docker：dockerfile构建镜像

目录

一、dockerfile概念

1、dockerfile的原理就是镜像分层

二、docker镜像的创建

1、基于现有镜像创建

2、基于本地模板创建

3、基于dockerfile创建

3.1 dockerfile结构

3.2 构建镜像命令

三、dockerfile操作指令

1、ENTRYPOINT指令

2、CMD与entrypoint

exec模式下传入命令

​编辑

使用exec模式无法输出环境变量

shell模式

小结

3、ADD和copy区别

四、镜像分层原理

1、docker镜像分层（基于AUFS构建）

2、bootfs内核空间

 3、rootfs内核空间

4、AUFS与overlay/overlay2

overlay结构

5、LXC和容器是什么关系？

6、dockerfile镜像分层的原理

7、容器之间相互通信的方式

8、联合文件系统（UnionFS）

9、 镜像加载原理

---

一、dockerfile概念

Dockerfile是一个文本文件，文件中包含了一条条指令（instrucation），用于构建镜像。每一条指定构建一层镜像，因此每一条指令的内容，就是描述该层镜像应当如何构建。

• dockerfile是自定义镜像的一套规则
• dockerfie由多条指令构成，Dockerfile中的每一条指令都会对应于Docker镜像中的每一层

1、dockerfile的原理就是镜像分层

• Dockerfile中的每一个指令都会创建一个新的镜像层（是一个临时的容器，执行完成后将不再存在，再往后进行重新的创建于操作）
• 镜像层将被缓存和复用（后续的镜像曾将基于前面的每一层，每一层都会由下几层的缓存）
• 当Dockerfile的指令被修改了，复制的文件变化了，或构建镜像时指定的变量不同了，那么对应的镜像层缓存就会失效（因为后续的操作必然更改前面的镜像层）
• 某一层的镜像缓存失效了之后，它之后的镜像层就会失效（第一层不成功，那么第二层也会失效）
• 容器的修改并不会影响镜像，如果在某一层中添加一个文件，在下一层中删除它，镜像中依然会包含该文件

二、docker镜像的创建

创建镜像有三种方式：

• 基于已有镜像创建
• 基于本地模板创建
• 基于dockerfile创建

1、基于现有镜像创建

首先启动一个镜像，在容器中做出修改

docker images
 
docker create -it centos:7 bash
docker ps -a
 
将修改后的容器提交为新的镜像，需要使用该容器的 ID 号创建新镜像
docker commit -m "new" -a "liy" 1b3c8b616dac centos:7 
##commit 常用选项：
    -m：说明信息
    -a：作者信息
    -p：生成过程中停止容器的运行
 
docker images

2、基于本地模板创建

通过导入操作系统模板文件可以生成镜像，模板可以从OPENVZ开源项目下载，下载地址为:

https://wiki.openvz.org/Download/template/precrated

wget http://download.openvz.org/template/precreated/debian-7.0-x86-minimal.tar.gz
#使用wget命令导入为本地镜像
 
docker import debian-7.0-x86-minimal.tar.gz -- debian:v1
或
cat debian-7.0-x86-minimal.tar.gz |docker import - debian:v1
#生成镜像
 
docker images
#查看镜像
 
docker run -itd debian:v1 bash
#创建并启动容器

3、基于dockerfile创建

• dockerdile是一组指令组成的文件
• dockerfile每行支持一条指令，每条指定可携带多个参数，一条指令可以用&&方式，去写多条指令
• dockerfile支持以“#”为开头的注释

3.1 dockerfile结构

• 基于镜像信息（linux发行版：比如centos、ubuntu、suse、debian、alpine、redhat）
• 维护者信息（docker search可查看）
• 镜像操作指令（tar yum make）
• 容器启动时执行指令（cmd ["/root/run/sh"]、entrypoint、都是系统启动时，第一个加载的程序/脚本/命令）

3.2 构建镜像命令

PS:可以在构建镜像时指定资源限制

在编写Dockerfile时，需要遵守严格的格式：

• 第一行必须使用FROM指令知名所基于的镜像名称
• 之后使用MAINTAINER指令说明维护该镜像的用户信息
• 然后是镜像操作相关指令，如RUN指令。每一条指令，都会给基础镜像添加新的一层
• 最后使用CMD指令指定启动容器时，要运作的命令操作

示例：
docker build -t nginx:test .  
 
#基于dockerfile文件构建镜像命令
完整的写法： docker build -f dockerfile -t nginx:new . 
docker build : 基于dockerfile 构建镜像
-f ：指定dockerfile 文件（默认不写的话指的是当前目录）
-t ：(tag) 打标签 ——》nginx:new 
.  ：专业说法：指的是构建镜像时的上下文环境，简单理解：指的当前目录环境中的文件

三、dockerfile操作指令

1、ENTRYPOINT指令

ENTRYPOINT [“要运行的程序”，“参数1”，“参数2”]

设定容器启动时第一个运行的命令及其参数 可以通过使用命令docker run --entrypoint 来覆盖镜像中的ENTRYPOINT指令的内容。

两种格式：

exec格式（数值格式）：ENTRYPOINT [“命令”，“选项”，“参数”]
 
shell格式：ENTRYPOINT 命令 选项 参数

2、CMD与entrypoint

都是容器启动时要加载的命令

要想了解cmd和entrypoint的区别，首选必须了解exec模式和shell模式的区别

exec模式与shell模式的区别
exec： 容器加载时使用的启动的第一个任务进程
shell： 容器加载时使用的第一个bash（/bin/bash /bin/sh /bin/init）

自检完成后，加载第一个pid = 1 进程 
 
shell 翻译官/解释器，解析
 
echo $PATH

exec模式下传入命令

创建的镜像时传入CMD，启动容器时不传入CMD

cd /opt
mkdir test
#创建Dockerfile的工作目录
 
vim Dockerfile
FROM centos:7
CMD ["top"]
#编写Dockerfile文件
 
docker build -t centos:7 .
#基于dockerfile构建镜像
 
docker run -it --name test centos:7
#基于构建好的镜像启动容器
 
docker logs test
#查看执行的命令
 
docker exec test ps sux 
#传入ps aux 命令执行，查看结果

启动时传入/bin/bash命令

docker run -itd --name test01 centos:7 /bin/bash
#基于构建好的镜像启动容器，并且加上/bin/bash命令
 
docker exec test01 ps aux
#通过exec 传入命令查看执行效果

使用exec模式无法输出环境变量

cd /opt/test
vim Dockerfile
FROM centos:7
CMD ["echo","$HOME"]
#编写新的dockerfile文件
 
echo $HOME
#有shell环境下输出的变量值
 
docker build -t centos:ydq .
#构建dockerfile镜像
 
docker images
#查看镜像
 
docker run -itd --name ydq centos:ydq 
#基于构建好镜像的启动容器
 
docker ps 
#查看运行的容器
 
docker logs ydq
#查看执行结果

shell模式

vim Dockerfile
FROM centos:7
CMD ["sh","-c","echo $HOME"]
#编写一个dockerfile文件
 
docker build -t centos:ydq2
#基于文件编写centos:ydq2的镜像
 
docker images
#查看镜像
 
docker run -itd --name ydq3 centos:ydq2
#启动容器
 
docker logs ydq3
#查看输出日志

小结

CMD和ENTRYPOINT的区别
简单回答

• 相同点： 都是容器环境启动时需要加载的命令
• 不同点： CMD不能传参，ENTRYPOINT可以传参

详细回答

不同点

• 如果ENTRYPOINT是使用shell模式，CMD指令会被忽略
• 如果ENTRYPOINT是使用exec模式，CMD也会是exec模式，CMD指令的内容作为参数追加到ENTRYPOINT

3、ADD和copy区别

Dockerfile中的COPY指令和ADD指令都可以将主机上的资源复制或加入到容器镜像中，都是在构建镜像的过程中完成的

    copy只能用于复制（节省资源）
    ADD复制的同时，如果复制的对象是压缩包，ADD还可以解压（消耗资源）
    COPY指令和ADD指令的唯一区别在于是否支持从远程URL获取资源。COPY指令只能从执行docker build所在的主机上读取资源并复制到镜像中。而ADD指令还支持通过URL从远程服务器读取资源并复制到镜像中

满足同等功能的情况下，推荐使用COPY指令。ADD指令更擅长读取本地tar文件并解压缩。

四、镜像分层原理

#Docker镜像结构的分层

镜像不是一个单一的文件，而是有多层构成。容器其实是在镜像的最上面加了一层读写层，在运行容器里做的任何文件改动，都会写到这个读写层。如果删除了容器，也就是删除了其最上面的读写层，文件改动也就丢失了。Docker使用存储驱动管理镜像像每层内容及可读可写的容器层

• Dockerfile中的每个指令都会创建一个新的镜像层
• 镜像层将被缓存和复用
• 当Dockerfile的指令修改了，复制的文件变化了，或者构建镜像时指定的变量不同了，对应的镜像层缓存就会失效。
• 某一层的镜像缓存失效，它之后的镜像层缓存都会失效
• 镜像层是不可变的，如果在某一层中添加一个文件，然后在一层中删除它，则镜像中依然会包含该文件，只是这个文件在Docker容器中不可见了

1、docker镜像分层（基于AUFS构建）

1. docker镜像位于bootfs（内核）之上
2. 每一层镜像的下一层成为父镜像
3. 第一层镜像成为base image(操作系统环境镜像)
4. 容器层（可读可写，为了给用户操作），在最顶层
5. 容器层以下都是readonly

 LXC是一种内核中的容器技术，早期docker在没有将资源容器化的功能时，就是靠内核中LXC来完成容器虚拟化的。现在docker 拥有了自己的docker libcontainer库文件,这种库文件可以做到将资源容器化的操作，所以对LXC的依赖性大大降低。

2、bootfs内核空间

主要包含bootloader（引导程序）和kernel（内核）

• bootloader主要引导加载kernel，Linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是bootfs
• 这一层与我们典型的linux/Unix系统时一样的，包含boot加载器和内核，当boot加载完成之后整个内核就都在内存中了，此时内存的使用权有bootfs交给内核，此时系统也会卸载bootfs。
• 在linux操作系统中，linux加载bootfs时会将rootfs设置为read-only，系统自检后会将只读改为读写，让我们可以在操作系统中进行

 3、rootfs内核空间

• bootfs之上（base images，例如centos、ubuntu）
• 包含的就是典型的linux系统中的/dev，/proc，/bin，/etc等标准目录和文件
• rootfs就是各种不同的操作系统发行版

4、AUFS与overlay/overlay2

AUFS是一种联合文件系统，它使用同一个Linux host上的多个目录，逐个堆叠起来，对外呈现出一个统一的文件系统，AUFS使用该特性，实现了Docker镜像的分层

• 而docker使用了overlay/overlay2存储驱动来支持分层结构
• overlayFS将单个Linux主机上的两个目录合并成一个目录，这些目录被称为层，统一过程被称为联合挂载

overlay结构

overlayfs在Linux主机上只有两层，一个目录在下层，用来保存镜像，另一个目录在上层，用来存储容器信息

rootfs    #基础镜像
lower     #下层信息（为镜像层，只读）
upper     #上层目录（容器信息，可写）
worker    #运行的工作目录（copy-on-write写时复制-->准备容器环境）
mergod    #视图层（容器视图）
 
#docker 镜像层次结构总结
1、base images :基础镜像
2、image :固化了一个标准运行环境，镜像本身的功能-封装一组功能性的文件，通过统一的方式，文件格式提供出来（只读）
3、container :容器层（读写）
4、docker-server 端
5、呈现给docker-client（视图）

5、LXC和容器是什么关系？

LXC是内核中容器技术/驱动，功能是将资源容器化。完成资源容器虚拟化的过程。是早期docker的依赖组件目前docker 拥有自己的libcontianer库。可以实现容器虚拟化的功能，对LXC依赖性大大降低。

6、dockerfile镜像分层的原理

用overlay2存储引擎的方式叠加上去，最上面是容器层是可读可写的，其他镜像是可读的，他们是共用的内核资源，共用的是操作系统里所必须的引导程序，挂载，系统之间的文件，这些文件他和内核之间共享，所以他比实际的centos要小。

7、容器之间相互通信的方式

docker 0 、 数据卷容器 、 --link 隧道 、 container 模式（直连接口，同一个network namespaces里，通过同一个网卡的方式，在同一个名称空间里 共有一个IP，通过localhost交互/自己的ip或端口交互）

8、联合文件系统（UnionFS）

UnionFS(联合文件系统) : Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。AUFS、OberlayFS及Devicemapper都是一种UnionFS。

Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承，基于基础镜像(没有父镜像)，可以制作各种具体的应用镜像。
特性：

一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

注：我们下载的时候看到的一层层的就是联合文件系统

9、 镜像加载原理

• 在Docker镜像的最底层是bootfs，这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs.
• rootfs在bootfs之上。包含的就是典型Linux系统中的/dev,/proc,/bin,/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu,Centos等等。
• 我们可以理解成一开始内核里什么都没有，操作一个命令下载debian,这是就会在内核上面加一层基础镜像；再安装一个emacs,会在基础镜像上叠加一层image;接着再安装一个apache,又会在images.上面叠加一层image。最后它们看起来就像一个文件系统即容器的rootfs。在Docker的体系里把这些rootfs叫做Docker的镜像。但是，此时的每一层rootfs都是read-only的，我们此时还不能对其进行操作。当我们创建一个容器，也就是将Docker镜像进行实例化，系统会在一层或是多层read-only的rootfs之上分配一层空的read-write的rootfs.