs 的概念并不相同,bootfs 只是一个启动过程中所需文件和目录的集合,而 rootfs 则是整个根文件系统的代表,包含了所有文件和目录。
Docker 可以同时支持多种 Linux 镜像,模拟出多种操作系统环境。
比如 Ubuntu 14.04 使用 upstart 管理服务,apt 管理软件包;而 CentOS 7 使用 systemd 和 yum。这些都是用户空间上的区别,Linux kernel 差别不大。
容器只能使用 Host 的 kernel,并且不能修改。所有容器都共用 host 的 kernel,在容器中没办法对 kernel 升级。如果容器对 kernel 版本有要求(比如应用只能在某个 kernel 版本下运行),则不建议用容器,这种场景虚拟机可能更合适。
Docker 支持通过扩展现有镜像,创建新的镜像。
实际上,Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。
比如我们现在构建一个新的镜像,Dockerfile 如下:
① 新镜像不再是从 scratch 开始,而是直接在 Debian base 镜像上构建。
② 安装 emacs 编辑器。
③ 安装 apache2。
④ 容器启动时运行 bash。
linux的开机启动流程:
MBR --》GRUB --》 kernel --》systemd --》其他服务进程
kernel是宿主机的内核,加载一个容器,先加载kernel
kernel --》bootfs --》加载镜像里rootfs --》容器里已经有一个操作系统 --》加载程序 --》容器成功启动好了
镜像的构建过程如图:
可以看到,新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件,就在现有镜像的基础上增加一层。
最大的一个好处就是 - 共享资源。
比如:有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。
答案:不会!因为修改会被限制在单个容器内
当容器启动时,一个新的可写层被加载到镜像的顶部。
这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。
只有容器层是可写的,容器层下面的所有镜像层都是只读的。
下面我们深入讨论容器层的细节。
镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如 /a,上层的 /a 会覆盖下层的 /a,也就是说用户只能访问到上层中的文件 /a。在容器层中,用户看到的是一个叠加之后的文件系统。
1.添加文件
在容器中创建文件时,新文件被添加到容器层中。
2. 读取文件
在容器中读取某个文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,打开并读入内存。
3. 修改文件
在容器中修改已存在的文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。
4. 删除文件
在容器中删除文件时,Docker 也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。
只有当需要修改时才复制一份数据,这种特性被称作 Copy-on-Write。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。
这样就解释了我们前面提出的问题:容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。
撰写一个简单的镜像
[root@mysql mydocker]# vim Dockerfile
[root@mysql mydocker]# cat Dockerfile
FROM centos:7
RUN yum install vim -y
RUN yum install net-tools tree -y
RUN mkdir /sc
RUN touch /sc/feng{1..10}.txt
RUN rm -rf /sc/feng1.txt
CMD ["/bin/bash"]
[root@mysql mydocker]#
[root@mysql mydocker]# docker build -t sccentos:7.9 .
我们如何查看生成的镜像的层数呢,我们可以使用
docker images -a
我们创建一个容器调用这个镜像
但是这样运行的话,我们是放在后台运行 ,但是这样我们查看docker 进程的时候,并没有看到我创建的这个进程,原因是什么呢
因此我们不能在后端运行
如何让此容器一直运行呢,我们需要使用下如命令:
这样就能通过docker ps 查看到我们的容器了
下面我们将优化docker容器分层
优化后Dockerfile文件
创建新的镜像
[root@mysql mydocker]# docker build -t sccentos:8 .
优化后的镜像可以看到明显的大小的区别
因此如何让你的镜像尽可能的小?
在镜像制作的过程中每执行一次RUN命令,镜像里就会多一些内容,镜像就会多大一些
镜像要加载到容器中去运行,一个容器对应一个进程,而进程是需要消耗cpu和内存的
因此我们在制作镜像的时候,我们需要避免使用多条RUN命令,可以使用&&符号代替