創建鏡像有三種方法,分別為基於已有鏡像創建、基於本地模板創建以及基於Dockerfile創建。
(1)啟動一個鏡像,在容器里修改
docker run -it --name jc1 centos:7 bash #先創建一個容器
yum install -y net-tools #安裝網絡工具,能用ifconfig
(2)將容器里面運行的程序及運行環境打包生成新的鏡像
格式:docker commit [選項] 容器id/容器名 倉庫名:標簽
docker commit -m "new image for ifconfig" -a "jc" e48a70d96722 centos:ifconfig
-m:說明信息
-a:作者信息
-p:生成過程中停止容器的運行
docker images
或docker inspect 新鏡像名 #查看鏡像信息
(3)測試新鏡像
docker run -it --name jc2 centos:ifconfig bash #用新鏡像創建容器
ifconfig #直接能使用ifconfig命令看網卡信息,不用再先yum安裝net-tools
(1)使用wget命令導入鏡像包
通過導入操作系統模板文件生成新的鏡像
wget http://download.openvz.org/template/precreated/debian-7.0-x86-minimal.tar.gz
(2)導入鏡像
cat debian-7.0-x86-minimal.tar.gz | docker import - debian:jc
docker images
(3)把鏡像導入到容器中
docker run -it --name jc2 debian:jc bash
ls
(1)聯合文件系統(UnionFS)
• UnionFS(聯合文件系統):Union文件系統(UnionFS)是一種分層、輕量級並且高性能的文件系統,它支持對文件系統的修改作為一次提交來一層層的疊加,同時可以將不同目錄掛載到同一個虛擬文件系統下。AUES、OverlayES及Devicemapper都是一種UnionFS
• Union文件系統是Docker鏡像的基礎。鏡像可以通過分層來進行繼承,基於基礎鏡像(沒有父鏡像),可以制作各種具體的應用鏡像
• 特性:一次同時加載多個文件系統,但從外面看起來,只能看到一個文件系統,聯合加教會把各層文件系統疊加起來,這樣最終的文件系統會包含所有底層的文件和目錄
• 我們下載的時候看到的一層層的就是聯合文件系統
(2)鏡像加載原理(bootfs、rootfs)
• Docker的鏡像實際上由一層一層的文件系統組成,這種層級的文件系統是UnionES
• bootfs主要包含bootloader和kernel,bootloader主要是引導加載kernel,Linux剛啟動時會加載bootfs文件系統
• 在Docker鏡像的最底層是bootfs,這一層與我們典型的Linux./tTnix系統是一樣的,包含boot加載器和內核。當iboot加u載完成之后整個內核就都在內存中了,此時內存的使用權已由bootfs轉交給內核,此時系統也會卸載bootfs
• rootfs,在bootfs之上。包含的就是典型Linux系統中的/dev,/proc,/bin,/etc等標准目錄和文件。rootfs就是各種不同的操作系統發行版,比如Ubuntu, centos等等
• 我們可以理解成一開始內核里什么都沒有,操作一個命令下載debian,這時就會在內核上面加了一層基礎鏡像;再安裝一個emacs,會在基礎鏡像上疊加一層image;接着再安裝一個apache,又會在images上面再疊加一層image。最后它們看起來就像一個文件系統即容器的rootfs。在Docker的體系里把這些rootfs叫做Docker的鏡像。但是,此時的每一層rootfs都是read-only的,我們此時還不能對其進行操作。當我們創建一個容器,也就是將Docker鏡像進行實例化,系統會在一層或是多層read-only的rootfs之上分配一層空的read-write的rootfs
(3)為什么Docker里的centos的大小才200M?
因為對於精簡的OS,rootfs可以很小,只需要包含最基本的命令、工具和程序庫就可以了,因為底層直接用宿主機的kernel,自己只需要提供rootfs就可以了。由此可見對於不同的linux發行版,bootfs基本是一致的,rootfs會有差別,因此不同的發行版可以公用bootfs。
• Docker鏡像是一個特殊的文件系統,除了提供容器運行時所需的程序、庫、資源、配置等文件外,還包含了一些為運行時准備的一些配置參數(如核名卷、環境變量、用戶等)。鏡像不包含任何動態數據,其內容在構建之后也不會被改變
• 鏡像的定制實際上就是定制每一層所添加的配置、文件。如果我們可以把每一層修改、安裝、構建、操作的命令都寫入一個腳本,用這個腳本來構建、定制鏡像,那么鏡像構建透明性的問題、體積的問題就都會解決。這個腳本就是Dockerfile
• Dockerfile是一個文本文件,其內包含了一條條的指令(Instruction),每一條指令構建一層,因此每一條指令的內容,就是描述該層應當如何構建。有了pockerfile,當我們需要定制自己額外的需求時,只需在Dockerfile上添加或者修改指令,重新生成image即可,省去了敲命令的麻煩
• 除了手動生成Docker鏡像之外,可以使用nockerfile自動生成鏡像。Dockerfile是由多條的指令組成的文件,其中每條指令對應Linux中的一條命令,Docker程序將讀取Dockerfile中的指令生成指定鏡像
Dockerfile結構大致分為四個部分:基礎鏡像信息、維護者信息、鏡像操作指令和容器啟動時執行指令。Dockerfile每天支持一條指令,每條指令可攜帶多個參數,支持使用“#”號開頭的注釋
鏡像不是一個單一的文件,而是有多層構成。容器其實是在鏡像的最上面加了一層讀寫層,在運行容器里做的任何文件改動,都會寫到這個讀寫層。
如果刪除了容器,也就刪除了其最上面的讀寫層,文件改動也就丟失了。Docker使用存儲驅動管理鏡像每層內容及可讀寫層的容器層
(1)Dockerfile中的每個指令都會創建一個新的鏡像層
(2)鏡像層將被緩存和復用
(3)當Dockerfile的指令修改了,復制的文件變化了,或者構建鏡像時指定的變量不同了,對應的鏡像層緩存就會失效
(4)某一層的鏡像緩存失效,它之后的鏡像層緩存都會失效
(5)鏡像層是不可變的,如果在某一層中添加一個文件,然后在下一層中刪除它,則鏡像中依然會包含該文件,只是這個文件在Docker容器中不可見了
(1)FORM指令
指定新鏡像所基於的鏡像,第一條指令必須為FROM指令,每創建一個鏡像就需要一條FROM指令
(2)MAINTAINER名字
說明新鏡像的維護人信息
(3)RUN指令
在所基於的鏡像上執行命令,並提交到新的鏡像中
(4)ENTRYPOINT [“要運行的程序”,“參數1”,“參數2”]
設定容器啟動時第一個運行的命令及其參數。可以通過使用命令docker run --entrypoint來覆蓋鏡像中的ENTRYPOINT指令的命令
(5)CMD [“要運行的程序”,“參數1”,“參數2”]或CDM 要運行的程序 參數1 參數2
前者是:exec形式,后者是:shell形式。指令啟動容器時默認執行的命令或者腳本,Dockerfile只能由一條CMD命令,如果指定多條命令,則只能最后一條被執行。如果在docker run時指定了命令或者鏡像中有ENTRYPOINT,那么CDM就會被覆蓋
(6)EXPOSE端口號
指定新鏡像加載到Docker時要開啟端口
(7)ENV 環境變量 變量值
設置一個環境變量的值,會被后面的RUN使用
(8)ADD 源文件/目錄 目標文件/目錄
將原文件復制到鏡像中,源文件要與Dockerfile位於相同目錄中,或者是一個URL
注意事項:
(9)COPY源文件/目錄 目標文件/目錄
只復制本地主機_上的文件/目錄復制到目標地點,源文件/目錄要與Dockerfile在相同的目錄中
(10)VOLUME ["目錄"]
在容器中創建一個掛載點
(11)USER用戶名/UID
指定運行容器時的用戶
(12)WORKDIRLUJING
為后續的 RUN、CMD、ENTRYPOINT 指定工作目錄
(13)ONBUILD命令
指定所生成的鏡像作為一個基礎鏡像時所要運行的命令。
(2)之后使用MAINTAINER指令說明維護該鏡像的用戶信息
(3)然后是鏡像操作相關指令,如RUN指令。每運行一條指令,都會給基礎鏡像添加新的一層
(4)最后使用CMD指令指定啟動容器時要運行的命令操作
cd /opt
mkdir apache
cd apache
(2)編寫Dockerfile
vim Dockerfile
FROM centos:7 #基於的基礎鏡像
MAINTAINER this is apache image(gxd) #鏡像操作指令安裝apache軟件
RUN yum -y install httpd #運行命令
EXPOSE 80 #開啟80瑞口
ADD index.html /var/www/html/index.html #復制網站首頁文件
CMD ["/usr/sbin/apachectl","-D","FOREGROUND"] #在前台執行一直開啟apache服務(pid=1),讓容器一直處於運行中,否則命令失效則容器停止
(3)給本地網頁文件添加內容
echo 'this is dockerfile web1' > index.html #Dockerfile中ADD指令只寫了index.html代表當前的工作目錄
(4)生成鏡像
docker build -t apache:jc . #末尾有“.”代表當前目錄
docker images
(5)新鏡像運行容器
docker run -d -p 43999:80 apache:jc
(6)瀏覽器測試
1.mkdir /opt/sshd cd /opt/sshd 2.vim Dockerfile FROM centos:7 #第一行必須指明基於的基礎鏡像 MAINTAINER this is ssh image <jc> #作者信息 #鏡像的操作指令 RUN yum -y install openssh* net-tools lsof telnet passwd RUN echo '123456' | passwd --stdin root RUN sed -i 's/UsePAM yes/UsePAM no/g' /etc/ssh/sshd_config #不使用PAM認證 RUN sed -ri '/^session\s+required\s+pam_loginuid.so/s/^/#/' /etc/pam.d/sshd #取消pam限制 RUN ssh-keygen -t rsa -A #生成密鑰認證文件 RUN mkdir -p /root/.ssh && chown root.root /root && chmod 700 /root/.ssh EXPOSE 22 CMD ["/usr/sbin/sshd" , "-D"] 3.生成鏡像 docker build -t sshd:centos . 4.啟動容器並修改root密碼 docker run -d -P sshd:centos docker ps -a ssh localhost -p 49153
1.mkdir /opt/systemctl cd /opt/systemctl 2.vim Dockerfile FROM sshd:centos MAINTAINER this is systemctl image <jc> ENV container docker #除了systemd-tmpfiles-setup.service,刪除其它所有文件 RUN (cd /lib/systemd/system/sysinit.target.wants/; for i in *; do [ $i == systemd-tmpfiles-setup.service ] || rm -f $i; done); \ rm -f /lib/systemd/system/multi-user.target.wants/*; \ rm -f /etc/systemd/system/*.wants/*; \ rm -f /lib/systemd/system/local-fs.target.wants/*; \ rm -f /lib/systemd/system/sockets.target.wants/*udev*; \ rm -f /lib/systemd/system/sockets.target.wants/*initctl*; \ rm -f /lib/systemd/system/basic.target.wants/*;\ rm -f /lib/systemd/system/anaconda.target.wants/*; VOLUME [ "/sys/fs/cgroup" ] CMD ["/usr/sbin/init"] 3.生成鏡像 docker build -t systemctl:centos . 4.啟動容器,並掛載宿主機目錄掛載到容器中,和進行初始化 docker run --privileged -it -v -P /sys/fs/cgroup:/sys/fs/cgroup:ro systemctl:centos #--privileged:使container內的root擁有真正的root權限。否則,container內的root只是外部的一個普通用戶權限。 docker ps -a 5.進入容器 docker exec -it fed4ea999b47 bash systemctl status sshd 方法二: docker run -d -P --privileged sshd:centos /usr/sbin/init & 前提在dockerfile中把CMD命令注釋掉
