Docker容器的加載原理、分層原理、commit鏡像

一、什么是鏡像

• 鏡像是一種輕量級、可執(zhí)行的獨立軟件包，用來打包軟件運行環(huán)境和基于運行環(huán)境開發(fā)的軟件。
• 它包含運行某個軟件所需的所有內(nèi)容，包括代碼、運行時環(huán)境、庫、環(huán)境變量和配置文件。
• 所有的應(yīng)用，直接打包成docker鏡像，就可以直接跑起來。

如何得到鏡像：

• 從遠(yuǎn)程倉庫下載
• 從其他地方copy
• 自己制作一個鏡像 DockerFile

二、docker鏡像加載原理

1. 聯(lián)合文件系統(tǒng)UnionFS

UnionFS是一種分層、輕量級并且高性能的文件系統(tǒng)。支持對文件系統(tǒng)的修改作為一次提交來一層層的疊加，同時可以將不同目錄掛載到同一個虛擬文件系統(tǒng)下。這個在我們下載鏡像的時候，就可以看到這樣的效果。

比如有涉及到相同的文件，那么就可以共用了，極大節(jié)省資源。

UnionFS是docker鏡像的基礎(chǔ)，鏡像可以通過分層來進(jìn)行繼承，基于基礎(chǔ)鏡像(沒有父鏡像)，可以
制作各種具體的應(yīng)用鏡像。

特性：一次同時加載多個文件系統(tǒng)，但從外面看起來，只能看到一個文件系統(tǒng)，聯(lián)合加載會把各層文件系統(tǒng)疊加起來，這樣最終的文件系統(tǒng)會包含所有底層的文件和目錄。

2. 鏡像加載原理

docker的鏡像實際上由一層一層的文件系統(tǒng)組成，這種層級文件系統(tǒng)就是上述的UnionFS。接著，在內(nèi)部又分為2部分：

• bootfs(boot file system)：docker鏡像的最底層是bootfs，主要包含bootloader(加載器)和kernel(內(nèi)核)。bootloader主要是引導(dǎo)加載kernel，linux剛啟動時會加載bootfs文件系統(tǒng)。這一層與典型的linux/Unix系統(tǒng)一樣，包含bootloader和kernel。
  當(dāng)boot加載完成后，整個內(nèi)核就在內(nèi)存中了，此時內(nèi)存的使用權(quán)已由bootfs轉(zhuǎn)交給了內(nèi)核，此時系統(tǒng)也會卸載bootfs。
  這里的加載，可以理解為，我們windows電腦開機時候，從黑屏到進(jìn)入操作系統(tǒng)的過程。
• rootfs(root file system)：在bootfs之上，包含的就是典型linux系統(tǒng)中的/dev、/proc、/bin、/etc等標(biāo)準(zhǔn)目錄和文件。

rootfs就是各種不同的操作系統(tǒng)發(fā)行版，比如Ubuntu、Centos等等。

如圖所示：

圖中以debian系統(tǒng)為例，從左到右，分為3個過程:

• 圖1，開始的狀態(tài)，下載了一個debian系統(tǒng)。
• 圖2，安裝了一個emacs，這時候可以看到在圖1基礎(chǔ)上，加了一層Image。
• 圖3，又裝了一個Apache，此時在圖2的基礎(chǔ)上再加了一層Image。

說明了docker的鏡像實際上是由層一層的文件系統(tǒng)組成的。對于不同的的linux發(fā)行版本，bootfs基本是一致的，rootfs會有差別，所以不同的發(fā)行版可以共用bootfs。

另外，在docker上的操作系統(tǒng)通常都是精簡版的，在VM上安裝個centos鏡像大小1個G多，而在docker上的centos鏡像只有200M大小。

因為底層直接用主機的內(nèi)核，自己只需要提供rootfs就行了，所以rootfs可以很小，只需要包含最基本的命令、工具和程序庫即可。

這樣一來，啟動速度也快了，因為最浪費時間的引導(dǎo)加載過程沒了。

三、分層原理

知道了鏡像的加載原理，不妨再回頭看下鏡像分層的原理。之前提過，鏡像下載的時候是分層下載的，有些層如果已經(jīng)存在了，就無需再次下載。

比如我下載一個redis的鏡像。

這種方式最大的好處就在于資源共享。比如有多個鏡像都從相同的BASE鏡像構(gòu)建來的，那么宿主機只需要在磁盤上保留1分BASE鏡像，同時內(nèi)存中也只需要加載一份BASE鏡像，這樣所有的容器都可以使用。另外，鏡像的每一層都是可以共享的。

可以通過docker image inspect來查看鏡像的分層，比如查看剛才下載的redis鏡像：

docker image inspect redis:latest

所有的docker鏡像都起始于一個基礎(chǔ)鏡像層，當(dāng)進(jìn)行修改或者增加新的內(nèi)容時，就會在當(dāng)前鏡像層之上，創(chuàng)建新的鏡像層。

比如：

我現(xiàn)在要制作一個鏡像。

• 這個鏡像基于Ubuntu linux 16.04，這也是鏡像的第一層。
• 繼續(xù)還要安裝python包，就會在第一層之上創(chuàng)建第二個鏡像層。
• 繼續(xù)打補丁的話，還會再創(chuàng)建第三個鏡像層。

要注意的是：

在添加額外的鏡像層的同時，鏡像始終保持是當(dāng)前所有鏡像的組合，如下圖：

這里每個鏡像層包含了3個文件，而鏡像則是包含了來自2個鏡像層的6個文件。

現(xiàn)在，如果第二層中的 文件5 需要升級版本。這時候上層鏡像中的文件會覆蓋底層鏡像中對應(yīng)的文件，使得文件里更新版本作為一個新鏡像層添加到鏡像當(dāng)中。

docker 通過存儲引擎的方式來實現(xiàn)鏡像層堆棧，并保證多鏡像層對外展示為統(tǒng)一的文件系統(tǒng)。

四、commit鏡像

通過上面的了解，現(xiàn)在已經(jīng)知道鏡像的結(jié)構(gòu)原理，那么我們自己就可以制作一個鏡像來。

比如，現(xiàn)在pull一個tomcat鏡像作為基礎(chǔ)層，我啟動這個鏡像后，在容器里做了一些我自己的改動，我覺得我的這些改動很好，鏡像變得更好用了。那么我需要來保存這個容器的狀態(tài)，通過commit命令，提交鏡像。

docker commit -m="提交描述信息" -a="作者" 容器id 目標(biāo)鏡像名稱:版本標(biāo)簽

運行tomcat后，進(jìn)入到webapps下，發(fā)現(xiàn)是沒有項目的，因為是閹割版。

現(xiàn)在我把webapps.dist下的所有內(nèi)容copy到webapps下。

現(xiàn)在我用ip:8080就可以訪問到項目了。

現(xiàn)在我提交這個改動過后的容器。

docker commit -m="pingguo first commit image" -a="pingguo" 03844ff66434 tomcatpingguo:1.0

提交成功后，docker images查看鏡像，發(fā)現(xiàn)已經(jīng)保存在本地。

通過自己的提交鏡像操作，再回過來體會下鏡像的分層，是不是理解更深刻了些？