在docker学习笔记(1)- 架构概述一节中可以看到镜像是docker三大组件之一,可以将Docker镜像类比为虚拟机的模版。
具体的概念与实现在后续实现Docker的基础技术中记录,先整理镜像的用法
国内访问Docker hub有速度缓慢甚至会无法的情况,换用国内云厂商提供的加速服务,可以添加多个源,在/etc/docker/daemon.json文件中添加如下json内容,没有daemon.json可以自己新建
{ "registry-mirror": [ "https://hub-mirror.c.163.com/", "https://reg-mirror.qiniu.com" ]}# 重启dockersystemctl daemon-reloadsystemctl restart docker# 查看是否生效,在使用docker pull时会快很多docker info> Registry: https://index.docker.io/v1/ Labels: Experimental: false Insecure Registries: 127.0.0.0/8 Registry Mirrors: https://hub-mirror.c.163.com/ https://reg-mirror.qiniu.com/docker search centos --filter=stars=20>NAME DESCRIPTION STARS OFFICIAL AUTOMATEDcentos The official build of CentOS. 7066 [OK]centos/systemd systemd enabled base container. 105 [OK]centos/mysql-57-centos7 MySQL 5.7 SQL database server 92centos/postgresql-96-centos7 PostgreSQL is an advanced Object-Relational … 45centos/httpd-24-centos7 Platform for running Apache httpd 2.4 or bui… 43centos/python-35-centos7 Platform for building and running Python 3.5… 39centos/php-56-centos7 Platform for building and running PHP 5.6 ap… 34centos/mysql-56-centos7 MySQL 5.6 SQL database server 22NAME:镜像名字
DESCRIPTION:镜像描述信息,默认会被截断,可使用--no-trunc取消截断
STARS:收藏数,--filter=starts=20,搜索收藏数大于20的镜像
OFFICIAL:由docker官方维护支持的镜像,最好使用官方镜像作为基础镜像
AUTOMATED:该镜像由docker hub的自动构建流程创建的
# 拉取镜像 docker pull <镜像名称># 不提供仓库名默认为docker.io,tag默认为最新的tag,用户名默认为官方镜像docker pull ubuntu>Using default tag: latestlatest: Pulling from library/ubuntu7c3b88808835: Pull completeDigest: sha256:8ae9bafbb64f63a50caab98fd3a5e37b3eb837a3e0780b78e5218e63193961f9Status: Downloaded newer image for ubuntu:latestdocker.io/library/ubuntu:latest # 最后一行显示完整的镜像名称# 指定仓库名和tagdocker image pull docker.io/library/ubuntu:16.04>16.04: Pulling from library/ubuntu58690f9b18fc: Pull completeb51569e7c507: Pull completeda8ef40b9eca: Pull completefb15d46c38dc: Pull completeDigest: sha256:0f71fa8d4d2d4292c3c617fda2b36f6dabe5c8b6e34c3dc5b0d17d4e704bd39cStatus: Downloaded newer image for ubuntu:16.04docker.io/library/ubuntu:16.04使用docker push推送镜像到仓库,也可以推送到私有仓库,在docker学习笔记(2)- 仓库一节中有记录
# 列出本地镜像docker image ls>REPOSITORY TAG IMAGE ID CREATED SIZEregistry 2 8948869ebfee 5 days ago 24.2MBubuntu latest 2b4cba85892a 10 days ago 72.8MBportainer/portainer-ce latest ed396c816a75 4 weeks ago 280MBjoxit/docker-registry-ui latest c4f5113ae220 4 months ago 24.8MBcentos 7 eeb6ee3f44bd 5 months ago 204MBcentos latest 5d0da3dc9764 5 months ago 231MBubuntu 16.04 b6f507652425 6 months ago 135MBradial/busyboxplus latest fffcfdfce622 7 years ago 12.9MB# 列出所有镜像,包括中间层镜像docker image ls -a# 查看镜像、容器、存储卷等实际消耗空间docker system df>TYPE TOTAL ACTIVE SIZE RECLAIMABLEImages 8 2 984.2MB 680.5MB (69%)Containers 2 2 0B 0BLocal Volumes 5 0 184.3MB 184.3MB (100%)Build Cache 0 0 0B 0B# 列出镜像sha256摘要docker image ls --digestsREPOSITORY TAG DIGEST IMAGE ID CREATED SIZEbusybox latest sha256:caa382c432891547782ce7140fb3b7304613d3b0438834dce1cad68896ab110a 2fb6fc2d97e1 2 days ago 1.24MBwww.codemachine.in/busybox latest sha256:14d4f50961544fdb669075c442509f194bdc4c0e344bde06e35dbd55af842a38 2fb6fc2d97e1 2 days ago 1.24MB一个镜像可以对应多个标签,IMAGE ID是镜像的唯一标识
Docker Hub中显示的镜像体积是网络传输即压缩后的体积,而下载到本地后会解压缩,所以本地看到的镜像SIZE更大
通过image ls 列出的镜像体积并不是本地实际消耗的空间,镜像是多层存储结构并且可以继承复用,因此不同的镜像可能会使用相同的基础镜像,Union FS使得相同的层只需保存一份
# 仅仅显示image IDdocker image ls -q# 删除所有列出的镜像docker image rm $(docker image ls -q)使用go模版语法
# 列出镜像ID和仓库名docker image ls --format "{{.ID}}: {{.Repository}}">2fb6fc2d97e1: busybox2fb6fc2d97e1: www.codemachine.in/busybox5d0da3dc9764: 172.17.73.129:6000/centos5d0da3dc9764: centos5d0da3dc9764: www.codemachine.in/centos5d0da3dc9764: www.codemachine.in/centos32b8411b497a: dockersamples/atseasampleshopapp_reverse_proxy8dbf7c60cf88: dockersamples/visualizer# 自定义列显示docker image ls --format "table {{.ID}}\t{{.Repository}}\t{{.Tag}}">IMAGE ID REPOSITORY TAG2fb6fc2d97e1 busybox latest2fb6fc2d97e1 www.codemachine.in/busybox latest5d0da3dc9764 172.17.73.129:6000/centos latest5d0da3dc9764 centos latest5d0da3dc9764 www.codemachine.in/centos galen5d0da3dc9764 www.codemachine.in/centos latest32b8411b497a dockersamples/atseasampleshopapp_reverse_proxy <none>8dbf7c60cf88 dockersamples/visualizer <none>这类镜像没有标签和仓库名,在pull或者build了新版本镜像后,新旧镜像同名,旧的镜像名称与tag被取消,产生了dangling镜像
# 查看dangling镜像docker image ls -f dangling=true>REPOSITORY TAG IMAGE ID CREATED SIZE<none> <none> 00285df0df87 5 days ago 342 MB# -f后还可以跟since,before,label等参数过滤可以使用镜像ID、镜像名、sha256摘要来删除镜像
# OPTION: -f 强制删除docker image rm [OPTION] <NAME># 删除未使用的镜像(清理多余镜像)docker image prune[docker@docker1 ~]$ docker imagesREPOSITORY TAG IMAGE ID CREATED SIZEbusybox latest 2fb6fc2d97e1 2 days ago 1.24MBwww.codemachine.in/busybox latest 2fb6fc2d97e1 2 days ago 1.24MB[docker@docker1 ~]$ docker image rm busyboxUntagged: busybox:latestUntagged: busybox@sha256:caa382c432891547782ce7140fb3b7304613d3b0438834dce1cad68896ab110a[docker@docker1 ~]$ docker imagesREPOSITORY TAG IMAGE ID CREATED SIZEwww.codemachine.in/busybox latest 2fb6fc2d97e1 2 days ago 1.24MB[docker@docker1 ~]$ docker image rm 2fb6fc2d97e1Untagged: www.codemachine.in/busybox:latestUntagged: www.codemachine.in/busybox@sha256:14d4f50961544fdb669075c442509f194bdc4c0e344bde06e35dbd55af842a38Deleted: sha256:2fb6fc2d97e10c79983aa10e013824cc7fc8bae50630e32159821197dda95fe3Deleted: sha256:797ac4999b67d8c38a596919efa5b7b6a4a8fd5814cb8564efa482c5d8403e6d几种不会删除镜像的情况:
构建镜像实际上是在每一层添加配置、文件等。将每一层修改、安装、构建、操作等命令写入dockerfile脚本中,这样在构建镜像时使用了什么命令,做了什么操作,同时可以配合多阶段构建来精简镜像体积和降低部署复杂度。
docker build用法
# 指定镜像名,使用当前目录下的Dockerfiledocker build -t shykes/myapp:1.0.2 -t shykes/myapp:latest .# 指定Dockerfile路径docker build -f /path/to/a/Dockerfile .# 从标准输入中读取Dockerfile进行构建docker build - < Dockerfilecat Dockerfile | docker build -# 读取压缩包构建docker build - < context.tar.gz构建上下文(Context):docker采用的是C/S架构,在运行时docker engine提供了一组REST API,在使用客户端时其实是通过API与docker engine交互,那么就算我们是在本机执行docker命令,诸如ADD、COPY这类这令时,实际上还是使用远程调用的方式在服务端完成(docker engine),docker build -t <NAME> .的意思是将当前目录作为构建镜像上下文的路径,然后将该路径的所有内容打包上传到docker engine,之后docker engine用收到的文件构建镜像。
一般将dockerfile置于项目根目录,如果该目录下有些东西不希望在构建时传给docker engine,可以添加到.dockerignore文件中。
书写Dockerfile的常用指令,详细参考见Dockerfile reference
指定基础镜像
FROM [--platform=<platform>] <image>[:<tag>] [AS <name>]# --platform:提供镜像使用平台,linux/amd64, linux/arm64, or windows/amd64# AS <name>: 指定此构建阶段的别名,供后面的FROM和COPY引用执行命令行命令
# shell格式RUN <command>RUN /bin/bash -c "echo hello"# exec格式RUN ["executable", "param1", "param2"]RUN ["/bin/bash", "-c", "echo hello"]从Context目录中的文件复制到镜像新一层的目录下
COPY [--chown=<user>:<group>] <源路径>... <目标路径>orCOPY [--chown=<user>:<group>] ["<源路径1>",... "<目标路径>"]# 源路径可以是多个或满足Go语言filepath.Match规则的通配符COPY package.json /usr/src/app/COPY hom* /mydir/COPY hom?.txt /mydir/<目标路径> 可以是容器内的绝对路径,也可以是相对于工作目录的相对路径(工作目录可以用 WORKDIR 指令来指定)COPY 指令,源文件的各种元数据都会保留Docker 不是虚拟机,容器就是进程。既然是进程,那么在启动容器的时候,需要指定所运行的程序及参数。CMD 指令就是用于指定默认的容器主进程的启动命令的。
CMD echo $HOMEorCMD [ "sh", "-c", "echo $HOME" ]docker run -it centos就会进入/bin/bash下,如果使用docker run -it centos cat /etc/redhat-release就会变成输出release号后停止与CMD功能相似,只不过CMD容器运行时若添加了参数(如上所说),那么默认CMD的参数就会被替换掉,而ENTRYPOINT会将添加的参数跟在原有参数的后边,这样就可以像使用命令一样使用容器
ENTRYPOINT [ "curl", "-s", "http://myip.ipip.net" ]也可以做启动容器前的准备工作,以下为redis创建用户,然后为ENTRYPOINT指定脚本,该脚本判断CMD参数是否是启动redis-server,如果是使用redis用户启动,如果是其他操作则继续使用root,这样既保证了服务运行的安全性,又不妨碍使用root用户做一些调试和信息获取等操作
FROM alpine:3.4...RUN addgroup -S redis && adduser -S -G redis redis...ENTRYPOINT ["docker-entrypoint.sh"]EXPOSE 6379CMD [ "redis-server" ]# docker-entrypoint.sh#!/bin/sh...# allow the container to be started with `--user`if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then find . \! -user redis -exec chown redis '{}' + exec gosu redis "$0" "$@"fiexec "$@"设置环境变量,在后面的指令中引用
ENV <key>=<value> ...在镜像中创建挂载点,但是无法指定创建在主机的对应目录,可以通过docker inspect <CONTAINER NAME>查看Source挂载目录是哪个
VOLUME ["<路径1>", "<路径2>"...]orVOLUME <路径>声明容器运行时打算用什么端口,并不会自动在宿主机和容器进行端口映射。可以使用docker run -p <主机端口:容器端口>进行端口映射,也可以使用docker run -P随机映射EXPOSE的端口
EXPOSE <port> [<port>/<protocol>...]EXPOSE 80/tcp指定当前工作目录,后面各层(RUN,CMD,ENTRYPOINT,COPY,ADD)的当前目录就被改为WORKDIR目录,如果该目录不存在则会自动创建
WORKDIR /path/to/workdir# 示例,pwd的路径为/a/b/cWORKDIR /aWORKDIR bWORKDIR cRUN pwd指定用户身份,影响后面各层操作的用户,用户必须事先创建好
USER <用户名>[:<用户组>]如果是执行SHELL时候要改变身份,不要使用 su 或者 sudo,这些都需要比较麻烦的配置,而且在 TTY 缺失的环境下经常出错。建议使用 ``gosu`
# 建立 redis 用户,并使用 gosu 换另一个用户执行命令RUN groupadd -r redis && useradd -r -g redis redis# 下载 gosuRUN wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/1.12/gosu-amd64" \ && chmod +x /usr/local/bin/gosu \ && gosu nobody true# 设置 CMD,并以另外的用户执行CMD [ "exec", "gosu", "redis", "redis-server" ]为镜像添加元数据
LABEL <key>=<value> <key>=<value> <key>=<value> ...LABEL "com.example.vendor"="ACME Incorporated"LABEL com.example.label-with-value="foo"LABEL version="1.0"LABEL description="This text illustrates \that label-values can span multiple lines."用来指定RUN ENTRYPOINT CMD 指令的 shell,Linux 中默认为 ["/bin/sh", "-c"]
SHELL ["executable", "parameters"]一般作为基础镜像时使用,该指令在构建当前镜像时不会执行,当其他镜像以此为基础镜像时才会执行
ONBUILD <其它指令>docker build -t hello-world git://github.com/docker-library/hello-world.git\#master:amd64/hello-world>Sending build context to Docker daemon 22.02kBStep 1/3 : FROM scratch --->Step 2/3 : COPY hello / ---> e0499e772bd9Step 3/3 : CMD ["/hello"] ---> Running in 1eeb706f26e2Removing intermediate container 1eeb706f26e2 ---> 6abb50a2e5ccSuccessfully built 6abb50a2e5ccSuccessfully tagged hello-world:latest# 查看镜像docker imagesREPOSITORY TAG IMAGE ID CREATED SIZEhello-world latest 6abb50a2e5cc 47 seconds ago 13.3kB指定要构建的git仓库地址,切换到master分支,进入amd64/hello-world目录开始构建
docker engine下载该tar包并自动解压,以解压后的文件夹作为上下文开始构建
docker build http://server/context.tar.gzDocker v17.05开始支持多阶段构建 (multistage builds),解决了以下问题:
下面对比单个Dockerfile构建和多阶段构建一个go helloworld程序的区别。
# app.gopackage mainimport "fmt"func main(){ fmt.Printf("Hello World!");}Dockerfile
FROM golang:alpineRUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositoriesRUN apk --no-cache add git ca-certificatesWORKDIR /go/src/github.com/go/helloworld/COPY app.go .RUN go mod initRUN GOPROXY="https://goproxy.io" GO111MODULE=on go get -d -v github.com/go-sql-driver/mysql \ && CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app . \ && cp /go/src/github.com/go/helloworld/app /rootWORKDIR /root/CMD ["./app"]build
docker build -t go/helloworld:1 .# 运行容器docker container run go/helloworld:1>Hello World!%Dockerfile
# 将此阶段命名为builderFROM golang:alpine as builder# 解决下载go慢的问题RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositoriesRUN apk --no-cache add gitWORKDIR /go/src/github.com/go/helloworld/RUN GOPROXY="https://goproxy.io" GO111MODULE=on go get -d -v github.com/go-sql-driver/mysqlCOPY app.go .# 处理go.mod缺失问题RUN go mod init# 编译app.goRUN CGO_ENABLED=0 GOOS=linux go build -a -installsuffix cgo -o app .# 制作应用镜像,此阶段命名为prodFROM alpine:latest as prodRUN apk --no-cache add ca-certificatesWORKDIR /root/COPY --from=0 /go/src/github.com/go/helloworld/app .CMD ["./app"]build
docker build -t go/helloworld:2 .# 运行容器docker container run go/helloworld:2>Hello World!%对比两个镜像的大小,可以看到通过多阶段构建的方法,摒弃编译所需环境依赖,最后的应用镜像要精简很多很多
docker image ls |grep go/hello>go/helloworld 2 38f137a75add 6 minutes ago 7.86MBgo/helloworld 1 e7606d3c0921 17 minutes ago 353MB依据上面的Dockerfile,如果我们只想构建到Build阶段的镜像时,可以用--targe参数指定此阶段别名来实现
docker build --target builder -t username/imagename:tag .本篇主要汇总go镜像相关操作指令等,镜像原理等架构技术会在后面深入学习docker底层实现时分析
学习自:
《Docker技术入门与实战(第3版)》Nigel,Poulton(奈吉尔·波尔顿) 著,李瑞丰,刘康 译
《深入浅出Docker》杨保华,戴王剑,曹亚仑 著
https://docs.docker.com/