Docker鏡像的創建+構建私有倉庫及其使用方法

博文大綱：

• 一、docker鏡像的創建方法
  1、基于已有鏡像創建
  2、基于本地模板創建
  3、基于dockerfile創建
  4、搭建私有倉庫及其使用方法

一、docker鏡像的創建方法

docker鏡像是除了docker的核心技術之外，也是應用發布的標準格式。一個完整的docker鏡像可以支撐一個docker容器的運行，在docker的整個使用過程中，進入一個已經定型的容器之后，就可以在容器中進行操作，最常見的操作就是在容器中安裝應用服務，如果要把已經安裝的服務進行遷移，就需要把環境及搭建的服務生成新的鏡像。

創建鏡像的方法有三種，分別是基于已有鏡像創建、基于本地模板創建及基于dockerfile創建。接下來會將這幾種方法依次寫下來。

1、基于已有鏡像創建

基于已有鏡像創建主要是使用docker commit命令，本質上就是把一個容器里面運行的程序及該程序的運行環境打包起來生成新的鏡像。

命令格式如下：

docker  commit  [選項]  容器ID/名稱  倉庫名稱:[標簽]

常用選項如下：

• -m：說明信息；
• -a：作者信息；
• -p：生成過程中停止容器的運行

基于已有鏡像創建新的鏡像舉例：

（1）啟動一個鏡像，在容器里做修改，然后將修改后的容器提交為新的鏡像，需要記住該容器的ID號，如下：

[root@localhost ~]# docker ps -a                #查看當前運行的容器
CONTAINER ID        IMAGE                      COMMAND                  CREATED             STATUS              PORTS                       NAMES
c037e7a5734b        docker.io/sameersbn/bind   "/sbin/entrypoint...."   19 seconds ago      Up 7 seconds        53/tcp, 10000/tcp, 53/udp   hopeful_clarke
[root@localhost ~]# docker exec -it c037e7a5734b /bin/bash            #進入該容器
root@c037e7a5734b:/# echo 11111111111 > /etc/a.txt               #隨便寫入一個文件
root@c037e7a5734b:/# exit                      #退出該容器
exit
[root@localhost ~]# docker commit -m "newnamed" -a "ljz" c037e7a5734b docker:mynamed
#使用docker commit命令創建一個新的鏡像
sha256:e178f320e4821642bed66d0e61e8a85eedd841cb8a3a84db3d38e7d92d844eae
[root@localhost ~]# docker images | grep mynamed          #查看新創建的鏡像
docker                        mynamed             e178f320e482        11 seconds ago      323 MB
[root@localhost ~]# docker create -it docker:mynamed /bin/bash       #基于新創建的鏡像創建一個容器
dc37cf2d6ef754200aea067d7a15c83713f2488dac0913013373809633266f07
[root@localhost ~]# docker ps -a               #獲取剛剛創建的容器ID號，下面標紅的就是
CONTAINER ID        IMAGE                      COMMAND                  CREATED             STATUS              PORTS                       NAMES
'dc37cf2d6ef7'        docker:mynamed             /sbin/entrypoint....   11 seconds ago      Created                                         pensive_williams
c037e7a5734b        docker.io/sameersbn/bind   /sbin/entrypoint....   6 minutes ago       Up 5 minutes        53/tcp, 10000/tcp, 53/udp   hopeful_clarke
[root@localhost ~]# docker start dc37cf2d6ef7            #啟動剛創建的容器
dc37cf2d6ef7
[root@localhost ~]# docker exec -it dc37cf2d6ef7 /bin/bash          #查看在之前容器里寫入的文件是否存在
root@dc37cf2d6ef7:/# cat /etc/a.txt 
11111111111
#可以看到新創建的容器中，有在之前容器中創建的文件，說明鏡像更改成功

2、基于本地模板創建

通過導入操作系統模板文件可以生成鏡像，模板可以從OPENVZ開源項目下載,或者 https://wiki.openvz.org/Download/template/precreated ,優先使用OPENVZ開源項目那個鏈接；

基于本地模板創建舉例：

1、下載centos 7的迷你版系統模板，使用docker導入命令導入為本地鏡像：

[root@localhost ~]# wget https://download.openvz.org/template/precreated/centos-7-x86_64-minimal.tar.gz             #下載centos7的模板壓縮包
                           .................. #省略部分內容
[root@localhost ~]# ls | grep centos*                  #確認已經下載centos7的模板壓縮包
centos-7-x86_64-minimal.tar.gz
[root@localhost ~]# cat centos-7-x86_64-minimal.tar.gz | docker import - docker:new  
#使用docker導入命令導入為本地鏡像
sha256:c065d5c0571df48eba3b95b1302494b596cf9f67c24eacc82ff75a9e9c2b7622
[root@localhost ~]# docker images | grep new         #查看導入的鏡像
docker                        new                 c065d5c0571d        56 minutes ago      435 MB
#至此，可使用這個鏡像創建容器并部署需要的功能，進行使用了。

3、基于dockerfile創建

dockerfile是由一組指令組成的文件，其中每條指令對應Linux中的一條命令，docker程序將讀取dockerfile中的指令生成指定鏡像。

dockerfile結構大致分為四個部分：基礎鏡像信息、維護者信息、鏡像操作指令和容器啟動時執行指令。dockerfile每行支持一條指令，每條指令可攜帶多個參數，支持使用“#”號開頭的注釋。

dockerfile中的配置項介紹：

[root@localhost ~]# docker tag docker:new centos7:system            
#將上面下載的centos 7迷你鏡像更改下名字及標簽，以便區分
[root@localhost ~]# docker images | grep system             
#確認基礎鏡像已經準備好（就是一個centos 7的迷你系統進行）
centos7                       system              c065d5c0571d        About an hour ago   435 MB
[root@localhost ~]# vim Dockerfile   #編輯一個Dockerfile文件，注意：文件名最好就是Dockerfile

FROM centos           #第一行必須指明基于的基礎鏡像（該鏡像必須存在）
MAINTAINER The centos project <ljz@centos.org>    #維護該鏡像的用戶信息
#以下是鏡像的操作指令
RUN yum -y update      
RUN yum -y install openssh-server
RUN sed -i 's/UsePAM yes/UsePAM no/g' /etc/ssh/sshd_config
RUN ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
RUN ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key
EXPOSE 22       #開啟22端口
CMD ["/usr/sbin/sshd","-D"]     #啟動容器時執行指令

在編寫dockerfile時，有嚴格的格式需要遵循：第一行必須使用FROM指令指明所基于的鏡像名稱；之后使用MAINTAINER指令說明維護該鏡像的用戶信息；然后是鏡像操作相關指令，如RUN指令，每運行一條指令，都會給基礎鏡像添加新的一層；最后使用CMD指令來指定啟動容器時要運行的命令操作。

dockerfile有十幾條命令可用于構建鏡像，其中常見的指令如下：

dockerfile使用舉例——使用dockerfile創建apache鏡像并在容器中運行

（1）創建鏡像并加載到容器中運行：

[root@localhost ~]# mkdir apache               #建立工作目錄
[root@localhost ~]# cd apache/                #切換至新建的目錄
[root@localhost apache]# vim Dockerfile             #編寫dockerfile文件

FROM centos                #基于的基礎鏡像centos
MAINTAINER the centos project <ljz@163.com>     #維護該鏡像的用戶信息
RUN yum -y update            #使用yum進行更新
RUN yum -y install httpd        #鏡像操作指令安裝apache軟件包
EXPOSE 80                         #開啟80端口
ADD index.html /var/www/html/index.html            #將本地的首頁文件index.html復制到鏡像中
ADD run.sh /run.sh      #將本地的運行腳本run.sh復制到鏡像中
RUN chmod 775 /run.sh       #賦予腳本執行權限
RUN systemctl disable httpd             #設置apache服務不自行啟動
CMD ["/run.sh"]             #啟動容器時執行腳本
#輸入上述信息后，保存退出
[root@localhost apache]# docker images | grep centos     
#確保本地有centos的基礎鏡像，因為在dockerfile文件中指定了該鏡像
centos7                       system              c065d5c0571d        About an hour ago   435 MB
[root@localhost apache]# vim run.sh               #編寫執行腳本內容

#!/bin/bash
rm -rf /run/httpd/*              #清理httpd的緩存
exec /usr/sbin/apachectl -D FOREGROUND           #啟動apache服務
[root@localhost apache]# echo "dockerfile  test" >index.html          #編寫一個首頁文件
[root@localhost apache]# ls               #確保當前目錄下的文件有以下三個
Dockerfile  index.html  run.sh
#當以上準備完成后，就可以使用docker  build命令來創建鏡像，如下：
[root@localhost apache]# docker build -t httpd:centos .     
#注意上面命令的末尾有個“.”，表示當前路徑，若不加則會報錯。
#其中“-t”選項用來指定鏡像的標簽信息
Sending build context to Docker daemon 4.096 kB
Step 1/10 : FROM centos
Trying to pull repository docker.io/library/centos ... 
latest: Pulling from docker.io/library/centos
  .................. #省略部分內容，此處需要靜等幾分鐘，此時系統在執行dockerfile文件中的指令。
    #若在顯示信息中有報紅的信息，只要配置文件無誤，一般屬于正常（是有關yum的信息）。
Removing intermediate container 81a3d6c9d3db
Step 10/10 : CMD /run.sh
 ---> Running in 5cdc467fd874
 ---> 5d56b826432d
Removing intermediate container 5cdc467fd874
Successfully built 5d56b826432d
#當出現以上提示，則表示新的鏡像已經創建成功了。
#在整個創建過程中，可以看到每運行一次dockerfile中的指令，都會以給初始鏡像加上新的一層。
[root@localhost apache]# docker run -d -p 81:80 httpd:centos  #將新生成的鏡像加載到容器中運行。
#其中“-p”選項實現從本地端口81到容器中80端口的映射。
192cd783028dcb3013ebb40b65ba8450e695e424e700a13cb8a44bb84af3e71a
[root@localhost apache]# docker ps -a         #查詢容器是否運行
CONTAINER ID        IMAGE                      COMMAND                  CREATED              STATUS              PORTS                       NAMES
192cd783028d        httpd:centos               "/run.sh"                About a minute ago   Up About a minute   0.0.0.0:81->80/tcp          gallant_khorana
                  #省略部分內容

至此，可以看到新生成的鏡像已經在容器中加載運行了，本機（宿主機，不是docker容器）的IP地址為192.168.1.1，此時client訪問192.168.1.1的81端口，就相當于訪問了剛運行的容器的80端口，如下：

4、搭建私有倉庫及其使用方法

（2）將鏡像上傳到倉庫中：

隨著創建的鏡像增多，就需要有一個保存鏡像的地方，這就是倉庫，目前有兩種倉庫：公共倉庫和私有倉庫，公司的生產環境中大多數都是保存到私有倉庫的，最簡單的還是在公共倉庫上下載鏡像，若是上傳鏡像至公共倉庫，還需要注冊并登陸，關于公共倉庫的上傳，可以參考博文Docker的概念及安裝配置中的上傳鏡像部分。

那么怎么構建私有倉庫呢？可以使用registry來搭建本地私有倉庫。如下：

[root@localhost ~]# docker search registry               #查詢關鍵字“registry”
INDEX       NAME                                          DESCRIPTION                                     STARS     OFFICIAL   AUTOMATED
docker.io   docker.io/registry                            The Docker Registry 2.0 implementation for...   2679      [OK]       
                 ..................#省略部分內容
[root@localhost ~]# docker pull docker.io/registry     #下載排名靠前的鏡像
                 ..................#省略部分內容
Status: Downloaded newer image for docker.io/registry:latest    #下載成功
[root@localhost ~]# vim /etc/sysconfig/docker           
#修改docker配置文件指定私有倉庫URL，否則在自定義的私有倉庫中上傳鏡像時會報錯

# /etc/sysconfig/docker

# Modify these options if you want to change the way the docker daemon runs
OPTIONS='--selinux-enabled --insecure-registry=192.168.1.1:5000'
#更改上面一行內容，其中的IP地址是作為私有倉庫服務器的IP地址，這里就是本機的IP地址。
                 ..................#省略部分內容
#修改完畢后保存退出
[root@localhost ~]# systemctl restart docker      #重啟docker服務

使用下載好的registry鏡像啟動一個容器，默認情況下倉庫存放于容器內的/tmp/registry目錄下，使用-v選項可以將本地目錄掛載到容器內的/tmp/registry目錄下使用，這樣就不怕容器被刪除后鏡像也會隨之丟失。在本地啟動一個私有倉庫服務，監聽端口號為5000。

注意：我本地有一個/data/registry目錄（掛載的是一個高可用的GFS文件系統，也可以使用NFS，自行選擇即可，但是建議對于重要的數據存放目錄，一定要保證容量的動態擴展以及磁盤損壞造成數據丟失的問題），將要掛載到私有倉庫容器中的/tmp/registry目錄中用于存放上傳到私有倉庫的鏡像文件。

[root@localhost ~]# df -hT /data/registry/             #查看我這個目錄所使用的文件系統
文件系統         類型            容量  已用  可用 已用% 掛載點
node4:dis-stripe fuse.glusterfs   80G  130M   80G    1% /data/registry
[root@localhost ~]# docker run -d -p 5000:5000 -v /data/registry/:/tmp/registry docker.io/registry
#啟動私有倉庫，并做端口映射到主機的5000端口，將本地的/data/registry目錄掛載到容器中的/tmp/registry目錄
#docker.io/registry是剛才下載的私有倉庫鏡像。
a6bf726c612b826e203d6a5bc9eaba26c36195913d3ea546c2111ce290a5524d
[root@localhost ~]# docker tag docker.io/registry 192.168.1.1:5000/registry     
#使用docker  tag命令將要上傳的鏡像docker.io/registry改一下標記，其中的IP及端口為固定的，否則無法連接到私有倉庫
#因為在上面運行容器時，做了端口映射，將私有倉庫的端口號映射到了宿主機的5000端
口，
#所以直接訪問宿主機的5000端口，就相當于訪問了私有倉庫。
[root@localhost ~]# docker images | grep 5000            #找到要上傳的鏡像
192.168.1.1:5000/registry     latest              f32a97de94e1        6 months ago        25.8 MB
[root@localhost ~]# docker push 192.168.1.1:5000/registry            #上傳至剛剛運行的私有倉庫
The push refers to a repository [192.168.1.1:5000/registry]
73d61bf022fd: Pushed 
5bbc5831d696: Pushed 
d5974ddb5a45: Pushed 
f641ef7a37ad: Pushed 
d9ff549177a9: Pushed 
latest: digest: sha256:b1165286043f2745f45ea637873d61939bff6d9a59f76539d6228abf79f87774 size: 1363
#下面再上傳一個鏡像，進行測試。
[root@localhost ~]# docker images | grep mynamed            #就上傳它了
docker                        mynamed             e178f320e482        4 hours ago         323 MB
[root@localhost ~]# docker tag docker:mynamed 192.168.1.1:5000/named:test    
#老規矩，必須改倉庫名，注意：若標簽不是默認的latest，那么還需要在倉庫名后面接上標簽名
[root@localhost ~]# docker images | grep 192.168.1.1:5000/named     #確定更改成功
192.168.1.1:5000/named        test                e178f320e482        4 hours ago         323 MB
[root@localhost ~]# docker push 192.168.1.1:5000/named:test       #上傳至私有倉庫
The push refers to a repository [192.168.1.1:5000/named]
c756b9ec7fb0: Pushed 
7d8d01394159: Pushed 
72b7cd87d69b: Pushed 
3be48ef75683: Pushed 
9b28c58ad64b: Pushed 
75e70aa52609: Pushed 
dda151859818: Pushed 
fbd2732ad777: Pushed 
ba9de9d8475e: Pushed 
test: digest: sha256:44894a684eac72a518ae5fa66bcbe4e4a9429428ef7ac6f4761022f8ac45ac5f size: 2403

至此，測試就完畢了，但是，如何證明私有倉庫使用的是本地的/data/registry這個目錄呢？以及如何查看上傳的鏡像呢？（上傳至私有倉庫的鏡像是無法使用普通的ls命令查看的）。

[root@localhost ~]# df -hT /data/registry/           #先查看本地/data/registry/ 掛載的文件系統
文件系統         類型            容量  已用  可用 已用% 掛載點
node4:dis-stripe fuse.glusterfs   80G  130M   80G    1% /data/registry
[root@localhost ~]# docker exec -it a6bf726c612b /bin/sh 
#進入私有倉庫的容器中，該容器沒有/bin/bash，所以使用的是/bin/sh。
/ # df -hT /tmp/registry/   #查看發現，該目錄掛載的和宿主機掛載的文件系統是同一個，說明沒問題。
Filesystem           Type            Size      Used Available Use% Mounted on
node4:dis-stripe     fuse.glusterfs
                                    80.0G    129.4M     79.8G   0% /tmp/registry
                     ——————————我是分割線——————————  
#那么如何查看上傳至私有倉庫的鏡像呢？請看下面：
[root@localhost ~]# curl -XGET http://192.168.1.1:5000/v2/_catalog   
#查看已經上傳的鏡像，可以看到剛剛上傳的那兩個鏡像
{"repositories":["named","registry"]}
#只知道鏡像名還不夠，若要下載，還需要鏡像對應的標簽，那么怎么查看某個鏡像的標簽呢？
[root@localhost ~]# curl -XGET http://192.168.1.1:5000/v2/named/tags/list
#就這樣查看咯，上面URL路徑中的named就是鏡像名，查看的就是鏡像named對應的標簽
{"name":"named","tags":["test"]}
[root@localhost ~]# docker pull 192.168.1.1:5000/named:test      #將私有倉庫中的鏡像下載下來
#前面必須指定私有倉庫的訪問地址，就是上傳時的名字是什么，下載時就是什么，哪怕查詢的鏡像名中沒有IP地址。
Trying to pull repository 192.168.1.1:5000/named ... 
sha256:44894a684eac72a518ae5fa66bcbe4e4a9429428ef7ac6f4761022f8ac45ac5f: Pulling from 192.168.1.1:5000/named
Digest: sha256:44894a684eac72a518ae5fa66bcbe4e4a9429428ef7ac6f4761022f8ac45ac5f
Status: Downloaded newer image for 192.168.1.1:5000/named:test

附加：
若需要在其他服務器上下載私有倉庫的鏡像，需要在那個其他服務器上執行以下命令，以便指定私有倉庫服務器地址：

[root@node1 ~]# echo '{ "insecure-registries":["xxx.xxx.xxx.xxx:5000"] }' > /etc/docker/daemon.json
#其中xxx.xxx.xxx.xxx:5000代表訪問私有倉庫的IP地址及端口，根據自己的服務器情況來定
[root@node1 ~]#systemctl restart docker          #重啟docker服務

上面的方法是我百度到的，親測有效，也可是嘗試下這種方法（我沒試過）：

[root@node1 ~]# vim /etc/sysconfig/docker     #修改docker配置文件指定私有倉庫URL

# /etc/sysconfig/docker

# Modify these options if you want to change the way the docker daemon runs
OPTIONS='--selinux-enabled --insecure-registry=192.168.1.1:5000'    #修改此行
[root@node1 ~]#systemctl restart docker          #重啟docker服務

———————— 本文至此結束，感謝閱讀 ————————