banner
biuaxia

biuaxia

"万物皆有裂痕,那是光进来的地方。"
github
bilibili
tg_channel
HomeArchives

【转载】Docker镜像原理

105
AI-generated summary
This article explains the principles of Docker images. Docker images are lightweight, executable packages that contain all the necessary components for running software, including code, runtime libraries, environment variables, and configuration files. The article also discusses UnionFS, which is a layered file system that forms the basis of Docker images. The article explains how Docker images are loaded and how they are composed of multiple layers. It also discusses the benefits of layering, such as resource sharing and the ability to create different versions of images. The article concludes by explaining the concept of a writable layer in containers and how changes made to the base image are limited to individual containers.

title: 【转载】Docker 镜像原理
date: 2021-08-16 09:24:01
comment: false
toc: true
category:

  • Docker
    tags:
  • 转载
  • Docker
  • 镜像
  • 原理

本文转载自:Docker 镜像原理

Docker 镜像原理#

镜像是一种轻量级、可执行的独立软件包,用来打包软件运行环境和基于运行环境开发额软件,它包含某个软件所需要的所有内容,包括代码、运行时库、环境变量和配置文件。

UnionFs(联合文件系统)#

UnionFS(联合文件系统):Union 文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下 (unite several directories into a single virtual filesystem)。Union 文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。 特性 :一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录

下载 docker 镜像时一层一层的其实就是联合文件系统的体现

Docker 镜像加载原理#

docker 的镜像实际上由一层一层的文件系统组成,这种层级的文件系统 UnionFS。 bootfs (boot file system) 主要包含 bootloader 和 kernel, bootloader 主要是引导加载 kernel, Linux 刚启动时会加载 bootfs 文件系统,在 Docker 镜像的最底层是 bootfs。这一层与我们典型的 Linux/Unix 系统是一样的,包含 boot 加载器和内核。当 boot 加载完成之后整个内核就都在内存中了,此时内存的使用权已由 bootfs 转交给内核,此时系统也会卸载 bootfs。

rootfs (root file system) ,在 bootfs 之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs 就是各种不同的操作系统发行版,比如 Ubuntu,Centos 等等。

image

平时我们安装虚拟机的 CentOs 都是好几个 G,为什么 docker 才几百 M

对于一个精简的 OS,rootfs 可以很小,只需要包括最基本的命令、工具和程序库就可以了,因为底层直接用 Host 的 kernel,自己只需要提供 rootfs 就行了。由此可见对于不同的 linux 发行版,bootfs 基本是一致的,rootfs 会有差别,因此不同的发行版可以公用 bootfs。

分层的理解#

下载 docker 镜像时一层一层的其实就是分层最直观的体现(已经下载过得不会重复下载)

$ docker pull redis
Using default tag: latest
latest: Pulling from library/redis
33847f680f63: Already exists 
26a746039521: Pull complete
18d87da94363: Pull complete
5e118a708802: Pull complete
ecf0dbe7c357: Pull complete
46f280ba52da: Pull complete
Digest: sha256:cd0c68c5479f2db4b9e2c5fbfdb7a8acb77625322dd5b474578515422d3ddb59
Status: Downloaded newer image for redis:latest
docker.io/library/redis:latest

我们还可以通过之前文章中提到的 inspect 命令

docker image inspect redis:latest

可以看到镜像的具体分层信息,有 6 层对应上面镜像下载时候的 6 层

"RootFS": {
    "Type": "layers",
    "Layers": [
        "sha256:814bff7343242acfd20a2c841e041dd57c50f0cf844d4abd2329f78b992197f4",
        "sha256:dd1ebb1f5319785e34838c7332a71e5255bda9ccf61d2a0bf3bff3d2c3f4cdb4",
        "sha256:11f99184504048b93dc2bdabf1999d6bc7d9d9ded54d15a5f09e36d8c571c32d",
        "sha256:e461360755916af80821289b1cbc503692cf63e4e93f09b35784d9f7a819f7f2",
        "sha256:45f6df6342536d948b07e9df6ad231bf17a73e5861a84fc3c9ee8a59f73d0f9f",
        "sha256:262de04acb7e0165281132c876c0636c358963aa3e0b99e7fbeb8aba08c06935"
    ]
},

分层的好处

最大的一个好处就是 - 共享资源

比如:有多个镜像都从相同的 base 镜像构建而来,那么 Docker Host 只需在磁盘上保存一份 base 镜像;同时内存中也只需加载一份 base 镜像,就可以为所有容器服务了。而且镜像的每一层都可以被共享。

这时可能就有人会问了:如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc 下的文件,这时其他容器的 /etc 是否也会被修改? 答案:不会!因为修改会被限制在单个容器内。

这就是我们接下来要学习的容器 Copy-on-Write 特性

容器的可写层#

当容器启动时,一个新的可写层被加载到镜像的顶部。 这一层通常被称作 “容器层”,“容器层” 之下的都叫 “镜像层”。所有操作都是针对容器层的,只有容器层是可写的,容器层下面的所有镜像层都是只读的。

image

commit 镜像#

docker commit  提交容器成为一个新的副本

我们下面通过一个例子说明下

我这边之前下载过 tomcat 的镜像

$ docker images
REPOSITORY   TAG       IMAGE ID       CREATED        SIZE
tomcat       latest    710ec5c56683   7 days ago     668MB
redis        latest    aa4d65e670d6   3 weeks ago    105MB
mysql        latest    c60d96bd2b77   3 weeks ago    514MB
centos       centos7   8652b9f0cb4c   9 months ago   204MB

将 tomcat 启动起来

-- 镜像运行起来,并且将端口进行映射到宿主机端口
docker run  -it -p 8080:8080 tomcat

在另外一个创建通过命令查看下当前运行的容器,tomcat 正在运行

$ docker ps
CONTAINER ID   IMAGE            COMMAND             CREATED          STATUS          PORTS                                       NAMES
8b294cd7074e   tomcat           "catalina.sh run"   29 seconds ago   Up 28 seconds   0.0.0.0:8080->8080/tcp, :::8080->8080/tcp   zealous_cohen
f42ae22e4b72   centos:centos7   "/bin/bash"         3 weeks ago      Up 46 hours                                                 centos-test

然后我们进入 tomcat 这个容器看下哈

docker exec -it 8b294cd7074e /bin/bash

$ docker exec -it 8b294cd7074e /bin/bash
root@8b294cd7074e:/usr/local/tomcat# ls
BUILDING.txt  CONTRIBUTING.md  LICENSE	NOTICE	README.md  RELEASE-NOTES  RUNNING.txt  bin  conf  lib  logs  native-jni-lib  temp  webapps  webapps.dist  work

然后再进入 webapp(项目文件位置)中看下,如下可以看到 webapp 中是空的

root@8b294cd7074e:/usr/local/tomcat# cd webapps
root@8b294cd7074e:/usr/local/tomcat/webapps# ls
root@8b294cd7074e:/usr/local/tomcat/webapps#

然后我们访问下 tomcat,404 说明 tomcat 是正常启动了,只是没有找到对应的页面,这也容易理解应为 wabapp 中是空的

image

那么我们尝试自己做一个 webapp 中有内容的镜像

我们将 webapps.dist 中的文件 copy 到 wabapp 中

root@8b294cd7074e:/usr/local/tomcat# cp -r webapps.dist/* webapps
root@8b294cd7074e:/usr/local/tomcat# cd webapps
root@8b294cd7074e:/usr/local/tomcat/webapps# ls
ROOT  docs  examples  host-manager  manager

修改之后发现 tomcat 可以正常访问了

image

$ docker ps
CONTAINER ID   IMAGE            COMMAND             CREATED          STATUS          PORTS                                       NAMES
8b294cd7074e   tomcat           "catalina.sh run"   27 minutes ago   Up 27 minutes   0.0.0.0:8080->8080/tcp, :::8080->8080/tcp   zealous_cohen

现在这个 tomcat 我们做了简单的修改,我觉得我的这个 tomcat 比官方的好一点点,我把我这个镜像提交下

$ docker commit -a="cb" -m "add init file" 8b294cd7074e newtomcat:1.0
sha256:44cf4d44be664d9704a3fc38ddef1f03fa7f113ad83f4049cced322a14dc216b

通过 docker images 可以看到有新镜像就创建好了,仔细观察可以发现我们提交的额 newtomcat 比官方的 tomcat 要大一点

$ docker images
REPOSITORY   TAG       IMAGE ID       CREATED          SIZE
newtomcat    1.0       44cf4d44be66   46 seconds ago   673MB
tomcat       latest    710ec5c56683   7 days ago       668MB
redis        latest    aa4d65e670d6   3 weeks ago      105MB
mysql        latest    c60d96bd2b77   3 weeks ago      514MB
centos       centos7   8652b9f0cb4c   9 months ago     204MB

后面就可以直接使用自己的镜像了,也可以发布出去给别人使用,这个后面在说

通过这个例子可以回顾下上面的分层思想,newtomcat 是我们在之前容器层做了修改后生成的镜像,这个镜像和虚拟机的镜像快照差不多

关于 docker 的镜像就说到这里,到现在 docker 算是简单的入了个门,后面会继续学习 docker 相关的内容,大家一起加油!

日拱一卒无有尽,功不唐捐终入海

Loading...
Ownership of this post data is guaranteed by blockchain and smart contracts to the creator alone.