docker 镜像详解
镜像本质是什么
镜像是一种轻量级、可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件,它包含运行某个软件所需的所有内容,包括代码、运行时、库、环境变量和配置文件。
别人给我们生成好的一个环境,或者项目都可以打包成一个镜像
分层下载
这里我们下载一个 redis 镜像
这里我们可以看到,下载镜像并不是下载一个完整的包,而是分层进行下载,这些层最后组合成了完整的 redis 镜像
我们可以使用docker inspect redis来查看镜像分层的详细信息
在最后几行可以看到:
"RootFS": {
"Type": "layers",
# 镜像分层下载的片段
"Layers": [
"sha256:2edcec3590a4ec7f40cf0743c15d78fb39d8326bc029073b41ef9727da6c851f",
"sha256:9b24afeb7c2f21e50a686ead025823cd2c6e9730c013ca77ad5f115c079b57cb",
"sha256:4b8e2801e0f956a4220c32e2c8b0a590e6f9bd2420ec65453685246b82766ea1",
"sha256:529cdb636f61e95ab91a62a51526a84fd7314d6aab0d414040796150b4522372",
"sha256:9975392591f2777d6bf4d9919ad1b2c9afa12f9a9b4d260f45025ec3cc9b18ed",
"sha256:8e5669d8329116b8444b9bbb1663dda568ede12d3dbcce950199b582f6e94952"
]
},
理解:
所有的 docker 镜像都起始于一个基础镜像层,当进行修改或增加新的内容时,就会在当前镜像层之上,创建新的镜像层。
举一个简单的例子,假如基于 Ubuntu Linux 16.04 创建一个新的镜像,这就是新镜像的第一层;如果在该镜像中添加 python 包,就会在基础镜像层之上创建第二个镜像层;如果继续添加一个安全补丁,就会创建第三个镜像层。
一步步逐层叠加,最后形成完整的镜像
该镜像当前已经包含 3 个镜像层,如下图所示(这只是一个用于演示的很简单的例子)。
在添加额外的镜像层的同时,镜像始终保持是当前所有镜像的组合,理解这一点非常重要。下图中举了一个简单的例子,每个镜像层包含 3 个文件,而镜像包含了来自两个镜像层的 6 个文件。
上图中的镜像层跟之前图中的略有区别,主要目的是便于展示文件。
下图中展示了一个稍微复杂的三层镜像,在外部看来整个镜像只有 6 个文件,这是因为最上层中的文件 7 是文件 5 的一个更新版本。
这种情况下,上层镜像层中的文件覆盖了底层镜像层中的文件。这样就使得文件的更新版本作为一个新镜像层添加到镜像当中。
docker 通过存储引擎(新版本采用快照机制)的方式来实现镜像层堆栈,并保证多镜像层对外展示为统一的文件系统。
Linux 上可用的存储引擎有 AUFS、Overlay2、Device Mapper、Btrfs 以及 ZFS。顾名思义,每种存储引擎都基于 Linux 中对应的文件系统或者块设备技术,并且每种存储引擎都有其独有的性能特点。
docker 在 Windows 上仅支持 windowsfilter 一种存储引擎,该引擎基于 NTFS 文件系统之上实现了分层和 CoW[1]。
下图展示了与系统显示相同的三层镜像。所有镜像层堆叠并合并,对外提供统一的视图。
docker 镜像下载原理
UnionFS (联合文件系统)
UnionFS(联合文件系统):Union 文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下(unite several directories into a single virtual filesystem)。Union 文件系统是 docker 镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。
特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录
docker 镜像加载原理
docker 的镜像实际上由一层一层的文件系统组成,这种层级的文件系统 UnionFS。
bootfs(boot file system)主要包含 bootloader 和 kernel,bootloader 主要是引导加载 kernel,Linux 刚启动时会加载 bootfs 文件系统,在docker 镜像的最底层是 bootfs。这一层与我们典型的 Linux/Unix 系统是一样的,包含 boot 加载器和内核。当 boot 加载完成之后整个内核就都在内存中了,此时内存的使用权已由 bootfs 转交给内核,此时系统也会卸载 bootfs。
rootfs(root file system),在 bootfs 之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs 就是各种不同的操作系统发行版,比如 Ubuntu,centos 等等。
平时我们安装进虚拟机的 centos 都是好几个G,为什么 docker 这里才200M?
这是因为对于一个精简的 OS,rootfs 可以很小,只需要包含最基本的命令,工具和程序库就可以了,因为底层直接用 Host 的 kernel,自己只需要提供 rootfs 就可以了。由此可见对于不同的 linux 发行版,bootfs 基本是一致的,rootfs 会有差别, 因此不同的发行版可以公用 bootfs。
容器打包镜像(commit)
提交容器的副本,让这个容器产生一个新的镜像
docker commit 容器名或容器id 镜像名:版本号
参数:
-
-a:等价于--author,作者信息(例如:John Hannibal Smith hannibal@a-team.com) -
-m:等价于--message,提交的信息
这里我们根据 redis 镜像创建一个容器,进行修改,然后再用修改后的容器打包成一个新的镜像
[root@iZbp15293q8kgzhur7n6kvZ ~]# docker run -it redis /bin/bash
# 对容器进行修改
root@ed467c2e1bd1:/data# cp /bin/* /home
# 快捷键ctrl+p+q退出
root@ed467c2e1bd1:/data# read escape sequence
[root@iZbp15293q8kgzhur7n6kvZ ~]# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
ed467c2e1bd1 redis "docker-entrypoint.s…" About a minute ago Up About a minute 6379/tcp clever_kilby
68ef570f524e portainer/portainer "/portainer" 49 minutes ago Up 49 minutes 0.0.0.0:8088->9000/tcp, :::8088->9000/tcp heuristic_hopper
bad6ece44115 elasticsearch:7.8.0 "/tini -- /usr/local…" 18 hours ago Up 18 hours 0.0.0.0:9200->9200/tcp, :::9200->9200/tcp, 0.0.0.0:9300->9300/tcp, :::9300->9300/tcp myelastaicsearch
8d54bf57c557 nginx "/docker-entrypoint.…" 18 hours ago Up 18 hours 0.0.0.0:3500->80/tcp, :::3500->80/tcp mynginx
# 重启一下容器
[root@iZbp15293q8kgzhur7n6kvZ ~]# docker restart ed467c2e1bd1
ed467c2e1bd1
# 打包成一个新的镜像newredis:1.0
[root@iZbp15293q8kgzhur7n6kvZ ~]# docker commit -a="akuya" -m="test" ed467c2e1bd1 newredis:1.0
sha256:d243afadb3b1457422129ddb1e32a338ef1d4742b9d1e9a9b069cea04696b242
这里我们可以看到,新打包的镜像多了一层sha256:d243afadb3b1457422129ddb1e32a338ef1d4742b9d1e9a9b069cea04696b242
对比原来 redis 镜像的分层
# 新newredis:1.0的镜像分层
"RootFS": {
"Type": "layers",
"Layers": [
"sha256:2edcec3590a4ec7f40cf0743c15d78fb39d8326bc029073b41ef9727da6c851f",
"sha256:9b24afeb7c2f21e50a686ead025823cd2c6e9730c013ca77ad5f115c079b57cb",
"sha256:4b8e2801e0f956a4220c32e2c8b0a590e6f9bd2420ec65453685246b82766ea1",
"sha256:529cdb636f61e95ab91a62a51526a84fd7314d6aab0d414040796150b4522372",
"sha256:9975392591f2777d6bf4d9919ad1b2c9afa12f9a9b4d260f45025ec3cc9b18ed",
"sha256:8e5669d8329116b8444b9bbb1663dda568ede12d3dbcce950199b582f6e94952",
"sha256:9d3a71caf59342bb545421fd890b80016a4dd6ffc960a8fb11b566396530a95e"
]
},
"RootFS": {
"Type": "layers",
# 镜像分层下载的片段
"Layers": [
"sha256:2edcec3590a4ec7f40cf0743c15d78fb39d8326bc029073b41ef9727da6c851f",
"sha256:9b24afeb7c2f21e50a686ead025823cd2c6e9730c013ca77ad5f115c079b57cb",
"sha256:4b8e2801e0f956a4220c32e2c8b0a590e6f9bd2420ec65453685246b82766ea1",
"sha256:529cdb636f61e95ab91a62a51526a84fd7314d6aab0d414040796150b4522372",
"sha256:9975392591f2777d6bf4d9919ad1b2c9afa12f9a9b4d260f45025ec3cc9b18ed",
"sha256:8e5669d8329116b8444b9bbb1663dda568ede12d3dbcce950199b582f6e94952"
]
},
可以很明显的看到新的镜像分层多了一层sha256:9d3a71caf59342bb545421fd890b80016a4dd6ffc960a8fb11b566396530a95e
所以我们可以了解到当创建一个新的镜像时,docker 会基于已有的镜像进行修改和扩展。每个修改操作都会生成一个新的层,并且这些层是按照顺序进行组织的,形成一个层次结构。每个层都只包含了与前一层的差异,这样可以节省存储空间,并且提高镜像的构建效率。
docker 镜像分层的优点
docker 镜像的分层机制带来了以下几个优点:
- 空间效率:由于 docker 镜像的每个层都只包含与前一层的差异,相同的层可以在多个镜像之间共享和重用。这样可以节省存储空间,尤其在使用大量镜像时非常显著。只需存储每个层的差异,而不是整个镜像,大大减少了磁盘占用。
- 构建效率:在构建镜像时,只需要对修改的部分创建新的层,而不需要重新复制整个镜像。这样可以大大加快镜像的构建速度,尤其当镜像层次结构复杂且包含大量文件时,效果更为明显。
- 可维护性:通过分层机制,docker 镜像的每个层都是只读的,不可修改。这意味着镜像的不同版本可以共享相同的底层层,只需在最上层添加新的层来表示不同的版本或修改。这样可以简化镜像的维护和更新过程,提高可维护性。
- 可重用性:由于镜像的每个层都可以在多个镜像之间共享和重用,可以更好地利用已有的层来构建新的镜像。这样可以提高镜像的可重用性,减少重复工作,同时也方便了镜像的分发和共享。
- 容器隔离性:通过每个容器都有自己的可写层,docker 可以实现容器之间的隔离性。每个容器可以独立地修改和管理自己的文件系统,而不会对其他容器或原始镜像的层产生影响。这样可以确保容器的独立性和安全性。
综上所述,docker 镜像的分层机制带来了空间效率、构建效率、可维护性、可重用性和容器隔离性等多个方面的优点,使得 docker 在容器化应用的开发和部署中具有高效性和灵活性。
