Docker容器技术-镜像分发
一、镜像分发
1.镜像及镜像库的命名方式
指定镜像名称和标签的方法:
- 在狗偶见镜像时
- 通过docker tag命令
[root@bogon ~]# cd identidock/
[root@bogon identidock]# docker build -t "identidock:0.1" .
[root@bogon identidock]# docker tag "identidock:0.1" "hdlptz/identidock:0.1"
[root@bogon identidock]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
hdlptz/identidock 0.1 95f825228fdb 28 seconds ago 703MB
identidock 0.1 95f825228fdb 28 seconds ago 703MB
注意:
当没有指定标签时,Docker会用latest作为默认值,但除此之外,它不具备任何特殊含义。很多仓库会把它作为最新稳定版镜像的别名,但这只是一种惯例,并非规定。你仍需要执行docker pull命令来获取最新版。
当执行docker run或docker pull时,如果指定镜像名称不带标签,那么Docker会使用带latest标签的镜像,若不存在则报错。
标签名称规则:
- 必须由大小写字母、数字、以及.和-符号组成。
- 长度必须为1~128个字符
- 第一个字符不能是.或-符号
2.Docker Hub
[root@bogon identidock]# docker tag "identidock:latest" "hdlptz/identidock:0.1"
[root@bogon identidock]# docker push hdlptz/identidock:0.1
别名形式:/
3.自动构建
每当推送任何代码修改,Docker Hub就会构建新镜像,并将其保存到仓库。
自动构建是通过Hub的网页界面配置的,而不是通过命令行。
- 点击右上角“Create”下拉菜单,选择“Create A托马特定Build”,找到你要的代码仓库
- 选择仓库后,跳转值配置页面,仓库名称默认为代码库(可以修改)
- 填写仓库说明
- 第一个Tag字段为Branch,名称为master(跟踪主分支)
- 最后点击“Create”跳转至新仓库构建页面,点击“Triger a Build”生成自动构建镜像
添加README.md
[root@bogon identidock]# cat README.md
identidock
==========
Simple identicon server based on monsterid from Kevin Gaudin.
From "Using Docker" bu Adrian Mouat published by O'Reilly Media.
推送到Github
[root@bogon identidock]# git add README.md
[root@bogon identidock]# git commit -m "Added README"
[root@bogon identidock]# git push
二、私有分发
1.运行自己的寄存服务
本地运行寄存服务(使用官方镜像)
[root@bogon identidock]# docker run -d -p 5000:5000 registry:2
给镜像加标签并推送
[root@bogon identidock]# docker run -d -p 5000:5000 registry:2
9c72374fc20e044c6e0b69c0c2ac368b055832f0a39f2bdaad77e8cbd3f81c63
[root@bogon identidock]# docker tag hdlptz/identidock:0.1 localhost:5000/identidock:0.1
[root@bogon identidock]# docker push localhost:5000/identidock:0.1
The push refers to a repository [localhost:5000/identidock]
334ab24b425b: Pushed
30e2362e5771: Pushed
72811d39473b: Pushed
f6cff21775f2: Pushed
b3aa260c2eff: Pushed
2fcec228e1b7: Pushed
97d2d3bae505: Pushed
95aadeabf504: Pushed
b456afdc9996: Pushed
d752a0310ee4: Pushed
db64edce4b5b: Pushed
d5d60fc34309: Pushed
c01c63c6823d: Pushed
0.1: digest: sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f size: 3046
测试删除后重新下载
[root@bogon identidock]# docker rmi localhost:5000/identidock:0.1
Untagged: localhost:5000/identidock:0.1
Untagged: localhost:5000/identidock@sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
[root@bogon identidock]# docker pull localhost:5000/identidock:0.1
0.1: Pulling from identidock
Digest: sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
Status: Downloaded newer image for localhost:5000/identidock:0.1
寄存器为镜像生成一个摘要值(digest),这是基于镜像和它的元数据产生的一个唯一的散列值。
可使用这个值来下载镜像
[root@bogon identidock]# docker pull localhost:5000/identidock@sha256:\
> 6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f: Pulling from identidock
Digest: sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
Status: Image is up to date for localhost:5000/identidock@sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
使用摘要的优点是:保证下载的镜像确实是你想要的,并保证完整性。
2.远程使用寄存服务器存在的问题
(1)直接调用时会报错
[root@bogon identidock]# docker pull 192.168.1.100:5000/identidock:0.1
报错原因:
当Docker守护进程拒绝连接到远程主机时,因为它没有一个有效的传输层安全证书(Transport Layer Security,TLS)。
解决方法:
A.对将要访问寄存器的所有Docker守护进程加上--insecure-registry 192.168.1.100:5000参数,然后重启Docker守护进程;
B.在主机上安装一个来自可信的证书颁发机构签署的证书(如HTTPS访问那样);
C.在主机上安装一个自签名的证书(self-signed certificate),并同时给需要访问寄存服务器的每个Docker守护进程都安装一份。
(2)创建自签证书
在一台长期用作寄存服务器的电脑上进行
[root@bogon ~]# mkdir registry_certs
[root@bogon ~]# openssl req -newkey rsa:4096 -nodes -sha256 \
> -keyout registry_certs/domain.key -x509 -days 365 \
> -out registry_certs/domain.crt
Generating a 4096 bit RSA private key
..........................................................................................++
.......................++
writing new private key to 'registry_certs/domain.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:China
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Anzhi
Organizational Unit Name (eg, section) []:Autometa
Common Name (eg, your name or your server's hostname) []:bogon
Email Address []:hdlptz@163.com
[root@bogon ~]# ls registry_certs/
domain.crt domain.key
之后将证书复制到每一台客户端
[root@bogon ~]# mkdir -p /etc/docker/certs.d/bogon:5000
[root@bogon ~]# cp registry_certs/domain.crt /etc/docker/certs.d/bogon:5000/ca.crt
[root@bogon ~]# /bin/systemctl restart docker
启动寄存服务(以数据卷方式把证书放入)
[root@bogon ~]# docker run -d -p 5000:5000 \
> -v $(pwd)/registry_certs:/certs \
> -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
> -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
> --restart=always --name registry registry:2
71d621a877b749a5f9b8dc798e78abf65faeebc2232dfa7e73dfc282d2608a0c
说明:
- 创建一个x509的自签证书和4096位的RSA私钥,此证书使用SHA256的摘要签署,有效期365天
- Common Name必须与用来访问的服务器名字相同,不可使用IP地址
- crt证书与各个客户端共用,key密钥必须严密保存
测试寄存服务:
[root@bogon ~]# docker pull debian:wheezy
wheezy: Pulling from library/debian
39e552a2b1f7: Pull complete
Digest: sha256:e2a7ec190cf20118aa2a958c92cb9467d89b112a430848d3ff08461b60a0957f
Status: Downloaded newer image for debian:wheezy
[root@bogon ~]# docker tag debian:wheezy bogon:5000/debian:local
[root@bogon ~]# docker push bogon:5000/debian:local
The push refers to a repository [bogon:5000/debian]
dd7b8d3c2585: Pushed
local: digest: sha256:2118c3e3e3b047084bf6716f63958594111078f257ee91fd52612b3c6bdbd71d size: 529
注意以下两点:
- 将证书复制到Docker引擎主机上的/etc/docker/certs.d/<registry_address>/ca.crt
- 确保Docker引擎能够解析寄存服务器地址
- 寄存服务的选项由镜像中的一个YAML文件配置,可通过数据卷将其替换,/go/src/github.com/docker/distribution/cmd/registry/config.yml,该文件仅适用于开发环境,若要用于生产,需进行大幅度优化
3.寄存服务的主要功能
(1)存储
寄存服务器的镜像默认使用文件系统驱动,所有数据和镜像将会保存在文件系统上。
例如:以下的config.yml将配置寄存服务使用文件系统驱动,并将数据保存在/var/lib/registry,而且要把它定义为一个数据卷。
storage:
filesystem:
rootdirectory: /var/lib/registry
另外,还可以用Ceph分布式对象存储,利用Redis作为内存缓存来加速镜像层的访问效率。
(2)身份验证
A.在寄存服务之前设置一个代理(nginx)负责验证用户。
https://docs.docker.com/registry/recipes/nginx
可使用docker login登录
B.使用基于JSON网络令牌(JSON Web Token)实现的令牌认证。
https://github.com/cesanta/docker_auth
(3)HTTP
配置寄存服务的HTTP接口
http:
addr: bogon:5000
secret: SAI4351-ALD346-3434-3DFG-23ADG341DF43
tls:
certificate: /certs/domain.crt
key: /certs/domain.key
secert:用来签署客户端存储的状态信息的一个随机字符串,为了防止信息被篡改。
三、缩减镜像大小
镜像是由多个层所组成的,每个镜像对应Dockerfile以及其上的所有Dockerfile的每一个命令。镜像的总大小是所有镜像层的总和。
对比两个镜像:
[root@bogon test]# cat Dockerfile
FROM debian:wheezy
RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB
RUN rm /bigfile
[root@bogon test]# docker build -t filetest .
Sending build context to Docker daemon 2.048kB
Step 1/3 : FROM debian:wheezy
---> f47fe1c60a2f
Step 2/3 : RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB
---> Running in d33340bf5012
1+0 records in
1+0 records out
50000000 bytes (50 MB) copied, 0.555286 s, 90.0 MB/s
---> 0f33a1416b1e
Removing intermediate container d33340bf5012
Step 3/3 : RUN rm /bigfile
---> Running in c00c9b9d05be
---> 7829ebda71e6
Removing intermediate container c00c9b9d05be
Successfully built 7829ebda71e6
Successfully tagged filetest:latest
[root@bogon test]# docker history filetest
IMAGE CREATED CREATED BY SIZE COMMENT
7829ebda71e6 13 seconds ago /bin/sh -c rm /bigfile 0B
0f33a1416b1e 15 seconds ago /bin/sh -c dd if=/dev/zero of=/bigfile cou... 50MB
f47fe1c60a2f Less than a second ago /bin/sh -c #(nop) CMD ["bash"] 0B
<missing> Less than a second ago /bin/sh -c #(nop) ADD file:4a0b4ab0f637224... 85.1MB
可以看到,镜像比基础镜像大了50MB,而rm删除的文件并没有对大小有所影响,这是因为rm在dd之上又添加了一个镜像层,这是又Dockerfile文件所决定,因此对父层并没有影响。
[root@bogon test]# cat Dockerfile
FROM debian:wheezy
RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB && rm /bigfile
[root@bogon test]# docker build -t filetest .
Sending build context to Docker daemon 2.048kB
Step 1/2 : FROM debian:wheezy
---> f47fe1c60a2f
Step 2/2 : RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB && rm /bigfile
---> Running in 8714793afce3
1+0 records in
1+0 records out
50000000 bytes (50 MB) copied, 0.247367 s, 202 MB/s
---> e9cab407d89b
Removing intermediate container 8714793afce3
Successfully built e9cab407d89b
Successfully tagged filetest:latest
[root@bogon test]# docker images filetest
REPOSITORY TAG IMAGE ID CREATED SIZE
filetest latest e9cab407d89b 11 seconds ago 85.1MB
[root@bogon test]# docker history filetest
IMAGE CREATED CREATED BY SIZE COMMENT
e9cab407d89b 21 seconds ago /bin/sh -c dd if=/dev/zero of=/bigfile cou... 0B
f47fe1c60a2f Less than a second ago /bin/sh -c #(nop) CMD ["bash"] 0B
<missing> Less than a second ago /bin/sh -c #(nop) ADD file:4a0b4ab0f637224... 85.1MB
我们修改了Dockerfile文件,使之在同一镜像层中创建文件后再删除,则文件不会被包含在镜像中。
其他示例:
RUN apt-get upfate \
&& apt-get install -y curl numactl \
&& rm -rf /var/lib/apt/lists/*
使用docker export及docker import会得到只含有一个层的镜像
[root@bogon test]# docker create identidock:latest
427acbf9d8be57bfa9e3d97320228e86d85d0e9128130c052407fc641c08692a
[root@bogon test]# docker export $(docker ps -lq) |docker import -
sha256:09ca0e0f1f6b5a610e0b1e12c9c189a8ee1e7b504f01aa2d2468bab7ea8e9c8b
[root@bogon test]# docker tag 09ca0e0 identidock:import
[root@bogon test]# docker images identidock
REPOSITORY TAG IMAGE ID CREATED SIZE
identidock import 09ca0e0f1f6b About a minute ago 686MB
identidock 0.1 95f825228fdb 2 hours ago 703MB
identidock latest 3966bef511e5 5 hours ago 699MB
[root@bogon test]# docker history identidock:import
IMAGE CREATED CREATED BY SIZE COMMENT
09ca0e0f1f6b 2 minutes ago 686MB Imported from -
缺点:
- 需要重新处理所有未反映在文件系统里的Dockerfile指令(EXPOSE、CMD)
- 与镜像关联的所有元数据将会丢失
- 再也不能与其他具有相同父层的镜像共享空间
Docker容器技术-镜像分发的更多相关文章
- 【Docker】(9)---每天5分钟玩转 Docker 容器技术之镜像
镜像是 Docker 容器的基石,容器是镜像的运行实例,有了镜像才能启动容器.为什么我们要讨论镜像的内部结构? 如果只是使用镜像,当然不需要了解,直接通过 docker 命令下载和运行就可以了. 但如 ...
- Linux 运维工作中的经典应用ansible(批量管理)Docker容器技术(环境的快速搭建)
一 Ansible自动化运维工具 Python 在运维工作中的经典应用 ansible(批量管理操作) .安装ansible(需要bese epel 2种源) wget -O /etc/yum.rep ...
- 【转帖】一文看懂docker容器技术架构及其中的各个模块
一文看懂docker容器技术架构及其中的各个模块 原创 波波说运维 2019-09-29 00:01:00 https://www.toutiao.com/a6740234030798602763/ ...
- docker容器技术基础入门
目录 docker容器技术基础入门 容器(Container) 传统虚拟化与容器的区别 Linux容器技术 Linux Namespaces CGroups LXC docker基本概念 docker ...
- 理解docker容器和镜像(layer,ufs)和docker命令解释
博客好文1:http://blog.csdn.net/x931100537/article/details/49633107(理解docker容器和镜像,理解简单,从原理入手,什么是layer,什么是 ...
- 微服务架构:基于微服务和Docker容器技术的PaaS云平台架构设计(微服务架构实施原理)
版权声明:本文为博主原创文章,转载请注明出处,欢迎交流学习! 基于微服务架构和Docker容器技术的PaaS云平台建设目标是给我们的开发人员提供一套服务快速开发.部署.运维管理.持续开发持续集成的流程 ...
- Weave Scope 容器地图 - 每天5分钟玩转 Docker 容器技术(80)
Weave Scope 的最大特点是会自动生成一张 Docker 容器地图,让我们能够直观地理解.监控和控制容器.千言万语不及一张图,先感受一下. 下面开始实践 Weave Scope. 安装 执行如 ...
- Prometheus 到底 NB 在哪里?- 每天5分钟玩转 Docker 容器技术(84)
本节讨论 Prometheus 的核心,多维数据模型.我们先来看一个例子. 比如要监控容器 webapp1 的内存使用情况,最传统和典型的方法是定义一个指标 container_memory_usag ...
- Docker Swarm 中最重要的概念- 每天5分钟玩转 Docker 容器技术(94)
从主机的层面来看,Docker Swarm 管理的是 Docker Host 集群.所以先来讨论一个重要的概念 - 集群化(Clustering). 服务器集群由一组网络上相互连接的服务器组成,它们一 ...
随机推荐
- AOF 持久化策略
Redis为了解决AOF后台重写造成的数据不一致问题,设置了AOF重写缓冲区.即使设置了no-appendfsync-on-rewrite yes也会造成短暂的主进程阻塞.原因就在于子进程完成AOF重 ...
- 手机端 html 页面
<!doctype html> <html> <meta charset="utf-8"> <meta name="viewpo ...
- Servlet 处理日期
使用 Servlet 的最重要的优势之一是,可以使用核心 Java 中的大多数可用的方法.本章将讲解 Java 提供的 java.util 包中的 Date 类,这个类封装了当前的日期和时间. Dat ...
- [Android L]关于Android L的Service启动问题
一 问题描写叙述 Android L[Android5.X.X] 版本号通过Intent隐式启动service时将会报出下面错误: AndroidRuntime( 792): java.lang.I ...
- python在linux中输出带颜色的文字的方法
在开发项目过程中,为了方便调试代码,经常会向stdout中输出一些日志,默认的这些日志就直接显示在了终端中.而一般的应用服务器,第三方库,甚至服务器的一些通告也会在终端中显示,这样就搅乱了我们想要的信 ...
- JS原生追加子节点
var fragment = document.createDocumentFragment(); li = document.createElement('li'); li.className = ...
- [NSDate distantPast]使用
本文转载至 http://blog.sina.com.cn/s/blog_5f1967e00101ge0i.html 使用下面的方法: 关闭定时器不能使用invalidate方法,应该使用下面的方法 ...
- bootstrap获取总条目数
$('#table').on('load-success.bs.table', function () {alert($('#table').bootstrapTable('getOptions'). ...
- 巨蟒python全栈开发flask目录
预习1: 1.FlaskWeb框架: https://www.cnblogs.com/DragonFire/category/1246076.html 人工智能技术应用: https://www.cn ...
- 修改已生成项目app名称
在搜索里添加product Name,然后修改成你需要的app名称 修改完后可能会报错误如下 原因是test的测试路径发生了变化,其实如果不修改Test host的路径保留原来的重命名之前的app也是 ...