基本概念
镜像(Image)
- 操作系统分为内核和用户空间。
- 对Linux系统而言内核启动后,会挂载root文件系统为其提供用户空间支持。
- Image相当于一个root文件系统。
- Docker镜像是一个特殊的文件系统,除提供容器运行时所需程序、库、资源、配置等文件外,还包括了一些为运行时准备的一些配置参数比如匿名卷、环境变量、用户等。
- 不包括任何动态数据,其内容在构建之后也不会被改变。
分层存储
- 因为镜像包含操作系统完整的root文件系统,其体积往往是庞大的,因此在docker设计之初,充分利用Union FS技术,将其设计为分层存储的架构,严格意义上来说,镜像并非是一个像ISO那样的打包文件,镜像只是一个虚拟的概念,其实际体现并非由一个文件组成,而是由一组文件系统组成,或者说由多层文件系统联合组成。
- 镜像构建时,会一层层构建,前一层是后一层的基础。每一层构建完就不会再发生改变,后一层上的任何改变只发生在自己这一层。比如删除前一层文件的操作,实际不是真的删除前一层的文件,而是仅在当前层标记为该文件已删除。在最终容器运行的时候,虽然不会看到这个文件,但是实际上该文件会一直跟随镜像。因此,在构建镜像的时候,需要额外小心,每一层尽量只包含改层需要添加的东西,任何额外的东西应该在该层构建结束前清理掉。
- 分层存储的特性使得镜像的复用,定制变的更为容易。甚至可以用之前构建好的镜像作为基础层,然后进一步添加新的层,以定制自己所需内容,构建新的镜像。
容器(Container)
- 镜像和容器的关系好比是面向对象程序设计中的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。
- 容器的实质是进程,但与直接在宿主执行的进程不同,容器进程运行于属于自己的独立的命名空间。因此容器可以拥有自己的root文件系统、自己的网络配置、自己的进程空间,甚至自己的用户id空间。
- 容器内的进程是运行在一个隔离的环境里,使用起来,就好像是一个独立于宿主的系统下操作一样。这种特性使得容器封装的应用比直接在宿主运行更加安全。
- 镜像使用的是分层存储,容器亦是如此。每一个容器运行时,是以镜像为基础层,在其上创建一个当前容器的存储层,可以称这个为容器运行时读写而准备的存储层为容器存储层。
- 容器存储层的生存周期和容器一样,容器消亡时,容器存储层也随之消亡,因此任何保存与容器的信息都会随容器删除而丢失。
- 按照docker最佳实践的要求,容器不应该想其存储层内写入任何数据,容器存储层要保持无状态化。所有的文件写入操作,都应该使用数据卷(Volume)、绑定宿主目录,在这些位置的读写会跳过容器存储层,直接对宿主(或网络存储)发生读写,其性能和稳定性更高。
- 数据卷的生存周期独立于容器,容器消亡,数据卷不会消亡。因此,使用数据卷后,容器删除或者重新运行指挥,数据不会丢失。
仓库(Reposition)
- 镜像构建完成后,可以在当前宿主机上运行。如果需要在其他服务器上使用这个镜像,需要一个集中的存储、分发镜像的服务,Docker Registry仓库就是这样的服务。
- 一个Docker Registry中可以包含多个仓库(Repository)。
- 每个仓库可以包含多个标题(Tag)。
- 每个标签可以对应一个镜像。
- 通常一个仓库会包含同一软件不同版本的镜像,而标签就常用于对应该软件的各个版本。
- 通过<仓库名>:<标签>的格式来指定具体是这个软件哪个版本的镜像。如果不给出标签,将以ltest作为默认标签。
- 仓库名尝尝以两段式路径的形式出现,比如jwilder/nginx-proxy,前者往往意味着Docker Registry多用户环境下的用户名,后者则往往是对应的软件名。但这并非绝对,取决于所使用的具体Docker Registry的软件或服务。
