kubernetes入门到进阶(5)

目录

镜像仓库:怎么用好docker hub这个宝藏

什么是镜像仓库(Registry)

什么是docker hub

如何在docker hub上挑选镜像

docker hub上进行概念股命名规则是什么

该怎么上传自己的镜像

离线环境该怎么办

小结


镜像仓库:怎么用好docker hub这个宝藏

好,我们继续来说一下往后的章节,上章节里面呢,我们学习了dockerfile和docker build的用法,知道了如何创建自己的镜像,那么镜像文件应该如何管理呢,具体来说,应该如何存储,检索,分发,共享镜像呢?不解决这些问题,我们容器化应用还是无法顺利地实施。

今天,我们来谈一下这个话题,聊聊什么是镜像仓库,还有该怎么用好镜像仓库。

什么是镜像仓库(Registry)

之前我们已经用过docker pull命令拉取镜像,也说过有一个镜像仓库(Registry)的概念,那到底什么是镜像仓库呢?

还是来看看docker的官方架构图:

kubernetes入门到进阶(5)_第1张图片

图里右边的区域就是镜像仓库,术语叫Registry,直译是所有镜像的Repository都在这里登记保管,就像是一个巨大的档案馆。

然后我们再来看看左边的docker pull,虚线显示了它的工作流程,先到docker daemon,再到Registry,只有当Registry里存有镜像才能真正把他下载到本地。

当然了,拉取镜像只是镜像仓库最基本的一个功能,他还会提供更多的功能,比如上传,查询,删除等等,是一个全面的镜像管理服务站点。

你也可以把镜像仓库比成手机上的应用商店,里面分门别类放了许多容器化的应用,需要什么去找一下就行了,有了它,我们使用镜像才能免除后顾之忧。

什么是docker hub

不过,你应该没有注意到,在使用docker pull 获取镜像的时候我们并没有明确指定镜像仓库,在这种情况下,动车可就会使用一个默认的镜像仓库,也就是大名鼎鼎的docker hub 

https://hub.docker.com

docker hub是docker公司搭建的官方registry服务,创立于2014年6月,和docker 1.0同时发布,他号称是世界上最大的镜像仓库,和Git hub一样,几乎成为了容器世界的基础设施。

docker hub里面不仅有docker自己打包的镜像,而且还对公众免费开放,任何人都可以上传自己的作品,经过这8年的发展,docker hub已经不再是一个单纯的镜像仓库了,更应该说是一个丰富而繁荣的容器社区

你可以看看下面的这张截图,里面列出的都是下载量超过十亿次的最受欢迎的应用程序,比如nginx,MongoDB,node.js,Redis,openJDK,等等,显然,把这些容器化的应用引入到我们自己的系统里,就像是站在了巨人的肩膀上,一开始就会有一个高水平的起点

kubernetes入门到进阶(5)_第2张图片

但和Github,App Store一样,面向所有人公开的docker hub也有一个不可避免的缺点,就是良莠不齐。

在docker hub搜索框里输入关键字,比如NGINX,MySQL,她立即就会给出几百上千个搜索结果,有点乱花迷人眼的感觉,这么多镜像,应该如何挑选出最适合自己的呢?下面我们来说说自己在这方面的一些经验。

如何在docker hub上挑选镜像

首先,你应该知道,在docker hub上有官方镜像,认证镜像,和非官镜像的区别

官方镜像是指docker公司官方提供的高质量镜像,GitHub - docker-library/official-images: Primary source of truth for the Docker "Official Images" program

都经过了严格的漏洞扫描和安全检查,支持x86,arm64等多种硬件架构,还具有清晰易读的文档,一般来说使我们构建镜像的首选,也是我们编写dockerfile的最佳范例

官方镜像目前大概100多个,基本上囊括了现在的各种流行技术,下面就是官方的nginx镜像网页截图:

kubernetes入门到进阶(5)_第3张图片

你会看到,官方镜像会有一个特殊的Official image的标记,这就表示这个镜像经过了docker公司的认证,有专门的团队负责审核,发布,更新,质量上绝对可以放心。

第二类是认证镜像,标记是Verified publisher,也就是认证发行商,比如Bitnami,Rancher,ubuntu等,他们都是颇具规模的大公司,具有不逊于docker公司的实力,所以就在docker hub上开了个认证账号,发布自己打包的镜像,有点类似我们微博上的大V。

kubernetes入门到进阶(5)_第4张图片

这些镜像有公司背书,当然也很值得信赖,不过他们难免会有戴上一些各自公司的烙印,比如Bitnami的镜像就统一以minideb为基础,灵活性上比docker官方镜像略差,有的时候也许会不符合我们的需求。

除了官方镜像和认证镜像,剩下的就都属于非官方镜像了,不过这里面也可以分出两类。

第一类是“半官网”镜像,因为成为Verified publisher 是要给docker公司交钱的,而很多公司不想花这个冤枉钱,所以只在docker hub上开了公司账号,但并不加入认证

这里我以openresty为例,看一下它的docker hub页面,可以看到显示的是openresty官方发布的,但并没有经过docker正式认证,所以难免就会存在一些风险,有被冒名顶替的可能,需要我们在使用的时候留心鉴别一下,不过一般来说,这种办官方镜像也是比较可靠的

kubernetes入门到进阶(5)_第5张图片

第二类就是纯粹的民间镜像了,通常是个人上传到docker hub的,因为条件有限,测试不完全甚至没有测试,质量上难得以保证,下载的时候需要小心谨慎。

除了查看镜像是否为官方认证,我们还可以再结合其他的条件来判断镜像质量是否足够好,做法和GitHub差不多,就是看它的下载量,星数,还有更新历史,简单的来说就是好评数量

一般来说下载量是最重要的参考依据,好的镜像下载量通常都在百万级别(超过1M)而有的镜像虽然也是官方认证,但缺乏维护,更新不及时,用的人很少,星数,下载数都寥寥无几,那么还是应该选择下载量最多的镜像,通俗来说就是随大流

下面这张截图就是openresty在docker hub上的搜索结果,可以看到,有两个认证发行商的镜像(Bitnami , IBM),但是下载量都很少,还有一个民间镜像下载量虽然超过了1M,但更新时间是三年前,所以毫无疑问,我们应该选择排在前三位,但下载量超过10m,有360多个星的半官方镜像

kubernetes入门到进阶(5)_第6张图片

看了这么多docker hub上的镜像,你一定注意到了,应用都是一样的名字,比如都是NGINX,redis,openresty,该怎么区分不同作者打包出的镜像呢?

如果你很熟悉GitHub,就会发现docker hub也使用了同样的规则,就是用户名/应用名的形式,比如bitnami/nginx、ubuntu/nginx、rancher/nginx等等

所以,我们在使用docker pull下载这些非官方镜像的时候,就必须把用户名也带上,否则默认就会使用官方镜像:

docker pull bitnami/nginx

docker pull ubuntu/nginx 

docker hub上进行概念股命名规则是什么

确定了这个镜像还不够,因为镜像还会有许多不同的版本,也就是标签(tag)

直接使用默认的latest虽然简单方便,但在生产环境里是一种非常不负责任的做法,会导致版本不可控,所以我们还需要理解dockerhub标签命名的含义,才能挑选出最适合我们自己的镜像版本。

下面我就那官方的redis镜像作为例子,解释一下这些标签都是什么意思

通常来说,镜像标签的格式是应用的版本号加上操作系统,

版本号你应该比较了解吧,及把他那都是主版本号+次版本号+补丁号的形式,有的还会在正式发布前出rc版(候选版本,release candidate),而操作系统的情况略微复杂一些,应为各个Linux发型版的命名方式太多了

alpine,centos的命令比较简单明了,就是数字的版本号,像这里的alpine3.15.而ubuntu、Debian则才用了代号的形式,比如ubuntu.18.04是bionic,ubuntu20.04是focal,Debian9是stretch,Debian10是buster,Debian11是bullseye

另外,有的标签还会加上slim,fat,来进一步表示这个镜像的内容是经过精简的,还是包含了较多的辅助工具,通常slim镜像会比较小。运行效率高,而fat镜像会比较大,适合用来开发调试

下面我就列出几个标签的例子来说明一下。

- nginx:1.21.6-alpine,表示版本号是1.21.6,基础镜像是最新的Alpine。

- redis:7.0-rc-bullseye,表示版本号是7.0候选版,基础镜像是Debian 11。

- node:17-buster-slim,表示版本号是17,基础镜像是精简的Debian 10。

该怎么上传自己的镜像

现在,我想你应该对如何在docker hub上选择镜像有了比较全面的了解,那么接下来的问题就是我们用dockerfile创建的镜像该如何上传到docker hub上呢?

这件事其实一点也不难,只需要4个步骤就能完成

第一步,你需要在docker hub上注册一个用户,这个就不必再多说了

第二步,你需要在本机上使用docker login命令,用刚才注册的用户名和密码认证身份登录,像这里就用了我的用户名chronolaw

kubernetes入门到进阶(5)_第7张图片

第三步很关键,需要使用docker tag 命令,给镜像改成带用户名的完整名字,表示镜像是属于还整个用户的,或者简单一点,直接用docker build -t在创建镜像的时候就起好名字,这里我就用上次章节里的ngx-app作为例子,给他改名成chronolaw/ngx-app:1.0

docker tag ngx-app chronolaw/ngx-app:1.0

第四步,用docker push 把这个镜像推上去,我们的镜像发布工作就大功告成了:

docker push chronolaw/ngx-app:1.0

kubernetes入门到进阶(5)_第8张图片

你还可以登录docker hub网站验证一下镜像发布的效果,可以看到他会自动为我们生成一个页面模板。,里面还可以进一步丰富完善,比如添加描述信息,使用说明等等;

kubernetes入门到进阶(5)_第9张图片

现在你就可以把这个镜像的名字(用户名/应用名:标签)告诉你的同事,让他去用docker pull 下载部署了

离线环境该怎么办

使用docke hub来管理镜像的确是非常方便,不过有一种场景它却是无法发挥作用,那就是企业内网的离线环境,连不上外网,自然也就不能使用docker push。docker pull来同送拉取镜像了

那这种情况有没有解决办法呢?

方法当然有,而且有很多,最佳的方法就是在内网环境里仿造docker hub,创建一个自己的私有registry服务,有他来管理我们的镜像,就想我们自己搭建gitlab做版本管理一样

自建registry已经有很多成熟的解决方案,比如docker registry,还有CNCF Harbor,不用使用他们还需要一些目前没有讲到的知识,步骤也有点繁琐,所以我会在后续的章节里再介绍

下面我们说一说存储,分发镜像的一种笨方法,虽然比较原始,但简单易行,可以作为临时的应急手段

docker提供了save和load这两个镜像归档命令,可以把镜像导出成压缩包,或者从压缩包导入docker,而压缩包是非常容易保管和传输的,可以联机拷贝,FTP共享,甚至存在U盘上随身携带

需要注意的是,这两个命令默认使用标准流作为输入输出(为了方便linux管道操作)所以一般会用-o、-i参数来使用文件的形式,例如:

docker save ngx-app:latest -o ngx.tar

docker load -i ngx.tar

小结

好了,今天我们一起学习了镜像仓库,了解了docker hub的使用方法,整理一下要点方便你加深理解:

1-镜像仓库(registry)是一个提供综合镜像服务的网站,最基本的功能是长传和下载

2-docker hub是目前最大的镜像仓库,拥有很多高质量的镜像和,尚明的镜像非常多,选择的标准有官方认证,下载量,星数等,需要综合评估

3-镜像也有很多版本,应该根据版本号和操作系统仔细确认合适的标签

4-在docker hub注册之后就可以上传自己的镜像,用docker tag打上标签再用docker push推送

5-离线环境可以自己搭建私有镜像仓库,或者使用docker save把镜像存成压缩包,再用docker load从压缩包恢复成镜像

最后我还是提问几个问题,留给大家来思考:

1-很多应用,比如nginx,redis,go,都已经有了docker官方镜像,为什么其他公司(Bitnami,Rancher)还要重复劳动,发布自己打包的镜像呢?

2-你能否对比一下GitHub和docker hub,说说他们两个在功能,服务对象,影响范围,等方面的异同点呢?

记得在留言区参与讨论哦,我看到后会第一时间回复,我们下个章节再见~

kubernetes入门到进阶(5)_第10张图片

你可能感兴趣的:(kubernetes,容器,云原生)