💎一站式轻松地调用各大LLM模型接口,支持GPT4、智谱、星火、月之暗面及文生图 广告
[TOC] # <span style="font-size:15px">**Docker镜像的核心原理一:镜像的存储和管理方式**</span> ## <span style="font-size:15px">**镜像的设计**</span> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;一个镜像都由多个镜像层组成。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;为了区别镜像层,Docker为每个镜像层都计算了UUID,根据镜像层中的数据使用加密哈希算法生成UUID。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;所有镜像层和容器层都保存在宿主机的文件系统/var/lib/docker/中,由存储驱动进行管理。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;在下载镜像时,Docker Daemon会检查镜像中的镜像层与宿主机文件系统中的镜像层进行对比,如果存在则不下载,只下载不存在的镜像层。 ![](https://img.kancloud.cn/e6/9e/e69e0729db8e6d4e1d59d2ee6c3f2e00_623x370.png) ## <span style="font-size:15px">**栈层式管理镜像层**</span> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;docker 中存储驱动用于管理镜像层和容器层。不同的存储驱动使用不同的算法和管理方式。在容器和镜像管理中,使用的两大技术是**栈式层管理和写时复制。** &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dockerfile中的每一条指令都会对应于Docker镜像中的一层,因此在docker build完毕之后,镜像的总大小将等于每一层镜像的大小总和。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;每个镜像都由多个镜像层组成,从下往上以栈的方式组合在一起形成容器的根文件系统,Docker的存储驱动用于管理这些镜像层,对外提供单一的文件系统。Docker 的镜像实际上由一层一层的文件系统组成,这种层级的文件系统叫 UnionFS(联合文件系统)。 > **由于联合文件系统的存在,容器文件系统内容的大小不等于Docker镜像大小。** ![](https://img.kancloud.cn/a0/88/a088fc60fc529c2b5a01f9606d9359ab_369x231.png) 由于联合文件系统的存在,如果镜像层是相同的,则不同的镜像会共享该层。 如上图中,镜像A与镜像B就共享第二层镜像,使得A+B镜像文件大小并不等于A+B镜像占用宿主机存储空间容量的大小。 `doker images`命令列出的镜像体积总和并不能代表实际使用的磁盘空间,需要使用`docker system df`命令来代替。 <br> ### <span style="font-size:15px">**UnionFS (联合文件系统)**</span> 联合文件系统(UnionFS)是一种**分层**、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下。 >**分层的原因:** >1. 分层最大的一个好处就是共享资源 >2. 有多个镜像都从相同的base镜像构建而来,那么宿主机只需在磁盘上保存一份base镜像; >3. 同时内存中也只需加载一份base镜像,就可以为所有容器服务了,而且镜像的每一层都可以被共享。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;联合文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承,基于基础镜像(没有父镜像),可以制作各种具体的应用镜像。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;特性:一次同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录。 > 如图,在下载镜像时,也是一层一层下载的 ![](https://img.kancloud.cn/22/fe/22fe564d9ed93e3961864acfe6d1c660_693x182.png) # <span style="font-size:15px">**Docker镜像的核心原理二:镜像结构**</span> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;要了解docker的镜像结构,需要先对linux的文件系统结构有所了解。 ## <span style="font-size:15px">**linux文件系统结构**</span> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Linux 文件系统由 `bootfs`和 `rootfs` 两部分组成。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;bootfs(boot file system) 主要包含 bootloader 和 kernel,bootloader 主要是引导加载 kernel(内核),当 kernel 被加载到内存中后 bootfs 就被 umount (卸载)了。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;rootfs (root file system) 包含的就是典型 Linux 系统中的 /dev,/proc,/bin,/etc 等标准目录和文件。rootfs就是各种Linux发行版。比如redcat、centOS。 ![](https://img.kancloud.cn/05/c2/05c2ac5198f3a8be072c4a8f35fc5eb3_681x464.png) ## <span style="font-size:15px">**docker镜像结构**</span> ![](https://img.kancloud.cn/04/a4/04a4dc88522d13cba13089bcca714f41_430x324.png) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;docker的分层镜像结构如图所示,镜像的最底层必须是一个启动文件系统(`bootfs`)的镜像层。`bootfs`的上层镜像称为根镜像(`rootfs`)或者基础镜像(`Base Image`),它一般是操作系统,比如centos、debian或者Ubuntu。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;用户的镜像必须构建在基础镜像之上。如图所示, emacs镜像层就是在基础镜像上安装emacs创建出来的镜像,在此基础上安装apache又创建了新的镜像层。利用这个新的镜像层启动的容器里运行的是一个已经安装好emacs和apache的Debian系统。 ## <span style="font-size:15px">**docker镜像分层的理解**</span> 查看镜像分层方式可以通过`docker image inspect [IMAGE]`命令。其中RootFS部分则是表示了分层信息。 ``` [root@iZbp1bum6107bp8mgzkeunZ ~]# docker image inspect redis [ { "Id": "sha256:53aa81e8adfa939348cd4c846c0ab682b16dc7641714e36bfc57b764f0b947dc", ... ... "RootFS": { "Type": "layers", "Layers": [ "sha256:ad6562704f3759fb50f0d3de5f80a38f65a85e709b77fd24491253990f30b6be", "sha256:49cba0f0997b2bb3a24bcfe71c7cbd6e9f6968ef7934e3ad56b0f1f9361b6b91", "sha256:309498e524b3e2da1f036d00cd5155e0b74cf9e1d964a3636c8ed63ca4a00d43", "sha256:f7c9b429437f7ada2d3d455ac4ea90ff38e0cb7ef2551b08d152264b74116309", "sha256:4dabdd56bbf16307e2328cb6ed1d42b0bb9b8f40551421271c0b38dc9a685dcc", "sha256:ea450ad6ef893e998f88a35dc9cc22f952c62b88d58f948344cf4eda1a6264fc" ] }, } ] ``` &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;所有的Docker镜像都起始于一个基础镜像层,当镜像修改或者新增新的内容时,就会在当前镜像层之上,创建新的镜像层。**即在添加额外的镜像层的同时,镜像始终保持是当前所有镜像的组合**。docker通过存储引擎(新版本采用快照机制)的方式实现镜像层堆栈,并保证多个镜像层对外展示为统一的文件系统。示例: ![](https://img.kancloud.cn/15/28/15280ae5bbf2f1631907fe4266341647_547x379.png) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;这个镜像中包含了三个镜像层,第一层有三个文件,第二层也有三个文件,第三层镜像中仅有一个文件,且这个文件是对第二层镜像中的文件5的一个更新版本。在这种情况下,上层镜像层中的文件会覆盖底层镜像层的文件,这样就使得文件的更新版本作为一个新的镜像层添加到镜像当中。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;最后docker通过存储引擎将所有镜像层堆叠并合并,对外提供统一的视图。 ![](https://img.kancloud.cn/ff/23/ff2301d18d0c7bf014cbc92be28985a6_626x180.png) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Dockerfile中的操作对于镜像分层的影响:**在镜像构建过程中需要向镜像写入数据的时候会产生分层,一个写操作指令产生一个分层**。 ``` // 实例,验证Dockerfile中的操作对于镜像分层的影响 // 第一步,简单编写一个Dockerfile,复制宿主机的文件到容器中,并且RUN 执行相关命令 [root@iZbp1bum6107bp8mgzkeunZ test]# cat Dockerfile FROM centos:7 # 写指令-COPY、RUN COPY * /root/test/ RUN touch /etc/pidstst.log \ && yum -y install sysstat CMD /root/test/process.sh // 第二步,创建镜像 [root@iZbp1bum6107bp8mgzkeunZ test]# docker build -f Dockerfile -t test . Sending build context to Docker daemon 4.096kB Step 1/4 : FROM centos:7 ---> eeb6ee3f44bd Step 2/4 : COPY * /root/test/ ---> 897bd9a5ead0 Step 3/4 : RUN touch /etc/pidstst.log && yum -y install sysstat ---> Running in 4b90b3c273b0 Step 4/4 : CMD /root/test/test.sh ---> Running in dd115ea2e7f7 Removing intermediate container dd115ea2e7f7 ---> 205226fedbc6 Successfully built 205226fedbc6 Successfully tagged test:latest // 查看创建的镜像 [root@iZbp1bum6107bp8mgzkeunZ docker]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE test latest 205226fedbc6 12 minutes ago 407MB // 查看该镜像的分层结构信息 // 所有的Docker镜像都起始于一个基础镜像层,因此第一个layer为dockerfile中指定的基础镜像层 // 然后dockerfile中有多少个写指令,就会有多少个lay。 这里是三个layer,跟dockerfile中刚好对应上。 [root@iZbp1bum6107bp8mgzkeunZ docker]# docker image inspect 205226fedbc6 ... "RootFS": { "Type": "layers", "Layers": [ "sha256:174f5685490326fc0a1c0f5570b8663732189b327007e47ff13d2ca59673db02", "sha256:114bd86a861ccc7b8fcc9c5702529d3e2df0fa7ad3e753e0ad072362db417e7c", "sha256:9759cbc1af5e6651027f437b3e902ab08725eda7fcf16cdeb5acc45cefb90a5b" ] } ... ``` # <span style="font-size:15px">**Docker镜像的核心原理三:写时复制策略(Copy On Write)**</span> >当某个容器修改了基础镜像的内容,比如 /bin文件夹下的文件,这时其他容器的/bin文件夹是否会发生变化呢? 答案是不会的。根据容器镜像的写时复制(Copy-on-Write)技术,某个容器对基础镜像的修改会被限制在单个容器内。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;写时复制策略采用了共享和复制技术,**针对相同的数据系统只保留一份,所有操作都访问这一份数据**。当有操作需要修改或添加数据时,操作系统会把这部分数据复制到新的地方再进行修改或添加,而其他操作仍然访问原数据区数据,这项技术节约了镜像的存储空间,加快了系统启动时间。 ![](https://img.kancloud.cn/25/fd/25fd9907a156275a2eb45dbf8e94d4f0_599x526.png) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;如图所示,当需要对镜像中的文件进行修改时,会将文件复制到容器层进行修改,上层文件会覆盖原始镜像文件。**注意:该文件存在于容器层,容器重启之后容器层重新建立,上一次容器运行时对于文件的修改全部丢失!** &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;只有当需要修改时才复制一份数据,这种特性被称作`Copy-on-Write`。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。 # <span style="font-size:15px">**Docker镜像的核心原理四:内容寻址原理**</span> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;在docker中,内容寻址就是根据文件内容来索引对应的镜像和镜像层,实际上就是对于镜像层的内容计算和校验后生成一个内容哈希值,并作为这个镜像层的唯一ID。在构造镜像时,根据这个ID来索引镜像层。