Docker镜像分层(六)

2022-08-09 14:16:11 浏览数 (1)

目录

  • Docker分层镜像
  • Docker镜像
  • Docker镜像的获取
  • Docker镜像分层原则
  • Docker镜像分层结构
  • Docker镜像加载原理
  • Docker镜像分层理解
  • Docker采用镜像分层的好处

Docker分层镜像

Docker镜像

镜像是一种轻量级、可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件,他包含运行某个软件所需的所有内容,包括代码、运行时库、环境变量和配置文件。将所有的应用和环境直接打包为docker镜像,就可以直接运行。

Docker镜像的获取

  • 从远程仓库下载
  • 通过拷贝获取
  • 自己制作一个镜像DockerFile

Docker镜像分层原则

  • Dockerfile中的每个指令都会创建一个新的镜像层
  • 镜像层将被缓存和服用
  • 当Dockerfile的指令修改了,复制的文件变化了,或者构建镜像是指定的变量不同了,对应的镜像镜像层就会失效
  • 某一层的镜像缓存失效后它之后的镜像层缓存都会失效
  • 镜像层是不可变的,如果在某一层中添加一个文件,然后再下一层中删除,则镜像中依然会包含该文件

注意: (1)如上图所示,Docker镜像层都是只读的,容器层是可写的。当容器启动时,一个新的可写层被加载到镜像顶部,这一层通常被称作“容器层”,“容器层”之下的都叫做“镜像层”。 (2)对容器的所有更改(无论添加、删除、还是修改文件)都只会发生在容器层中。上图中只有透明的writable Container是暴露给用户的。

平时我们在虚拟机上安装Linux操作系统都是好几个G,为什么docker才200M左右呢?

docker是基于轻量级的虚拟化技术,它仅包含业务运行时所需的runtime环境,也就是只包含Linux基础镜像,所以docker才会只有200M左右。

Docker镜像分层结构

首先介绍一下UnionFs (联合文件系统)

我们下载的时候看到分层的下载就是联合文件系统。是一种分层、轻量级并且高性能的文件系统,他支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下。Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。

特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录。

1.(内核层):由AUFS,LXC,Bootfs(boot file system)组成为上层的镜像提供kernel内核支持

  • AUFS是一个联合文件系统,它使用同一个Linux host上的多个目录,逐个堆叠起来,对外呈现出一个统一的文件系统。AUFS使用该特性,实现了Docker镜像的分层 分层的思想
  • bootfs:负责与内核交互 主要是引导加载kernel,linux刚启动时会加载bootfs文件系统,在Docker镜像的最底层时bootfs,这一层与经典的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了,此时内存的使用权已由bootfs转交给内核,此时系统就会卸载bootfs
  • rootfs(root file system)属于base images 在bootfs之上(base images)比如在linux系统中包含/dev,/proc,/bin,/etc等标准目录和文件,包含创建、启动操作系统的一些必要的组件,rootfs就是各个不同的操作系统的发行版本,比如Ubuntu,CentOS等等
  • lxc早期的内核引擎与docker引擎对接交互,docker提供一些库文件和引导文件。现在docker自身内置了所需要的lib库
  1. base image(基础/系统镜像层):构建镜像运行的操作系统环境
  2. add image(run指令运行的镜像层):比如nginx镜像的yum安装模块,或者nginx编译安装的指令,使用镜像封装每一个run执行命令
  3. Container(可读写执行层):将下面的镜像组合运行提供给docker client使用

总结:

  1. docker镜像层位于bootfs之上
  2. 每一层镜像成为base image/底包(操作系统环境变量)比如centos dbian
  3. 容器层(可读可写),在最顶层。是docker server提供给docker client
  4. 容器层以下都是readonly只读,docker将readonly的FS层成为image

Docker镜像加载原理

Docker的镜像是由一层一层的文件系统组成,也就是以UnionFS(联合文件系统)堆叠构成。

rootfs(root file system)包含的是典型Linux系统中的/dev、/proc、/bin、/etc等标准目录和文件,其实rootfs就是各种不同的操作系统发行版,比如Ubuntu、Centos等等。

bootfs(boot file system)主要包含bootloader和kernel、bootloader主要是引导加载kernel、Linux刚启动时候加载bootfs文件系统,在Docker镜像的最底层是引导文件系统bootfs。这一层与典型的Linux/Unix系统是一样的,包含boot加载器和内核。当boot加载完成后整个内核就在内存中了,内存的使用权由bootfs转交给内核,此时系统也会写在bootfs。至此,我们就比较容易理解docker容器其实就是一个简易版的Linux环境,它包含root用户权限、进程空间、用户空间和网络空间、以及运行在它上面的应用程序。

Docker镜像分层理解

所有的Docker镜像都起始于一个基础镜像层,当进行修改或增加新的内容时,就会在当前镜像层之上,创建新的镜像层。分层时有文件更新直接替换,基础镜像一样时直接拿过来复用。

如redis下载时,第一层相同,直接复用,其他几层分层下载。

代码语言:javascript复制
afb6ec6fdc1c: Already exists 
608641ee4c3f: Pull complete 
668ab9e1f4bc: Pull complete 
78a12698914e: Pull complete 
d056855f4300: Pull complete 
618fdf7d0dec: Pull complete

举一个简单的例子,假如基于 Ubuntu16.04创建一个新的镜像,这就是新镜像的第一层。如果在该镜像中添加Python包,就会在基础镜像层之上创建第二个镜像层。如果继续添加一个安全补丁,就会创健第三个镜像层该像当前已经包含3个镜像层,如下图所示(这只是一个用于演示的很简单的例子)。

在添加额外的镜像层的同时,镜像始终保持是当前所有镜像的组合。一个简单的例子,每个镜像层包含3个文件,而镜像包含了来自两个镜像层的6个文件。

下图中展示了一个稍微复杂的三层镜像,在外部看来整个镜像只有6个文件,这是因为最上层中的文件7是文件5的一个更新版。上层镜像层中的文件覆盖了底层镜像层中的文件。这样就使得文件的更新版本作为一个新镜像层添加到镜像当中。

所有镜像层堆并合井,对外提供统一的视图。

Docker镜像都是只读的,当容器启动时,一个新的可写层加载到镜像的顶部。这一层就是我们通常说的容器层,容器之下的都叫镜像层。

Docker采用镜像分层的好处

镜像分层最大的好处:资源共享,方便复制迁移,容易实现资源复用。

比如说多个镜像从相同的base镜像构建而来,那么Docker Host只需在磁盘上保存一份base镜像;同时内存中只需要加载一份base镜像,就可以为所有容器提供服务了,更有趣的是镜像的每一层都可以被共享。

更轻量:

  • 镜像大小:所需空间更小
  • 部署:更有利于大规模部署

更高效:

  • 计算:轻量、无需额外开销
  • 存储:系统盘aufs/dm/overlayfs;数据盘olume
  • 网络:宿主机网络,NS隔离

更敏捷、更灵活:

  • 分层的存储和包管理,devops理念;
  • 支持多网络配置
node.js 容器 容器镜像服务 kernel

0 人点赞