一、前言

记录时间 [2024-4-10]

前置文章：
Docker学习笔记（一）：入门篇，Docker概述、基本组成等，对Docker有一个初步的认识
Docker学习笔记（二）：在Linux中部署Docker（Centos7下安装docker、环境配置，以及镜像简单使用）
Docker 学习笔记（三）：Centos7 中 Docker 使用，镜像、容器，以及操作等常用命令小结
Docker 学习笔记（四）：练习篇，Linux 中使用 Docker 部署 Nginx，Tomcat，以及 ElasticSearch

笔者对关于 Docker 学习的文章进行了整理，需要的朋友可以参考上面专栏哦。

学前准备工作：

• Docker 学习视频
• Docker 官方文档
• Docker 远程仓库
• Linux 云服务器/虚拟机
• FinalShell 远程连接工具

在前几篇文章中，笔者讲述了关于Docker 学习的入门知识，本文是 Docker 入门的最后一篇，主要是对 Docker 镜像知识的梳理，附带了 Commit 方式提交镜像副本的操作，以及可视化面板 portainer 的安装。

主要内容有：

• 如何获取镜像
• 联合文件系统 UnionFS
• Docker 镜像加载原理
• Commit 镜像
• 安装可视化面板 portainer

二、划重点

Docker 镜像知识划重点

• 分层 + 堆叠 + 共用
• 方便部署和扩展：任何应用都能通过打包成 docker 镜像的方式，直接完成运行。
• 下载镜像时看到的一层一层的，就是联合文件系统。
• 为什么镜像是一层层下载的？因为联合文件系统的修改是一次次叠加的。
• 其中某些层可以让不同的镜像共用，比如：tomcat 和 mysql 镜像都会用到 centos 那一层。
• 在添加额外的镜像层的同时，镜像始终保持是当前所有镜像层的组合。
• 虚拟机要自己启动底层，所以分钟级；容器用宿主机的底层，所以秒级。

三、Docker 镜像知识

梳理一遍原理，重点在于理解分层

1. 镜像是什么

镜像是一种轻量级、可执行的独立软件包，将开发的软件和该软件的运行环境一起打包，即：镜像中包含运行这个软件所需的所有内容，包括代码、运行时、库、环境变量和配置文件。

2. 如何获取镜像

• 从远程仓库下载镜像
• 从朋友处拷贝镜像
• 使用 DockerFile 自己制作镜像

3. 联合文件系统（UnionFS）

联合文件系统是一种分层、轻量级并且高性能的文件系统，它支持将对文件系统的修改作为一次提交来一层层地叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。

联合文件系统的特性在于：它虽然同时加载了多个文件系统，但从外面只能看到一个文件系统。联合加载会把各层文件系统叠加起来，最终，该文件系统会包含所有底层的文件和目录。

联合文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。

4. Docker 镜像加载原理

Docker 镜像实际上由一层一层的文件系统组成，这种层级的文件系统即为联合文件系统。

比如下面提到的 bootfs 和 rootfs 这两层。

bootfs（boot file system）：

• 用于系统启动的加载引导，也就是计算机从黑屏到开机进入系统之间的过程；
• bootfs 主要包含加载器（bootloader）和内核（kernel）；
• Linux 刚启动时会加载 bootfs 文件系统，用 bootloader 引导加载 kernel；
• 可以说，任何镜像都会用到 bootfs，即，bootfs 是公用的，Docker 镜像的最底层是 bootfs；
• 这一层与典型的 Linux/Unix 系统一样，加载完成后整个内核就都在内存中了；
• 此时内存的使用权已由 bootfs 转交给内核，而 bootfs 会被系统卸载。

rootfs（root file system）：

• rootfs 在 bootfs 之上；
• rootfs 中包含典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件；
• rootfs 是各种不同的操作系统发行版，比如 Ubuntu、CentOS 等等；
• 容器相当于一个小型的虚拟机环境。

再比如，如下图所示：

• 先下载基础镜像，基础镜像层叠加在内核层之上；
• 再对基础镜像进行两次操作，每次操作都是在下一层往上叠一层。

5. 为什么镜像占内存少

平时安装在虚拟机中的 CentOS 系统一般占好几个 G，为什么 Docker 中的 CentOS 镜像仅 200M 呢?

原因在于操作系统精简：

• 不同的 Linux 发行版，其 bootfs 基本一致，rootfs 会有差别；
• 底层直接用宿主机的内核，即，公用 bootfs，自己提供 rootfs；
• rootfs 很小，只需要包含最基本的命令、工具和程序库就即可；
• 虚拟机要自己启动底层，所以分钟级；容器用宿主机的底层，所以秒级。

6. 镜像分层的理解

下载镜像并观察

使用 Docker 下载一个镜像，观察下载的日志输出，可以看到是一层一层下载的。

尝试一下：

[root@localhost ~]# docker pull redis
Using default tag: latest
latest: Pulling from library/redis
a2abf6c4d29d: Already exists 
c7a4e4382001: Pull complete 
4044b9ba67c9: Pull complete 
c8388a79482f: Pull complete 
413c8bb60be2: Pull complete 
1abfd3011519: Pull complete 
Digest: sha256:db485f2e245b5b3329fdc7eff4eb00f913e09d8feb9ca720788059fdc2ed8339
Status: Downloaded newer image for redis:latest
docker.io/library/redis:latest

查看下详细信息：

docker image inspect redis:latest

可以看到分层情况 Layers：

[root@localhost ~]# docker image inspect redis:latest
[// ..."RootFS": {"Type": "layers","Layers": ["sha256:2edcec3590a4ec7f40cf0743c15d78fb39d8326bc029073b41ef9727da6c851f","sha256:9b24afeb7c2f21e50a686ead025823cd2c6e9730c013ca77ad5f115c079b57cb","sha256:4b8e2801e0f956a4220c32e2c8b0a590e6f9bd2420ec65453685246b82766ea1","sha256:529cdb636f61e95ab91a62a51526a84fd7314d6aab0d414040796150b4522372","sha256:9975392591f2777d6bf4d9919ad1b2c9afa12f9a9b4d260f45025ec3cc9b18ed","sha256:8e5669d8329116b8444b9bbb1663dda568ede12d3dbcce950199b582f6e94952"]},...
]

思考

为什么 Docker 镜像要采用这种分层的结构？为了实现资源共享。

因为许多镜像都由相同的 Base 镜像构建而来，那么宿主机只需将 Base 镜像在磁盘上保留一份，同时在内存中加载一份，就可以为这些镜像的所有容器服务了，而且镜像的每一层都可以被共享。

Docker 镜像的每一层都是在前一层的基础上进行更改的，此方式可减少磁盘使用和提高镜像传输的效率。

理解一

• 所有的 Docker 镜像都起始于一个基础镜像层；
• 修改或增加新的内容时，会在当前镜像层之上创建新的镜像层。

如图，假如基于 Ubuntu 创建一个新的镜像，Ubuntu 即为新镜像的第 1 层；如果在该镜像中添加 Python 包，就会在基础镜像层之上创建第 2 个镜像层；如果继续添加一个安全补丁，就会创建第 3 个镜像层。该镜像当前已经包含 3 个镜像层。

理解二

• 在添加额外的镜像层的同时，镜像始终保持是当前所有镜像层的组合。

如下图，这个镜像包含 2 个镜像层，每个镜像层包含 3 个文件。也就是说：镜像 = 2 个镜像层 = 6 个文件

理解三

• 上层镜像层中的文件可以覆盖底层镜像层中的文件
• 将文件的更新版本作为一个新镜像层添加到镜像当中
• Docker 通过快照机制来实现镜像层堆栈（1.10 版本之前通过存储引擎）
• 保证多镜像层对外展示为统一的文件系统

存储引擎与快照机制：

在 Docker 的早期版本中，每一层都是通过存储引擎的方式来实现的，在底层文件系统上构建一个读写文件系统。但从 Docker 1.10 版本开始，Docker 开始使用了更高效的快照机制来实现层的堆叠。这种快照机制允许 Docker 在不同的层之间共享数据，从而减少了磁盘的使用空间和提高了容器的启动速度。

Linux 中可用的存储引擎：AUFS、Overlay2、Device Mapper、Btrfs、ZFS，顾名思义，每种存储引擎都基于 Linux 中对应的文件系统或者块设备技术，都具备其独有的性能特点。

Windows 中可用的存储引擎：windowsfilter，该引擎基于 NTFS 文件系统之上实现了分层和 CoW。（CoW，Copy-on-Write，能保证数据的完整性，有利于掉电恢复）

如图，在这个镜像中，使用新的镜像层中的文件 7 覆盖了旧镜像层文件 5；对外展示时，提供统一的视图，所有镜像层堆叠并合并。

理解四

• Docker 镜像都是只读的，容器层之下的是镜像层；
• 创建一个新的容器时，Docker 会创建一个新的可写层（容器层），并加载到镜像的顶部；
• 在可写层中添加/更新/删除文件；
• 删除/更新文件时，Docker 会从底层的只读层中提取该文件的副本到可写层，并在可写层中进行更改。

7. 操作原理

如图是镜像相关操作运行的原理，从远程下载到本地运行，镜像是只读文件，所有对它的操作都在容器层中进行。

四、Commit 镜像

使用 docker commit 命令提交容器成为一个新的副本

# 命令和 git 原理类似
docker commit -m="提交的描述信息" -a="作者" 容器id 目标镜像名:[tag]

操作一下吧：（可以随便找个容器尝试一下）

• 启动一个默认的 tomcat
• 发现 默认的 tomcat 下没有 webapps 应用（原因参考这篇文章）
• 将基本的文件拷贝到 webapps 目录下
• 将操作后的容器通过 commit 提交为一个新镜像
• 以后可以使用这个新镜像，是我们自己修改的
• 这个镜像相当于保存了当前容器的状态，好比 VM 的快照

docker commit -a="yuan" -m="add webapps app" b8e65a4d736d tomcat02:1.0

五、可视化面板

下面简单介绍下可视化面板 portainer 的安装

安装命令：

docker run -d -p 8088:9000 \
--restart=always -v /var/run/docker.sock:/var/run/docker.sock --privileged=true portainer/portainer

访问测试：

访问 8088 端口测试，面板如下，可以查看 docker 中镜像、容器等的情况，并进行启动、进入、移除等操作。

六、总结

本文是 Docker 入门的最后一篇，下一环节进入 Docker 精髓：数据卷、DockerFile、Docker 网络。

一些参考资料

狂神说系列 Docker 教程：https://www.bilibili.com/video/BV1og4y1q7M4/

Docker 官方文档：https://docs.docker.com/engine/install/centos/

Docker 远程仓库：https://hub.docker.com/

FinalShell 下载：http://www.hostbuf.com/t/988.html