1.什么是docker镜像
Docker 镜像是一个只读的 Docker 容器模板,含有启动 Docker 容器所需的文件系统结构及其内容,因此是启动一个 Docker 容器的基础。
在这里插入图片描述
采用分层构建机制,最底层为bootfs,其之上rootfs。
bootfs: 用于系统引导的文件系统,包括bootloader和kernel,容器启动完成后会被卸载以节约内存资源。
rootfs: 位于bootfs之上,rootfs是Docker容器在启动时内部进程可见的文件系统,即Docker容器的根目录。rootfs通常包含一个操作系统运行所需的文件系统,例如可能包含典型的类Unix操作系统中的目录系统,如/dev、/proc、/bin、/etc、/lib、/usr、/tmp及运行Docker容器所需的配置文件、工具等。
在传统的Linux操作系统内核启动时,首先挂载一个只读(read-only)的rootfs,当系统检测其完整性之后,再将其切换为读写(read-write)模式。
而在Docker架构中,当Docker daemon为Docker容器挂载rootfs时,沿用了Linux内核启动时的方法,即将rootfs设为只读模式。在挂载完毕之后,利用联合挂载(union mount)技术在已有的只读rootfs上再挂载一个读写层。这样,可读写层处于Docker容器文件系统的最顶层,其下可能联合挂载多个只读层,只有在Docker容器运行过程中文件系统发生变化时,才会把变化的文件内容写到可读写层,并隐藏只读层中的老版本文件。如下图:
在这里插入图片描述
Docker镜像的主要特点:
分层: Docker镜像时采用分层的方式构建的,每个镜像都由一系列的"镜像层"组成。分层结构是Docker镜像如此轻量的重要原因,当需要修改容器镜像内的某个文件时,只对处于最上方的读写层进行变动,不覆写下层已有文件系统的内容,已有文件在只读层中的原始版本仍然存在,但会被读写层中的新版本文件所隐藏。当使用docker commit 提交这个修改过的容器文件系统为一个新的镜像时,保存的内容仅为最上层读写文件系统中被更新过的文件。分层达到了在不同镜像之间共享镜像层的效果。
写时复制: Docker镜像使用了写时复制(copy-on-write)策略,在多个容器之间共享镜像,每个容器在启动的时候并不需要单独复制一份镜像文件,而是将所有镜像层以只读的方式挂载到一个挂载点,再在上面覆盖一个可读写的容器层。在未更改文件内容时,所有容器都共享一份数据,只有在Docker容器运行过程中文件系统发生变化时,才会把变化的文件内容写到可读写层,并隐藏只读层中的老版本文件。写时复制配合分层机制减少了镜像对磁盘空间的占用和容器启动时间。
内容寻址: 在Docker 1.10版本后,Docker镜像改动较大,其中最重要的特性便是引入了内容寻址存储(content-addressable storge)的机制,根据文件内容来索引镜像的镜像层。与之前版本对每一个镜像层随机生成一个UUID不同,新模型对镜像层的内容计算校验和,生成一个内容哈希值,并以此哈希值代替之前的UUID作为镜像层的唯一标志。该机制主要提高了镜像的安全性,并在pull、push、load、save操作后检测数据的完整性。另外,基于内容哈希来索引镜像层,在一定程度上减少了ID的冲突并且增强了镜像层的共享。对于来自不同构建的镜像层,只要拥有相同的内容哈希,也能被不同的镜像共享。
联合挂载: 通俗的讲,联合挂载技术可以在一个挂载点同时挂载多个文件系统,将挂载点的原目录与被挂载内容进行整合,使得最终可见的文件系统将会包含整合之后的各层的文件和目录。实现这种联合挂载技术的文件系统通常被称为联合文件系统(Union FileSystem)。
就我的理解来说,容器就相当于镜像加上可写层,与是否运行无关。
2.存储卷
从上我们可以做到,Docker镜像由多个只读层叠加而成,启动容器时,Docker会加载只读镜像层并在镜像栈顶部添加一个读写层,如果运行中的容器修改了现有的一个已经存在的文件,那该文件将会从读写层下面的只读层复制到读写层,该文件的只读版本仍然存在,只是已经被读写层中该文件的副本所隐藏,此即"写时复制(COW)"机制。
在这里插入图片描述
现在我们知道,一个运行的容器有一个或多个只读层和一个读写层。在容器运行过程中,若产生了一些重要的数据或是更改了一些文件,这些更改我们应该怎么保存呢?容器关闭或重启,这些数据不受影响;但删除Docker容器,则数据将会全部丢失。除此之外也还有其他的一些问题。
存在的问题:
存储于联合文件系统中,不易于宿主机访问
容器间数据共享不便
为了解决这些问题,Docker引入了数据卷(volume)机制。volume是存在于一个或多个容器中的特定文件或文件夹,这个目录以独立于联合文件系统的形式在宿主机中存在,并为数据的共享与持久化提供以下便利。
volume在容器创建时就会初始化,在容器运行时就可以使用其中的文件。
volume能在不同的容器之间共享和重用。
对volume中数据的操作会马上生效。
对volume中数据的操作不会影响到镜像本身
volume的生存周期独立于容器的生存周期,即使删除容器,volume仍然会存在,没有任何容器使用的volume也不会被Docker删除。
卷的类型
Docker有两种类型的卷,每种类型都在容器中存在一个挂载点,但其在宿主机上的位置有所不同;
Bind mount volume
a volume that points to a user-specified location on the host file system(docker和宿主机上的卷都是用户自己指定)
Docker-managed volume
the Docker daemon creates managed volumes in a portion of the host’s file system that’s owned by Docker(docker管理的卷是用户自己指定,宿主机上的卷是固定的)
Docker-managed volume:docker管理的卷
$ docker run --name bbox -it --rm -v /data busybox:latest
$ docker inspect -f {{.Mounts}} bbox
[{... /var/lib/docker/volumes/f2a6ba52d5e1666ab4b5809579c013b821abd3403c9a6f9d80fb76323e88bffc/_data /data local true }]可见宿主机的/var/lib/docker/volumes/f2a6ba52d5e1666ab4b5809579c013b821abd3403c9a6f9d80fb76323e88bffc/_data目录与容器中的/data目录进行了挂载,此时容器中写在/data目录下的数据,宿主机都可在对应目录下查看,且持久保存。
Bind mount volume:指定挂载卷
$ docker run --name bbox -it --rm -v /docker/data:/data busybox:latest
$ docker inspect -f {{.Mounts}} bbox
[{bind /docker/data /data true rpriva可以看到宿主机的路径/docker/data目录与容器的路径/data目录进行了挂载,此时容器中写在/data目录下的数据,宿主机都可在对应目录下查看,且持久保存。
共享数据卷:
多个容器的卷使用同一个主机目录,例如
$ docker run –it --name c1 -v /docker/volumes/v1:/data busybox
$ docker run –it --name c2 -v /docker/volumes/v1:/data busybox引用数据卷:
复制使用其它容器的卷,为docker run命令使用–volumes-from选项
$ docker run -it --name bbox1 -v /docker/volumes/v1:/data busybox
$ docker run -it --name bbox2 --volumes-from bbox1 busybox删除数据卷:
删除容器之时删除相关的卷
$ docker rm -v ...删除指定的卷
$ docker volume rm ...