容器技術之Docker映象

1874發表於2020-05-23

  前文我們聊了下docker的基礎使用方法,大概介紹了下docker的架構,管理映象、執行容器、管理容器的一些相關命令說明;回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12933412.html;今天這邊部落格主要來聊docker的映象的製作和分發,以及相關映象的操作和說明;

  前面我們提到過docker最核心資源之一就是映象,映象就好比是我們的應用程式,要想執行它,前提是要擁有它,並把它裝載作業系統上;而docker裡的映象就是把應用程式所依賴的庫、檔案、環境等打包在一起,組成一個靜態的映象檔案;這樣一來有了這個映象,我們就可以把我們自己的應用程式在任何有docker環境的主機上執行成容器;這也是docker受歡迎的原因之一吧,解脫了程式設計師為其應用程式而苦惱;

  docker映象包含了應用程式啟動所需的檔案系統以及內容,其目的就是為建立並啟動為docker容器;那麼docker的映象到底是怎麼構建的呢?我們來看看下面的圖大概就會明白

  提示:docker映象採用分層構建的機制,最低層為bootfs,該層的主要作用是用於系統引導的檔案系統,包括bootloader和核心,容器啟動完成後會被解除安裝以節省記憶體資源;在bootfs之上的是rootfs,該層主要表現為docker容器的根檔案系統;傳統模式中,系統啟動之時,核心掛載rootfs時會首先將其掛載為只讀模式,完成完整性自檢後在將其重新掛載為讀寫模式;而docker中,rootfs有核心掛載為只讀模式,而後通過聯合掛載技術額外掛載一個可寫成;如下圖所示

  提示:位於下層的映象我們稱為父映象,最底層的映象稱其為基礎映象;最上層為可寫層,其下的所有層都是隻讀層;從上面的圖我們也可以看到,只有映象執行成容器以後才會有可寫層的;也就是說可寫層屬於容器而不屬於映象;其實docker容器是共享下面映象層的,只有啟動為容器後,各自的可寫層相互隔離;

  瞭解了docker的映象構建方式後,我們在看看多個映象怎麼做到聯合掛載的?

  聯合掛載的技術要源於AUFS這個檔案系統,該檔案系統的全稱是advanced multi-layered unification filesystem翻譯過來就是高階多層統一檔案系統;該檔案主要作用是為Linux檔案系統實現“聯合掛載”;aufs的前身是unionfs,2006年由junjiro okajima開發;docker最初使用aufs作為容器檔案系統層,它目前仍作為儲存後端之一,aufs的競爭產品是overlayfs,後者自從3.18版本開始被合併到Linux核心;docker的分層映象,除了aufs,docker還支援btrfs,devicemapper和vfs等,在ubuntu系統下,docker預設使用的aufs;而在早期centos7上用的是devicemapper;所以早期跑docker都跑在ubuntu上,原因之一是ubuntu的核心版本較新,能夠很好的相容aufs檔案系統;現在我們在centos7上執行docker預設使用的是overlayfs2檔案系統;如下所示

 

  提示:如果用執行docker建議backing filesystem 使用xfs檔案系統,不要使用ext系列檔案系統;

   瞭解了docker的檔案系統後,在來說一下docker的映象倉庫

  docker啟動容器時,docker 服務端會試圖從本地獲取相關映象;本地映象不存在時,將會從docker預設的映象倉庫中下載指定映象並保持本地,然後再啟動為容器;大致過程如下圖所示

  提示:從上圖可以瞭解到docker客戶端和服務端的一個工作流程,客戶端通過http協議向服務端傳送指令,服務端首先從本地查詢是否有對應版本的映象,如果有就啟動為容器,如果沒有就會去預設的registry中下載對應版本的映象到本地,然後在啟動為容器;對於docker服務端和registry來講他們都需要各自的儲存裝置驅動來儲存映象;registry是用於儲存docker映象,包括映象的層次機構和後設資料;使用者可以自建registry,也可使用官方的docker hub;registry分類主要有Sponsor registry 第三方的registry,供客戶和docker社群使用;mirror registry 第三方的registry,只讓客戶使用;vendor registry 由釋出docker映象的供應商提供的registry;private registry 通過設有防火牆和額外的安全層的私有實體提供的registry;

  registry主要包含了倉庫和索引;所謂倉庫就是由特定的docker映象的所有迭代版本組成的映象倉庫;一個registry中可以存在多個repository,而對於repository來說可以分為頂層倉庫和使用者倉庫,頂層倉庫就是沒有斜線分割的倉庫,使用者倉庫是由使用者名稱加斜線分割再加倉庫名組成;每個倉庫可以包含多個tag標籤,每個標籤對應一個映象;所謂索引(index)主要用於維護使用者帳號、映象的校驗以及公共名稱空間的資訊,相對於為registry提供一個完整使用者認證等功能的檢索介面;所以我們把registry理解為存放docker映象倉庫的倉庫更為準確;docker registry中的映象通常由開發人員製作,而後推送至公共或私有的倉庫上保持,供其他人員使用;如下圖所示

  瞭解了registry和repository的關係後,我們在來說說docker hub;docker hub 是docker的官方倉庫,它主要有如下幾種特性;

  1、image repositories,提供映象倉庫的功能

  2、autometed builds,提供自動編譯功能,什麼意思呢?它支援我們向上傳一個構建docker映象的原始碼檔案,它可以根據這個原始碼檔案自動生成docker 映象;這個原始碼檔案叫dockerfile 主要用於編寫映象的構建過程的指令檔案;

  3、Webhooks,提供監控目標資源的變化實現根據目標監控物件上的資源變化而變化的一種機制;比如我們可以使用github和dockerhub聯合起來,開發人員通過git向github提交程式碼(dockerfile),然後dockerhub就會一直盯著github上的資源,如果有變化,它就根據監控的資源變化而重新編譯成一個映象,類似這種功能;

  4、organizations,支援建立組的方式對映象倉庫的訪問管理

  5、github and bitbucket integration,支援將github和bitbucket新增到你當前的docker 映象工作流中;

  瞭解了以上內容,我們在dockerhub上去註冊一帳號,就可以建立倉庫去存放我們自己製作好的映象了;註冊帳號這裡我就不多說了,我們來說一下怎樣製作映象和怎麼把映象推送到我們自己的倉庫中去;

  基於現有映象製作映象

  1、拖映象到本地

[root@node1 ~]# docker image ls
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
centos              7                   b5b4d78bc90c        2 weeks ago         203MB
nginx               stable-alpine       ab94f84cc474        4 weeks ago         21.3MB
[root@node1 ~]# docker image pull busybox:latest
latest: Pulling from library/busybox
d9cbbca60e5f: Pull complete 
Digest: sha256:836945da1f3afe2cfff376d379852bbb82e0237cb2925d53a13f53d6e8a8c48c
Status: Downloaded newer image for busybox:latest
docker.io/library/busybox:latest
[root@node1 ~]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
busybox             latest              78096d0a5478        9 days ago          1.22MB
centos              7                   b5b4d78bc90c        2 weeks ago         203MB
nginx               stable-alpine       ab94f84cc474        4 weeks ago         21.3MB
[root@node1 ~]# 

  2、執行busybox為容器

  提示:busybox容器預設提供的是一個模擬Linux很多命令的一個程式,本身沒有跑任何程式;所以我們啟動容器必須得用互動式終端才行,否則容器啟動不起來;-it表示啟動為互動式終端;

  3、建立httpd的網頁檔案

  提示:到此我們在容器內部的資料就準備好了。現在需要將我們修改後的資料儲存下來製作成映象分發給其他人使用;

  4、基於現有容器製造映象

[root@node1 ~]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
busybox             latest              78096d0a5478        9 days ago          1.22MB
centos              7                   b5b4d78bc90c        2 weeks ago         203MB
nginx               stable-alpine       ab94f84cc474        4 weeks ago         21.3MB
[root@node1 ~]# docker container commit --help

Usage:  docker container commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]]

Create a new image from a container's changes

Options:
  -a, --author string    Author (e.g., "John Hannibal Smith <hannibal@a-team.com>")
  -c, --change list      Apply Dockerfile instruction to the created image
  -m, --message string   Commit message
  -p, --pause            Pause container during commit (default true)
[root@node1 ~]# docker container commit -a "qiuhom <qiuhom@admin123.com>" -p -m "this is test image" -c 'CMD ["/bin/sh","-c","/bin/httpd -f -h /var/www/web/html"]' b1 linux1874/myimg:v0.1   
sha256:e408b1c6e04f0e5f5129989f35e6f613dec17d963770c4be8d6daa54343c5399
[root@node1 ~]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
linux1874/myimg     v0.1                e408b1c6e04f        5 seconds ago       1.22MB
busybox             latest              78096d0a5478        9 days ago          1.22MB
centos              7                   b5b4d78bc90c        2 weeks ago         203MB
nginx               stable-alpine       ab94f84cc474        4 weeks ago         21.3MB
[root@node1 ~]# 

  提示:-a表示指定作者資訊,通常情況下作者資訊是帶郵箱地址的;-p 表示製作映象時暫停容器,這樣做主要是為了資料統一,預防制作過程中的資料增加;-m表示註解資訊;-c表示指定容器內部執行的命令;從上面的結果看,我們在本地就可以看到我們製作的映象;這裡需要特別注意一點的時,在docker容器裡執行的服務必須前臺執行,如果後臺執行會導致容器一啟動就退出了,原因是容器內部本身就只有一個程式在跑,如果你後臺執行,就沒有程式在前臺,所以docker會認為該容器已經當機;其實我們可以理解為容器內部前臺跑的程式是支撐整個容器為執行態的重要骨架;

  5、登入自己dockerhub帳號

[root@node1 ~]# docker login
Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username: linux1874    
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
[root@node1 ~]# 

  6、推送映象到dockerhub中我們自己的倉庫中去

[root@node1 ~]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
linux1874/myimg     v0.1                e408b1c6e04f        7 minutes ago       1.22MB
busybox             latest              78096d0a5478        9 days ago          1.22MB
centos              7                   b5b4d78bc90c        2 weeks ago         203MB
nginx               stable-alpine       ab94f84cc474        4 weeks ago         21.3MB
[root@node1 ~]# docker image push --help

Usage:  docker image push [OPTIONS] NAME[:TAG]

Push an image or a repository to a registry

Options:
      --disable-content-trust   Skip image signing (default true)
[root@node1 ~]# docker image push linux1874/myimg:v0.1
The push refers to repository [docker.io/linux1874/myimg]
4d567d38fed1: Pushed 
1079c30efc82: Mounted from library/busybox 
v0.1: digest: sha256:6c2f6b7a0df5ca0a46cd46d858e9fd564169471e6715c0155027ac77672508f6 size: 734
[root@node1 ~]#

  提示:製作的映象打標籤時,需要打成同倉庫名一致的名稱;到此我們就把我們製作好的映象推送到我們的倉庫中去了

  7、到dockerhub倉庫中檢視是否存在我們剛才製作好的映象?

  提示:可以看到我們有一個叫v0.1的映象;

  8、另外開啟一主機,下載該映象,看看是否能夠啟動為容器,並提供httpd服務呢?

[root@docker_node1 ~]# docker images 
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
wordpress           latest              c3fa1c8546fb        3 weeks ago         540MB
mysql               5.7                 f965319e89de        3 weeks ago         448MB
httpd               2.4.37-alpine       dfd436f9a5d8        17 months ago       91.8MB
[root@docker_node1 ~]# docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
[root@docker_node1 ~]# docker image pull linux1874/myimg:v0.1
Error response from daemon: pull access denied for linux1874/myimg, repository does not exist or may require 'docker login': denied: requested access to the resource is denied
[root@docker_node1 ~]# docker login
Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username: linux1874
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
[root@docker_node1 ~]# docker image pull linux1874/myimg:v0.1
v0.1: Pulling from linux1874/myimg
d9cbbca60e5f: Pull complete 
ab68b1a31f97: Pull complete 
Digest: sha256:6c2f6b7a0df5ca0a46cd46d858e9fd564169471e6715c0155027ac77672508f6
Status: Downloaded newer image for linux1874/myimg:v0.1
docker.io/linux1874/myimg:v0.1
[root@docker_node1 ~]# docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
linux1874/myimg     v0.1                e408b1c6e04f        20 minutes ago      1.22MB
wordpress           latest              c3fa1c8546fb        3 weeks ago         540MB
mysql               5.7                 f965319e89de        3 weeks ago         448MB
httpd               2.4.37-alpine       dfd436f9a5d8        17 months ago       91.8MB
[root@docker_node1 ~]# docker run --name myweb1 -d linux1874/myimg:v0.1
5bd8e32089c0431399c9f81bbbdcf946817d3f8ab32ffc1caf072e73ed9ef5d9
[root@docker_node1 ~]# docker ps 
CONTAINER ID        IMAGE                  COMMAND                  CREATED             STATUS              PORTS               NAMES
5bd8e32089c0        linux1874/myimg:v0.1   "/bin/sh -c '/bin/ht…"   8 seconds ago       Up 7 seconds                            myweb1
[root@docker_node1 ~]# 

  提示:因為我建立的是私有倉庫,所以只有登入倉庫後才可以下載;如果是公有倉庫就不需要登入;從上面的資訊看,我們下載的映象已經下載到本地,並啟動為容器了;

  9、在宿主機上訪問容器內部httpd服務,看看是否能夠響應我們提供的主頁?

[root@docker_node1 ~]# docker container inspect -f "{{.NetworkSettings.Networks.bridge.IPAddress}}" myweb1
172.17.0.2
[root@docker_node1 ~]# curl http://172.17.0.2
this test file
[root@docker_node1 ~]# 

  提示:可以看到是可以訪問到內部容器的httpd服務,響應給我們的主頁也是我們自己製作映象時提供的主頁檔案;

  到此基於現有容器製作映象、分發映象到倉庫的過程就測試完了;

相關文章