docker学习笔记(3)- 镜像

具体的概念与实现在后续实现Docker的基础技术中记录,先整理镜像的用法

镜像加速

国内访问Docker hub有速度缓慢甚至会无法的情况,换用国内云厂商提供的加速服务,可以添加多个源,在/etc/docker/daemon.json文件中添加如下json内容,没有daemon.json可以自己新建

{ "registry-mirror": [ "https://hub-mirror.c.163.com/", "https://reg-mirror.qiniu.com" ] } # 重启docker systemctl daemon-reload systemctl restart docker # 查看是否生效,在使用docker pull时会快很多 docker info > Registry: https://index.docker.io/v1/ Labels: Experimental: false Insecure Registries: 127.0.0.0/8 Registry Mirrors: https://hub-mirror.c.163.com/ https://reg-mirror.qiniu.com/ 

搜索镜像

docker search centos --filter=stars=20 > NAME DESCRIPTION STARS OFFICIAL AUTOMATED centos The official build of CentOS. 7066 [OK] centos/systemd systemd enabled base container. 105 [OK] centos/mysql-57-centos7 MySQL 5.7 SQL database server 92 centos/postgresql-96-centos7 PostgreSQL is an advanced Object-Relational … 45 centos/httpd-24-centos7 Platform for running Apache httpd 2.4 or bui… 43 centos/python-35-centos7 Platform for building and running Python 3.5… 39 centos/php-56-centos7 Platform for building and running PHP 5.6 ap… 34 centos/mysql-56-centos7 MySQL 5.6 SQL database server 22 
  • NAME:镜像名字

  • DESCRIPTION:镜像描述信息,默认会被截断,可使用–no-trunc取消截断

  • STARS:收藏数,–filter=starts=20,搜索收藏数大于20的镜像

  • OFFICIAL:由docker官方维护支持的镜像,最好使用官方镜像作为基础镜像

  • AUTOMATED:该镜像由docker hub的自动构建流程创建的

拉取镜像

# 拉取镜像 docker pull <镜像名称> # 不提供仓库名默认为docker.io,tag默认为最新的tag,用户名默认为官方镜像 docker pull ubuntu > Using default tag: latest latest: Pulling from library/ubuntu 7c3b88808835: Pull complete Digest: sha256:8ae9bafbb64f63a50caab98fd3a5e37b3eb837a3e0780b78e5218e63193961f9 Status: Downloaded newer image for ubuntu:latest docker.io/library/ubuntu:latest # 最后一行显示完整的镜像名称 # 指定仓库名和tag docker image pull docker.io/library/ubuntu:16.04 > 16.04: Pulling from library/ubuntu 58690f9b18fc: Pull complete b51569e7c507: Pull complete da8ef40b9eca: Pull complete fb15d46c38dc: Pull complete Digest: sha256:0f71fa8d4d2d4292c3c617fda2b36f6dabe5c8b6e34c3dc5b0d17d4e704bd39c Status: Downloaded newer image for ubuntu:16.04 docker.io/library/ubuntu:16.04 
  • 镜像名称的格式为:Docker仓库地址/用户名/软件名:tag
  • 上面提到镜像是分层存储的,可以看到pull时也是一层一层进行,给出每层ID的前12位,拉取完成后给出给出一个sha256的摘要,用来确保下载一致性

推送镜像

列出镜像

# 列出本地镜像 docker image ls > REPOSITORY TAG IMAGE ID CREATED SIZE registry 2 8948869ebfee 5 days ago 24.2MB ubuntu latest 2b4cba85892a 10 days ago 72.8MB portainer/portainer-ce latest ed396c816a75 4 weeks ago 280MB joxit/docker-registry-ui latest c4f5113ae220 4 months ago 24.8MB centos 7 eeb6ee3f44bd 5 months ago 204MB centos latest 5d0da3dc9764 5 months ago 231MB ubuntu 16.04 b6f507652425 6 months ago 135MB radial/busyboxplus latest fffcfdfce622 7 years ago 12.9MB # 列出所有镜像,包括中间层镜像 docker image ls -a # 查看镜像、容器、存储卷等实际消耗空间 docker system df > TYPE TOTAL ACTIVE SIZE RECLAIMABLE Images 8 2 984.2MB 680.5MB (69%) Containers 2 2 0B 0B Local Volumes 5 0 184.3MB 184.3MB (100%) Build Cache 0 0 0B 0B # 列出镜像sha256摘要 docker image ls --digests REPOSITORY TAG DIGEST IMAGE ID CREATED SIZE busybox latest sha256:caa382c432891547782ce7140fb3b7304613d3b0438834dce1cad68896ab110a 2fb6fc2d97e1 2 days ago 1.24MB www.codemachine.in/busybox latest sha256:14d4f50961544fdb669075c442509f194bdc4c0e344bde06e35dbd55af842a38 2fb6fc2d97e1 2 days ago 1.24MB 
  • 一个镜像可以对应多个标签,IMAGE ID是镜像的唯一标识

  • Docker Hub中显示的镜像体积是网络传输即压缩后的体积,而下载到本地后会解压缩,所以本地看到的镜像SIZE更大

  • 通过image ls 列出的镜像体积并不是本地实际消耗的空间,镜像是多层存储结构并且可以继承复用,因此不同的镜像可能会使用相同的基础镜像,Union FS使得相同的层只需保存一份

# 仅仅显示image ID docker image ls -q # 删除所有列出的镜像 docker image rm $(docker image ls -q) 

使用go模版语法

# 列出镜像ID和仓库名 docker image ls --format "{{.ID}}: {{.Repository}}" > 2fb6fc2d97e1: busybox 2fb6fc2d97e1: www.codemachine.in/busybox 5d0da3dc9764: 172.17.73.129:6000/centos 5d0da3dc9764: centos 5d0da3dc9764: www.codemachine.in/centos 5d0da3dc9764: www.codemachine.in/centos 32b8411b497a: dockersamples/atseasampleshopapp_reverse_proxy 8dbf7c60cf88: dockersamples/visualizer # 自定义列显示 docker image ls --format "table {{.ID}}\t{{.Repository}}\t{{.Tag}}" > IMAGE ID REPOSITORY TAG 2fb6fc2d97e1 busybox latest 2fb6fc2d97e1 www.codemachine.in/busybox latest 5d0da3dc9764 172.17.73.129:6000/centos latest 5d0da3dc9764 centos latest 5d0da3dc9764 www.codemachine.in/centos galen 5d0da3dc9764 www.codemachine.in/centos latest 32b8411b497a dockersamples/atseasampleshopapp_reverse_proxy <none> 8dbf7c60cf88 dockersamples/visualizer <none> 

这类镜像没有标签和仓库名,在pull或者build了新版本镜像后,新旧镜像同名,旧的镜像名称与tag被取消,产生了dangling镜像

# 查看dangling镜像 docker image ls -f dangling=true > REPOSITORY TAG IMAGE ID CREATED SIZE <none> <none> 00285df0df87 5 days ago 342 MB # -f后还可以跟since,before,label等参数过滤 

删除镜像

可以使用镜像ID、镜像名、sha256摘要来删除镜像

# OPTION: -f 强制删除 docker image rm [OPTION] <NAME> # 删除未使用的镜像(清理多余镜像) docker image prune 
[docker@docker1 ~]$ docker images REPOSITORY TAG IMAGE ID CREATED SIZE busybox latest 2fb6fc2d97e1 2 days ago 1.24MB www.codemachine.in/busybox latest 2fb6fc2d97e1 2 days ago 1.24MB [docker@docker1 ~]$ docker image rm busybox Untagged: busybox:latest Untagged: busybox@sha256:caa382c432891547782ce7140fb3b7304613d3b0438834dce1cad68896ab110a [docker@docker1 ~]$ docker images REPOSITORY TAG IMAGE ID CREATED SIZE www.codemachine.in/busybox latest 2fb6fc2d97e1 2 days ago 1.24MB [docker@docker1 ~]$ docker image rm 2fb6fc2d97e1 Untagged: www.codemachine.in/busybox:latest Untagged: www.codemachine.in/busybox@sha256:14d4f50961544fdb669075c442509f194bdc4c0e344bde06e35dbd55af842a38 Deleted: sha256:2fb6fc2d97e10c79983aa10e013824cc7fc8bae50630e32159821197dda95fe3 Deleted: sha256:797ac4999b67d8c38a596919efa5b7b6a4a8fd5814cb8564efa482c5d8403e6d 

几种不会删除镜像的情况:

构建镜像实际上是在每一层添加配置、文件等。将每一层修改、安装、构建、操作等命令写入dockerfile脚本中,这样在构建镜像时使用了什么命令,做了什么操作,同时可以配合多阶段构建来精简镜像体积和降低部署复杂度。

docker build用法

# 指定镜像名,使用当前目录下的Dockerfile docker build -t shykes/myapp:1.0.2 -t shykes/myapp:latest . # 指定Dockerfile路径 docker build -f /path/to/a/Dockerfile . # 从标准输入中读取Dockerfile进行构建 docker build - < Dockerfile cat Dockerfile | docker build - # 读取压缩包构建 docker build - < context.tar.gz 
  • 构建上下文(Context):docker采用的是C/S架构,在运行时docker engine提供了一组REST API,在使用客户端时其实是通过API与docker engine交互,那么就算我们是在本机执行docker命令,诸如ADD、COPY这类这令时,实际上还是使用远程调用的方式在服务端完成(docker engine),docker build -t <NAME> .的意思是将当前目录作为构建镜像上下文的路径,然后将该路径的所有内容打包上传到docker engine,之后docker engine用收到的文件构建镜像。

  • 一般将dockerfile置于项目根目录,如果该目录下有些东西不希望在构建时传给docker engine,可以添加到.dockerignore文件中。

指定基础镜像

FROM [--platform=<platform>] <image>[:<tag>] [AS <name>] # --platform:提供镜像使用平台,linux/amd64, linux/arm64, or windows/amd64 # AS <name>: 指定此构建阶段的别名,供后面的FROM和COPY引用 
  • 特殊镜像scratch是一个空白的镜像,执行的指令会在镜像第一层开始写,静态编译适用

执行命令行命令

# shell格式 RUN <command> RUN /bin/bash -c "echo hello" # exec格式 RUN ["executable", "param1", "param2"] RUN ["/bin/bash", "-c", "echo hello"] 
  • 每一行RUN执行就会使镜像新增一层,过多使用RUN使得镜像臃肿很容易就达到Union FS限制的最大层数,利用 && 和换行 的方式执行多条命令在这一层将所有的事情做完是个不错的选择
  • 通常用于安装软件包

从Context目录中的文件复制到镜像新一层的目录下

COPY [--chown=<user>:<group>] <源路径>... <目标路径> or COPY [--chown=<user>:<group>] ["<源路径1>",... "<目标路径>"] # 源路径可以是多个或满足Go语言filepath.Match规则的通配符 COPY package.json /usr/src/app/ COPY hom* /mydir/ COPY hom?.txt /mydir/ 
  • <目标路径> 可以是容器内的绝对路径,也可以是相对于工作目录的相对路径(工作目录可以用 WORKDIR 指令来指定)
  • 使用 COPY 指令,源文件的各种元数据都会保留

Docker 不是虚拟机,容器就是进程。既然是进程,那么在启动容器的时候,需要指定所运行的程序及参数。CMD 指令就是用于指定默认的容器主进程的启动命令的。

CMD echo $HOME or CMD [ "sh", "-c", "echo $HOME" ] 
  • 可被替换:比如centos默认CMD /bin/bash,那么使用docker run -it centos就会进入/bin/bash下,如果使用docker run -it centos cat /etc/redhat-release就会变成输出release号后停止

与CMD功能相似,只不过CMD容器运行时若添加了参数(如上所说),那么默认CMD的参数就会被替换掉,而ENTRYPOINT会将添加的参数跟在原有参数的后边,这样就可以像使用命令一样使用容器

ENTRYPOINT [ "curl", "-s", "http://myip.ipip.net" ] 

也可以做启动容器前的准备工作,以下为redis创建用户,然后为ENTRYPOINT指定脚本,该脚本判断CMD参数是否是启动redis-server,如果是使用redis用户启动,如果是其他操作则继续使用root,这样既保证了服务运行的安全性,又不妨碍使用root用户做一些调试和信息获取等操作

FROM alpine:3.4 ... RUN addgroup -S redis && adduser -S -G redis redis ... ENTRYPOINT ["docker-entrypoint.sh"] EXPOSE 6379 CMD [ "redis-server" ] # docker-entrypoint.sh #!/bin/sh ... # allow the container to be started with `--user` if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then find . \! -user redis -exec chown redis '{}' + exec gosu redis "$0" "$@" fi exec "$@" 

设置环境变量,在后面的指令中引用

ENV <key>=<value> ... 

在镜像中创建挂载点,但是无法指定创建在主机的对应目录,可以通过docker inspect <CONTAINER NAME>查看Source挂载目录是哪个

VOLUME ["<路径1>", "<路径2>"...] or VOLUME <路径> 

声明容器运行时打算用什么端口,并不会自动在宿主机和容器进行端口映射。可以使用docker run -p <主机端口:容器端口>进行端口映射,也可以使用docker run -P随机映射EXPOSE的端口

EXPOSE <port> [<port>/<protocol>...] EXPOSE 80/tcp 

指定当前工作目录,后面各层(RUN,CMD,ENTRYPOINT,COPY,ADD)的当前目录就被改为WORKDIR目录,如果该目录不存在则会自动创建

WORKDIR /path/to/workdir # 示例,pwd的路径为/a/b/c WORKDIR /a WORKDIR b WORKDIR c RUN pwd 

指定用户身份,影响后面各层操作的用户,用户必须事先创建好

USER <用户名>[:<用户组>] 

如果是执行SHELL时候要改变身份,不要使用 su 或者 sudo,这些都需要比较麻烦的配置,而且在 TTY 缺失的环境下经常出错。建议使用 “gosu`

# 建立 redis 用户,并使用 gosu 换另一个用户执行命令 RUN groupadd -r redis && useradd -r -g redis redis # 下载 gosu RUN wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/1.12/gosu-amd64" \ && chmod +x /usr/local/bin/gosu \ && gosu nobody true # 设置 CMD,并以另外的用户执行 CMD [ "exec", "gosu", "redis", "redis-server" ] 

为镜像添加元数据

LABEL <key>=<value> <key>=<value> <key>=<value> ... LABEL "com.example.vendor"="ACME Incorporated" LABEL com.example.label-with-value="foo" LABEL version="1.0" LABEL description="This text illustrates \ that label-values can span multiple lines." 

用来指定RUN ENTRYPOINT CMD 指令的 shell,Linux 中默认为 ["/bin/sh", "-c"]

SHELL ["executable", "parameters"] 

一般作为基础镜像时使用,该指令在构建当前镜像时不会执行,当其他镜像以此为基础镜像时才会执行

ONBUILD <其它指令> 

使用git仓库构建

docker build -t hello-world git://github.com/docker-library/hello-world.git\#master:amd64/hello-world > Sending build context to Docker daemon 22.02kB Step 1/3 : FROM scratch ---> Step 2/3 : COPY hello / ---> e0499e772bd9 Step 3/3 : CMD ["/hello"] ---> Running in 1eeb706f26e2 Removing intermediate container 1eeb706f26e2 ---> 6abb50a2e5cc Successfully built 6abb50a2e5cc Successfully tagged hello-world:latest # 查看镜像 docker images REPOSITORY TAG IMAGE ID CREATED SIZE hello-world latest 6abb50a2e5cc 47 seconds ago 13.3kB 

指定要构建的git仓库地址,切换到master分支,进入amd64/hello-world目录开始构建

使用tar压缩包构建

docker engine下载该tar包并自动解压,以解压后的文件夹作为上下文开始构建

docker build http://server/context.tar.gz 

Docker v17.05开始支持多阶段构建 (multistage builds),解决了以下问题:

  • 如果使用一个Dockerfile,镜像体积过大使得部署时间过长(比如编译依赖组件繁多,但实际运行中并不需要),而且容易泄露源码
  • 如果使用多个Dockerfile(比如编译和运行分开进行),中间需要脚本整合不同构建阶段内容是个比较复杂的工作,容易出现问题

下面对比单个Dockerfile构建和多阶段构建一个go helloworld程序的区别。

# app.go package main import "fmt" func main(){ fmt.Printf("Hello World!"); } 

Dockerfile

FROM golang:alpine RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositories RUN apk --no-cache add git ca-certificates WORKDIR /go/src/github.com/go/helloworld/ COPY app.go . RUN go mod init RUN GOPROXY="https://goproxy.io" GO111MODULE=on go get -d -v github.com/go-sql-driver/mysql \ && CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app . \ && cp /go/src/github.com/go/helloworld/app /root WORKDIR /root/ CMD ["./app"] 

build

docker build -t go/helloworld:1 . # 运行容器 docker container run go/helloworld:1 > Hello World!% 

Dockerfile

# 将此阶段命名为builder FROM golang:alpine as builder # 解决下载go慢的问题 RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositories RUN apk --no-cache add git WORKDIR /go/src/github.com/go/helloworld/ RUN GOPROXY="https://goproxy.io" GO111MODULE=on go get -d -v github.com/go-sql-driver/mysql COPY app.go . # 处理go.mod缺失问题 RUN go mod init # 编译app.go RUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app . # 制作应用镜像,此阶段命名为prod FROM alpine:latest as prod RUN apk --no-cache add ca-certificates WORKDIR /root/ COPY --from=0 /go/src/github.com/go/helloworld/app . CMD ["./app"] 

build

docker build -t go/helloworld:2 . # 运行容器 docker container run go/helloworld:2 > Hello World!% 

对比两个镜像的大小,可以看到通过多阶段构建的方法,摒弃编译所需环境依赖,最后的应用镜像要精简很多很多

docker image ls |grep go/hello > go/helloworld 2 38f137a75add 6 minutes ago 7.86MB go/helloworld 1 e7606d3c0921 17 minutes ago 353MB 

依据上面的Dockerfile,如果我们只想构建到Build阶段的镜像时,可以用–targe参数指定此阶段别名来实现

docker build --target builder -t username/imagename:tag . 

本篇主要汇总go镜像相关操作指令等,镜像原理等架构技术会在后面深入学习docker底层实现时分析

学习自:
《Docker技术入门与实战(第3版)》Nigel,Poulton(奈吉尔·波尔顿) 著,李瑞丰,刘康 译
《深入浅出Docker》杨保华,戴王剑,曹亚仑 著
https://docs.docker.com/

本网页由快兔兔AI采集器生成,目的为演示采集效果,若侵权请及时联系删除。

原文链接:https://www.cnblogs.com/tongh/p/16015361.html

更多内容