2、Docker镜像

TOC

Docker镜像管理

    docker容器能够运行的主机叫做Docker Host，它通常被称为Docker Server端接收客户端请求，是通过http或https协议进行交互，后端可以上远程主机的docker客户端，docker deamon在接收到客户端发送的创建容器的指令之后会在本地创建容器，那么在一个dokcer host之上可以启动多个容器，而容器的启动上需要通过镜像实现，镜像如果本地没有docker deamon会自动连接道docker registry上下载存储在本地一个特殊的文件系统当中，比如我们后面安装了1.18的版本使用的是overlay2存储驱动，这里面我们可以放多个镜像文件，而镜像本身上只读的，而且镜像在镜像的registry上，仓库名通常就上应用程序名，仓库内，可以放多个镜像，这个镜像通常上属于同一个应用程序的不同版本，我们用标签来识别这些镜像。
   以前我们去封装去部署应用程序的时候都上分布到系统的各个目录的，以后我们使用docker去部署应用程序的时候就可以利用镜像了，所以镜像我们可以理解为应用程序的集装箱，docker镜像上启动docker容器的一个非常重要的组件。
    docker镜像含有启动容器所需要的文件系统及其内容，比如busybox其内部，都拥有一个完整意义上的文件系统，它的主要作用在于创建并启动docker容器，docker镜像采用分层构建机制，最底层的是bootfs引导文件系统，真正让用户去构建用户空间并运行进程的容器上rootfs文件系统；
        bootfs：用户系统引导的文件系统，包括BootLoader和kernel，容器启动完成会被卸载以节约内存资源；
        rootfs：位于bootfs之上，表现为docker容器的根文件系统；

Docker镜像组织逻辑

    位于下层的镜像称为父镜像，最底层的镜像称为基础镜像；
    最上层镜像为读写层，其下均为只读层；

    分层构建，如果要运行apache镜像，我们需要在嘴底层的基础镜像比如centos在它之上，我们添加了一个编辑器，然后添加一个httpd，这每添加一个软件都是一个独立的层次，base image供给一个系统基本的文件系统，如果要用到某一个额外的工具需要在此之上构建新层，启动方式上依次挂载依次启动，所以称之联合挂载。因此对于一个容器来讲，它的所有写操作仅能够在最上层操作，而且如果删除了容器，最上层的读写层会一并被删除；

镜像文件系统

    镜像的这种分层构建和联合挂载，依赖于之转有文件系统的支撑才能实现，早起用到的专有文件系统上AUFS（高级多层级联合文件系统），用于为Linux文件系统实现联合挂载；
    UnionFS（联合文件系统）：能够实现，把不同的物理位置的目录合并到同一个目录中，比如我们在第一个磁盘分区上有一个ABC的目录，在第二个磁盘分区之上有一个DEF的目录，那么此时我们可以通过UnionFS，将ABC和DEF直接合并起来，合并之后可以看见里面既有ABC里面的文件，也有DEF里面的文件，所以它的功能就是将两个目录联合起来，看起来像一个目录。但是如果出现两个目录下的文件有一个文件是一模一样的，因为UnionFS的实现机制是叠加，这种叠加会使得，只有上层目录可写（ABC联合DEF，那么ABC为上层目录），下层目录只读，如果我们往这个只读的里面写，它会在这个DEF文件里面创建一个新文件，保存写入的内容，类似我们的winpe；
    AUFS：它是UnionFS的升级版，完全重写UnionFS源码，是UnionFS的高级版。docker强依赖AUFS，docker为了实现其对应的image映像文件的体积足够小，就是借助UnionFS机制来完成image机制的，但是我们的centos不支持AUFS机制，但在内核中有另外一个替代品，叫做Device mapper机制；
    AUFS之前上UnionFS的重新实现，2006年研发；
    Dcoker最初使用AUFS作为容器文件系统层，它目前仍作为存储后端之一来支持，Docker除了AUFS还支持，btrfs、devicemapper和vfs等，在Ubuntu系统下docker默认使用aufs，而在Centos7上最初默认使用的上devicemapper，如果上新版的docker默认用的上overlayfs；

镜像仓库registry包括以下两种

Repository
    由某特定的docker镜像的所有迭代版本组成的镜像仓库
    一个registry中可以存在多个repository
        repository可分为顶层仓库和用户仓库
        用户仓库名称格式为"用户名/仓库名"
    每个仓库可以包含多个Tag，每个Tag对应一个镜像
Index
    维护用户账户、镜像的校验以及公共命名空间的信息
    相当于为Registry提供了一个完成用户认证等功能的检索接口

Docker镜像管理命令

    拉取镜像：docker image pull <registry>[:<port>]/[<namespace>/]<name>:<tag>

镜像制作

    镜像制作途径有三种方式
        1、利用Dockerfile基于base image制作；
        2、基于容器来做；
        3、利用Docker Hub automated builds制作；

docker安装部署

安装配置

[root@node1 ~]# wget -O /etc/yum.repos.d/docker-ce.repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

创建配置文件加入阿里云镜像加速器

[root@node1 ~]# mkdir /etc/docker && cat > /etc/docker/daemon.json << EOF
{
    "registry-mirrors": ["https://owcyje1z.mirror.aliyuncs.com"],
    "insecure-registries":[]
}
EOF

安装docker

[root@node1 ~]# yum install -y docker-ce bash-completion docker-compose
[root@node1 ~]# source /usr/share/bash-completion/bash_completion

基于容器做镜像

   基于容器做镜像，先启动基础容器，然后在基础容器中做好打算做的修改，比如在安装一个Nginx，而后就可以把安装生成Nginx文件这套单独做成镜像，就使用docker commit；

运行基础容器
[root@node1 ~]# docker run -it --rm --name cce busybox sh
稍作改动
/ # echo "<h1>Busybox httpd web page </h1>" > /data/htdocs/index.html
开新终端commit构建容器
[root@node1 ~]# docker commit -a 'caidaye <mail0426@163.com>' -c 'CMD ["/bin/httpd","-f","-h","/data/htdocs"]' cce caichangen:v0.1
运行容器
[root@node1 ~]# docker run -it --name caichangen --rm caichangen:v0.1
测试容器
[root@node1 ~]# curl 172.17.0.3
<h1>Busybox httpd web page </h1>

Docker状态图

Docker的生命周期

1、检查本地是否存在指定的镜像，不存在就从公有仓库下载；
2、利用镜像创建并启动一个容器；
3、分配一个文件系统，并在只读的镜像层外面挂载一层可读可写层；
4、从宿主机主机配置的网桥接口中桥接一个虚拟接口到容器中去；
5、从地址池配置一个IP地址给容器；
6、执行用户指定的应用程序；
7、执行完毕后容器终止；