Docker--镜像、容器数据卷（容器卷）

一、镜像

1.镜像是什么

• 镜像是一种轻量级、可执行的的独立软件包，它包含运行某个软件所需要的所有内容，我们把应用程序和配置依赖打包好形成一个可交付的运行环境（包括代码、运行时需要的库、环境本量、配置文件等），这个打包好的运行环境就是image镜像文件。
• 只有用过这个镜像文件才能生成docker容器实例。

2.分层的镜像

以我们pull为例，在下载的过程中我们可以看到docker的镜像是在一层一层的下载。

3.UnionFS(联合文件系统)

• 是什么：Union文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层叠加，同时可以将不同目录挂载到同一个虚拟文件系统下（unite several directories into a single virtual filesystem）。Union文件系统是docker镜像的基础。镜像可以通过分层来继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。
• 特性：一次同时加载多个文件系统，但从外面看来只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

4.docker镜像加载原理

• docker的镜像实际上由一层一层的文件系统组成，这种层级的文件系统UnionFS。
• bootfs(boot file system–启动文件系统)主要包含bootloader和kernel，BootLoader（启动加载器）主要是引导加载kernel（内核），Linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是引导文件系统bootfs。这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs。
• rootfs (根文件系统) ，在bootfs之上。包含的就是典型 Linux 系统中的 /dev, /proc, /bin, /etc 等标准目录和文件。rootfs就是各种不同的操作系统发行版，比如Ubuntu，Centos等等。
  
  为什么平常我们虚拟机的centos好几个G，而docker才200M？
      对于一个精简的os，rootfs可以很小，只需要包括最基本的命令、工具和程序库就可以了，因为底层直接用Host的kernel，自己只需要提供rootfs就行了。

5.为什么Docker 镜像要采取这种分层结构

镜像分层最大的一个好处就是共享资源，方便复制迁移，就是为了复用。
比如说有多个镜像都从相同的 base（基础） 镜像构建而来，那么 Docker Host 只需在磁盘上保存一份 base 镜像；同时内存中也只需加载一份 base 镜像，就可以为所有容器服务了，而且镜像的每一层都可以被共享。

重点理解：

• docker镜像层都是只读，容器层是可写的；
• 当容器启动时，一个新的可写层被加载到镜像的顶部。这一层通常被称作‘容器层’，‘容器层’之下的都加镜像层；
• 所有对容器的改动，无论是增加、删除、还是修改文件都只会发生在容器层中。只有容器层是可写的，容器层下面所有的镜像层都是只读的。
  

总结

• Docker中的镜像分层，支持通过扩展现有镜像，创建新的镜像。类似Java继承于一个Base基础类，自己再按需扩展。

• 新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件，就在现有镜像的基础上增加一层。
  

二、容器数据卷（容器卷）

1.一个坑

Docker挂载主机目录访问如果出现cannot open directory .: Permission denied

解决办法：在挂载目录后多加一个==–privileged=true==即可

    因为如果是centos7安全模块会比之前系统版本加强，不安全的回显禁止，所以目录挂载的情况被默认为不安全的行为，在selinux里面挂载目录被禁止掉了，如果在开启，我们一般使用–privileged=true命令，扩大容器的权限解决挂载目录没有权限的问题，也即使用该参数，container内的root拥有真正的root权限，否则，container（容器）内的root只是外部的一个普通用户权限。

2.是什么

• 卷就是目录和文件，存在于一个或多个容器中，由docker挂载到容器，但不属于联合文件系统，因此能够绕过union file system提供一些用于持续存储或共享数据的特性。（将docker容器内的数据保存进宿主机的磁盘中）
• 卷的设计目的就是数据持久化（类似于redis中的rdb和aof文件），完全独立于容器的生命周期，因此docker不会在容器删除时删除其挂载的容器卷。

3.作用:将容器中的数据备份到主机的磁盘中

特点：

• 数据卷可在容器之间共享或重用数据；
• 卷中的更改可以直接实时生效；
• 数据卷中的更改不会包含在镜像的更新中；
• 数据卷的生命周期一直持续到没有容器使用它为止。

运行一个带有容器卷存储功能的容器实例

docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录 镜像名
1

三.数据卷案例

1.宿主vs容器之间映射添加容器卷

• 指定目录启动一个Ubuntu容器

docker run -it --privileged=true -v /home/docker-data:/tmp/docker_data qq/docker-vim:1.1
docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录 镜像名
1
2

• 查看数据卷是否挂载成功

docker inspect 容器id
1

• 容器与宿主机之间数据共享
  在容器中创建文件
  

  宿主机中可查看到
  

2.设置容器卷的读写规则

• 读写（默认）
  • docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录:rw 镜像名
• 只读
  • 容器实例内部被限制，只能读取不能写 。此时如果宿主机写入内容可以同步到容器内，容器内可以读到，但容器内没有写的功能。
    docker run -it --privileged=true -v /宿主机绝对路径目录:/容器内目录:ro 镜像名

3.卷的继承与共享

• 容器1完成和宿主机的映射
  
  

• 容器2继承容器1的卷规则

docker run -it --privileged=true --volumes-from u1 --name u2 qq/docker-vim:1.1 
docker run -it --privileged=true --volumes-from 父类 --name u2 qq/docker-vim:1.1 
1
2