[系统运维]Docker学习(三) -- 镜像及容器数据卷

镜像

是什么

是一种轻量级、可执行的独立软件包，它包含运行某个软件所需的所有内容，我们吧应用程序和配置依赖打包好形成一个可交付的运行环境（包括代码、运行时需要的库、环境变量和配置文件等），这个打包好的运行环境就是image镜像文件。

只有通过这个镜像文件才能生成Docker容器实例（类似java中new出来一个对象）。

UnionFS联合文件系统

是一种分层，轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像

特性：一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件盒目录。

分层镜像

从远程仓库拉去tomcat，可以看到镜像是一层一层下载的：

docker镜像加载原理：

docker的镜像实际上由一层一层的文件系统组成，这种层级的文件系统UnionFS。

bootfs（boot file system）主要包含bootloader和kernel，bootloader主要是引导加载kernel，linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是引导文件系统bootfs。这一层与我们典型的linux系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs。

rootfs（root file system），在bootfs之上。包含的就是典型linux系统中的/dev、/bin、/etc等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如ubuntu、centos等。

为什么平常我们虚拟机的centos好几个G，而docker才200M？

对于一个精简的os，rootfs可以很小，只需要包括最基本的命令、工具和程序库就可以了，因为底层直接用Host的kernel，自己只需要提供rootfs就行了。

好处

可以共享资源，方便复制迁移，方便复用。

比如说有多个镜像都从相同的base镜像构建而来，那么Docker Host只需在磁盘上保存一份base镜像；同时内存中也只需加载一份base镜像，就可以为所有容器服务了。而且镜像的每一层都可以被共享。

docker中的镜像分层，支持通过扩展现有的镜像，创建新的镜像。类似java继承于一个base基础类，自己再按需扩展。

新镜像是从base镜像一层一层叠加生成的。没安装一个软件，就在现有镜像的基础上增加一层。

如上一篇中讲的commit命令，我们就可以通过原有的ubuntu来构建我们自己的带有vim功能ubuntu。

2. 容器数据卷

2.1 一个bug：

docker挂载主机目录访问如果出现cannot open directory：permission denied

解决办法：在挂载目录后多加一个--privileged=true即可

因为如果是centos7安全模块会比之前系统版本加强，不安全的回显禁止，所以目录挂载的情况被默认为不安全的行为，在selinux里面挂载目录被禁止掉了，如果在开启，我们一般使用--privileged=true命令，扩大容器的权限解决挂载目录没有权限的问题，

也即使用该参数，container内的root拥有真正的root权限，否则，container内的root只是外部的一个普通用户权限。

2.2 定义：

卷就是目录或文件，存在于一个或多个容器中，由docker挂载到容器，但不属于联合文件系统，因为能够绕过union file system提供一些用于持续存储或共享数据的特性。

卷的设计目的就是数据持久化，完全独立于容器的生命周期，因为docker不会在容器删除时删除其挂载的数据卷。

2.3 作用：将容器数据备份到主机

将容器的重要数据备份持久化到朱继忠，防止不小心删除容器导致数据丢失

2.4 特点：

1. 数据卷可在容器之间共享或重用数据
2. 卷中的更改可以直接实时生效
3. 数据卷中的更改不会包含在镜像的更新中
4. 数据卷的生命周期一直持续到没有容器使用它为止

2.5 命令：-v参数：

docker run [其他的一些可选参数] -v /宿主机绝对路径目录:/容器内目录 --privileged=true 镜像名

在下一章中，我们会运行一个私有库，运行命令为：

# 其中-d -p不多说
# -v代表将后面‘:’前面的路径即宿主机的路径和‘:’后面的路径即容器内的路径实现了数据共享
# --privileged=true表示放开权限
# registry表示启动后的容器名
docker run -d -p 5000:5000 -v /zzyyuser/myregistry:/tmp/registry --privileged=true registry

默认情况，即不指定关联路径的时候，仓库被创建在容器的/var/lib/registry目录下。

此处建议自行用容器卷映射，方便宿主机联调。

2.6 案例：

1. 指定目录启动ubuntu：

docker run -it --privileged=true -v /home/docker-study:/tmp/docker_data --name=u1 ubuntu

2. 在容器内新建文件：

root@eb84996ee09c:/tmp/docker_data# touch study.txt
root@eb84996ee09c:/tmp/docker_data# ls
study.txt

3. 在主机中查看：

[root@yhx docker-study]# ls
study.txt

2.7 查看数据卷是否挂载成功

 docker inspect 容器id

2.8 停止容器，在主机中添加文件，文件还是会同步到容器

不做演示，自己可以试试看；通过此例可以看他们，他们是共享的文件系统，而不是进行的数据复制。

2.9 设置容器卷读写规则

# rw：可读可写
# ro：只读即read only，宿主机可以写入数据，容器只能读取，不能修改目录内容
# 如果不加，默认是rw即可读可写
docker run -it --privileged=true -v /宿主机目录:/容器内目录:rw/ro 镜像名

2.10 卷的继承和共享

容器1完成和宿主机的映射，容器2继承容器1的卷：

docker run -it --privileged=true --volumes-from 容器1 --name 容器2 ubuntu

[root@yhx ~]# docker run -it --privileged=true --volumes-from u1 --name u2 ubuntu
root@fd1b6d17de39:/# cd /tmp/
root@fd1b6d17de39:/tmp# ls
docker_data
root@fd1b6d17de39:/tmp# cd docker_data/
root@fd1b6d17de39:/tmp/docker_data# ls
study.txt
root@fd1b6d17de39:/tmp/docker_data# 

如果容器1挂了，会不会对容器2造成影响？

答案是不会，所以我的理解虽然这里是继承，但是继承的只是配置，也就是容器2已经直接连到了宿主机。