【轉載】Docker映像原理

title: 【轉載】Docker 鏡像原理
date: 2021-08-16 09:24:01
comment: false
toc: true
category:

Docker
tags:
轉載
Docker
鏡像
原理

Docker 鏡像原理#

鏡像是一種輕量級、可執行的獨立軟體包，用來打包軟體運行環境和基於運行環境開發的軟體，它包含某個軟體所需要的所有內容，包括代碼、運行時庫、環境變數和配置文件。

UnionFs（聯合文件系統）#

UnionFS（聯合文件系統）：Union 文件系統（UnionFS）是一種分層、輕量級並且高性能的文件系統，它支持對文件系統的修改作為一次提交來一層層的疊加，同時可以將不同目錄掛載到同一個虛擬文件系統下 (unite several directories into a single virtual filesystem)。Union 文件系統是 Docker 鏡像的基礎。鏡像可以通過分層來進行繼承，基於基礎鏡像（沒有父鏡像），可以製作各種具體的應用鏡像。特性：一次同時加載多個文件系統，但從外面看起來，只能看到一個文件系統，聯合加載會把各層文件系統疊加起來，這樣最終的文件系統會包含所有底層的文件和目錄

下載 docker 鏡像時一層一層的其實就是聯合文件系統的體現

Docker 鏡像加載原理#

docker 的鏡像實際上由一層一層的文件系統組成，這種層級的文件系統 UnionFS。 bootfs (boot file system) 主要包含 bootloader 和 kernel, bootloader 主要是引導加載 kernel, Linux 剛啟動時會加載 bootfs 文件系統，在 Docker 鏡像的最底層是 bootfs。這一層與我們典型的 Linux/Unix 系統是一樣的，包含 boot 加載器和內核。當 boot 加載完成之後整個內核就都在內存中了，此時內存的使用權已由 bootfs 轉交給內核，此時系統也會卸載 bootfs。

rootfs (root file system) ，在 bootfs 之上。包含的就是典型 Linux 系統中的 /dev, /proc, /bin, /etc 等標準目錄和文件。rootfs 就是各種不同的操作系統發行版，比如 Ubuntu，Centos 等等。

平時我們安裝虛擬機的 CentOs 都是好幾 G，為什麼 docker 才幾百 M

對於一個精簡的 OS，rootfs 可以很小，只需要包括最基本的命令、工具和程序庫就可以了，因為底層直接用 Host 的 kernel，自己只需要提供 rootfs 就行了。由此可見對於不同的 linux 發行版，bootfs 基本是一致的，rootfs 會有差別，因此不同的發行版可以公用 bootfs。

分層的理解#

下載 docker 鏡像時一層一層的其實就是分層最直觀的體現（已經下載過的不會重複下載）

$ docker pull redis
Using default tag: latest
latest: Pulling from library/redis
33847f680f63: Already exists 
26a746039521: Pull complete
18d87da94363: Pull complete
5e118a708802: Pull complete
ecf0dbe7c357: Pull complete
46f280ba52da: Pull complete
Digest: sha256:cd0c68c5479f2db4b9e2c5fbfdb7a8acb77625322dd5b474578515422d3ddb59
Status: Downloaded newer image for redis:latest
docker.io/library/redis:latest

我們還可以通過之前文章中提到的 inspect 命令

docker image inspect redis:latest

可以看到鏡像的具體分層信息，有 6 層對應上面鏡像下載時的 6 層

"RootFS": {
    "Type": "layers",
    "Layers": [
        "sha256:814bff7343242acfd20a2c841e041dd57c50f0cf844d4abd2329f78b992197f4",
        "sha256:dd1ebb1f5319785e34838c7332a71e5255bda9ccf61d2a0bf3bff3d2c3f4cdb4",
        "sha256:11f99184504048b93dc2bdabf1999d6bc7d9d9ded54d15a5f09e36d8c571c32d",
        "sha256:e461360755916af80821289b1cbc503692cf63e4e93f09b35784d9f7a819f7f2",
        "sha256:45f6df6342536d948b07e9df6ad231bf17a73e5861a84fc3c9ee8a59f73d0f9f",
        "sha256:262de04acb7e0165281132c876c0636c358963aa3e0b99e7fbeb8aba08c06935"
    ]
},

分層的好處 ：

最大的好處就是 - 共享資源

比如：有多個鏡像都從相同的 base 鏡像構建而來，那麼 Docker Host 只需在磁碟上保存一份 base 鏡像；同時內存中也只需加載一份 base 鏡像，就可以為所有容器服務了。而且鏡像的每一層都可以被共享。

這時可能就有人會問了：如果多個容器共享一份基礎鏡像，當某個容器修改了基礎鏡像的內容，比如 /etc 下的文件，這時其他容器的 /etc 是否也會被修改？答案：不會！因為修改會被限制在單個容器內。

這就是我們接下來要學習的容器 Copy-on-Write 特性

容器的可寫層#

當容器啟動時，一個新的可寫層被加載到鏡像的頂部。這一層通常被稱作 “容器層”，“容器層” 之下的都叫 “鏡像層”。所有操作都是針對容器層的，只有容器層是可寫的，容器層下面的所有鏡像層都是只讀的。

commit 鏡像#

docker commit  提交容器成為一個新的副本

我們下面通過一個例子說明下

我這邊之前下載過 tomcat 的鏡像

$ docker images
REPOSITORY   TAG       IMAGE ID       CREATED        SIZE
tomcat       latest    710ec5c56683   7 days ago     668MB
redis        latest    aa4d65e670d6   3 weeks ago    105MB
mysql        latest    c60d96bd2b77   3 weeks ago    514MB
centos       centos7   8652b9f0cb4c   9 months ago   204MB

將 tomcat 啟動起來

-- 鏡像運行起來，並且將端口進行映射到宿主機端口
docker run  -it -p 8080:8080 tomcat

在另外一個創建通過命令查看下當前運行的容器，tomcat 正在運行

$ docker ps
CONTAINER ID   IMAGE            COMMAND             CREATED          STATUS          PORTS                                       NAMES
8b294cd7074e   tomcat           "catalina.sh run"   29 seconds ago   Up 28 seconds   0.0.0.0:8080->8080/tcp, :::8080->8080/tcp   zealous_cohen
f42ae22e4b72   centos:centos7   "/bin/bash"         3 weeks ago      Up 46 hours                                                 centos-test

然後我們進入 tomcat 這個容器看下哈

docker exec -it 8b294cd7074e /bin/bash

$ docker exec -it 8b294cd7074e /bin/bash
root@8b294cd7074e:/usr/local/tomcat# ls
BUILDING.txt  CONTRIBUTING.md  LICENSE	NOTICE	README.md  RELEASE-NOTES  RUNNING.txt  bin  conf  lib  logs  native-jni-lib  temp  webapps  webapps.dist  work

然後再進入 webapp（項目文件位置）中看下，如下可以看到 webapp 中是空的

root@8b294cd7074e:/usr/local/tomcat# cd webapps
root@8b294cd7074e:/usr/local/tomcat/webapps# ls
root@8b294cd7074e:/usr/local/tomcat/webapps#

然後我們訪問下 tomcat，404 說明 tomcat 是正常啟動了，只是沒有找到對應的頁面，這也容易理解因為 wabapp 中是空的

那麼我們嘗試自己做一個 webapp 中有內容的鏡像

我們將 webapps.dist 中的文件 copy 到 wabapp 中

root@8b294cd7074e:/usr/local/tomcat# cp -r webapps.dist/* webapps
root@8b294cd7074e:/usr/local/tomcat# cd webapps
root@8b294cd7074e:/usr/local/tomcat/webapps# ls
ROOT  docs  examples  host-manager  manager

修改之後發現 tomcat 可以正常訪問了

$ docker ps
CONTAINER ID   IMAGE            COMMAND             CREATED          STATUS          PORTS                                       NAMES
8b294cd7074e   tomcat           "catalina.sh run"   27 minutes ago   Up 27 minutes   0.0.0.0:8080->8080/tcp, :::8080->8080/tcp   zealous_cohen

現在這個 tomcat 我們做了簡單的修改，我覺得我的這個 tomcat 比官方的好一點點，我把我這個鏡像提交下

$ docker commit -a="cb" -m "add init file" 8b294cd7074e newtomcat:1.0
sha256:44cf4d44be664d9704a3fc38ddef1f03fa7f113ad83f4049cced322a14dc216b

通過 docker images 可以看到有新鏡像就創建好了，仔細觀察可以發現我們提交的額 newtomcat 比官方的 tomcat 要大一點

$ docker images
REPOSITORY   TAG       IMAGE ID       CREATED          SIZE
newtomcat    1.0       44cf4d44be66   46 seconds ago   673MB
tomcat       latest    710ec5c56683   7 days ago       668MB
redis        latest    aa4d65e670d6   3 weeks ago      105MB
mysql        latest    c60d96bd2b77   3 weeks ago      514MB
centos       centos7   8652b9f0cb4c   9 months ago     204MB

後面就可以直接使用自己的鏡像了，也可以發布出去給別人使用，這個後面再說

通過這個例子可以回顧下上面的分層思想，newtomcat 是我們在之前容器層做了修改後生成的鏡像，這個鏡像和虛擬機的鏡像快照差不多

關於 docker 的鏡像就說到這裡，到現在 docker 算是簡單的入了個門，後面會繼續學習 docker 相關的內容，大家一起加油！

日拱一卒無有盡，功不唐捐終入海