---

一、镜像底层原理

1.联合文件系统(UnionFS)

Union文件系统(UnionFS)是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。AUFS、OberlayFS及Devicemapper都是一种UnionFS。
Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承，基于基础镜像(没有父镜像)，可以制作各种具体的应用镜像。

特性
一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

我们下载的时候看到的一层层的就是联合文件系统。

2.镜像加载原理

在Docker镜像的最底层是bootfs，这一层与我们典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统也会卸载bootfs。
rootfs，在bootfs之上。包含的就是典型Linux系统中的/dev，/proc，/bin，/etc等标准目录和文件。rootfs 就是各种不同的操作系统发行版，比如Ubuntu, Centos等等。
我们可以理解成一开始内核里什么都没有，操作一个命令下载debian，这时就会在内核上面加了一层基础image；再安装一个emacs，会在基础镜像上叠加一层image；接着再安装一个apache，又会在images上面再叠加一层image。最后它们看起来就像一个文件系统即容器的rootfs。
在Docker的体系里把这些rootfs叫做Docker的镜像。但是，此时的每一层rootfs都是只读read-only的，我们此时还不能对其进行操作。当我们创建一个容器，也就是将Docker镜像进行实例化，系统会在一层或是多层read-only的rootfs之上分配一层空的可读可写read-write的rootfs。

3.为什么Docker里的centos的大小才200M?

因为对于精简的OS，rootfs可以很小，只需要包含最基本的命令、工具和程序库就可以了，因为底层直接用宿主机的kernel，自己只需要提供rootfs就可以了。由此可见对于不同的linux发行版，bootfs基本是一致的，rootfs会有差别，因此不同的发行版可以公用bootfs。

二、Dockerfile

1.简介

Docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的一些配置参数 (如匿名卷、环境变量、用户等)。镜像不包含任何动态数据，其内容在构建之后也不会被改变。

镜像的定制实际上就是定制每一层所添加的配置文件。如果我们可以把每一层修改、安装、构建、操作的命令都写入一个脚本，用这个脚本来构建、定制镜像，那么镜像构建透明性的问题、体积的问题就都会解决。这个脚本就是Dockerfile。

Dockerfile是一个文本文件，其内包含了一条条的指令(Instruction)，每一条指令构建一层，因此每一条指令的内容，就是描述该层应当如何构建。有了Dockerfile，当我们需要定制自己额外的需求时，只需在Dockerfile.上添加或者修改指令，重新生成image即可，省去了敲命令的麻烦。

Dockerfile结构大致分为四个部分：基础镜像信息、维护者信息、镜像操作指令和容器启动时执行指令。Dockerfile每行 支持一条指令，每条指令可携带多个参数，支持使用以“#“号开头的注释。

2.Dockerfile操作常用命令

（1）FORM 镜像
指定新镜像所基于的镜像，第一条指令必须为FROM指令，每创建一个镜像就需要一条FROM指令。

（2）MAINTAINER 维护人信息
说明新镜像的维护人信息。

（3）RUN 命令
在所基于的镜像上执行命令，并提交到新的镜像中，当命令较长时，可以使用\来换行。

（4）ENTRYPOINT
两种格式：
exec格式（数值格式）：ENTRYPOINT [“要运行的程序”,“参数1”,“参数2”]
shell格式：ENTRYPOINT 命令 选项 参数
设定容器启动时第一个运行的命令及其参数。
可以通过使用命令docker run --entrypoint 来覆盖镜像中的ENTRYPOINT指令的内容。

（5）CMD
两种格式：
exec格式（数值格式）：ENTRYPOINT [“要运行的程序”,“参数1”,“参数2”]
shell格式：ENTRYPOINT 命令 选项 参数
启动容器时默认执行的命令或者脚本，Dockerfile只能有–条CMD命令。如果指定多条命令，只执行最后一条命令。
如果在dockerrun时指定了命令或者镜像中有ENTRYPOINT，那么cmd就会被覆盖。
CMD可以为ENTRYPOINT 指令提供默认参数
命令在容器执行的优先级

docker run --entrypoint 命令 > ENTRYPOINT 命令 > docker run 命令 > CMD 命令

（6）EXPOSE 端口号
指定新镜像加载到Docker时要开启的端口。

（7）ENV 环境变量变量值
设置一个环境变量的值，会被后面的RUN使用。

（8）ADD 源文件/目录 目标文件/目录
将源文件复制到镜像中，源文件要与Dockerfile 位于相同目录中，或者是一个URL。

注意事项

如果源路径是个文件，且目标路径是以/结尾， 则docker会把目标路径当作一个目录，会把源文件拷贝到该目录下。如果目标路径不存在，则会自动创建目标路径。

如果源路径是个文件，且目标路径是不以/结尾，则docker会把目标路径当作一个文件。如果目标路径不存在，会以目标路径为名创建一个文件，内容同源文件;如果目标文件是个存在的文件，会用源文件覆盖它，当然只是内容覆盖，文件名还是目标文件名。如果目标文件实际是个存在的目录，则会源文件拷贝到该目录下。注意， 这种情况下，最好显示的以/结尾，以避免混淆。

如果源路径是个目录，且目标路径不存在，则docker会自动以目标路径创建一个目录，把源路径目录下的文件拷贝进来。如果目标路径是个已经存在的目录，则docker 会把源路径目录下的文件拷贝到该目录下。

如果源文件是个归档文件(tar、bzip2压缩文件)，则docker会自动帮解压。

URL下载和解压特性不能一 起使用。任何压缩文件通过URL拷贝，都不会自动解压。

（9）COPY
COPY 源文件/目录目标文件/目录
只复制本地主机上的文件/目录复制到目标地点，源文件/目录要与Dockerfile在相同的目录中

ADD和COPY的共同点
ADD和COPY都可以复制本地文件到镜像中。

ADD和COPY的区别
ADD可以将本地tar包解压后复制到镜像目录，也支持下载源文件。但不支持下载和解压同时使用。
COPY不支持解压，不支持下载。

（10）VOLUME [“目录”]
在容器中创建一个挂载点。

（11）USER 用户名/UID
指定运行容器时的用户。

（12）WORKDIR 路径
为后续的RUN、CMD、 ENTRYPOINT 指定工作目录。

（13）ONBUILD 命令
指定所生成的镜像作为一个基础镜像时所要运行的命令。
当在一个Dockerfile 文件中加上ONBUILD指令， 该指令对利用该Dockerfile构建镜像 (比如为A镜像) 不会产生实质性影响。

但是当编写一个新的Dockerfile文件来基于A镜像构建一个镜像 ( 比如为B镜像)时，这时构造A镜像的Dockerfile文件中的ONBUILD指令就生效了，在构建B镜像的过程中，首先会执行ONBUILD指令指定的指令，然后才会执行其它指令。

（14）AGR
设置编译镜像时加入的参数，使用ENV指令定义的环境变量始终会覆盖同名的ARG指令。

如：

 ARG  CONT_IMG_VERENV  CONT_IMG_VER=v1.0.0RUN  echo $CONT_IMG_VERdocker build --build-arg VER=v2.0.0

$CONT_IMG_VER原本是ARG传参的值v2.0.0，但被ENV指定的值覆盖变为v1.0.0

三、创建Docker镜像

Docker镜像的创建有三种方法

基于已有镜像创建
基于本地模板创建
基于Dockerfile创建（重点）

1.基于已有镜像创建

基于原有的镜像启动一个容器，在容器中执行操作

然后将修改后的容器提交为新的镜像，需要使用该容器的ID号创建新镜像

docker commit [选项] 容器名或id 镜像名:标签-m        #指定说明信息-a         #指定作者信息-p         #在提交时关闭正在运行的容器 

2.基于本地模板创建

先获取容器export导出的模板文件
http://openvz.org/Download/template/precreated 开源社区中有很多现成的模板文件


然后import将模板导入为镜像

3.基于Dockerfile创建

在编写Dockerfile时，有严格的格式需要遵循

第一行必须使用FROM指令指明所基于的镜像名称;
之后使用 MAINTAINER指令说明维护该镜像的用户信息;
然后是镜像操作相关指令，如 RUN指令。每运行一条指令，都会给基础镜像添加新的一层。
最后使用CMD指令指定启动容器时要运行的命令操作。
（1）基于yum安装apache服务的镜像
编写 Dockerfile（文件名固定！）

构建镜像

运行测试容器



（2）基于编译安装的nginx服务的镜像
编写Dockerfile

#1.指定基础镜像
FROM centos:7
#2.定义镜像和作者信息(非必要)
MAINTAINER this is nginx image <chips 2022-11-23>
#3.依赖操作
RUN yum -y install pcre-devel zlib-devel gcc gcc-c++ make;\useradd -M -s /sbin/nologin nginx
#4.编译安装
ADD nginx-1.22.0.tar.gz /opt/
WORKDIR /opt/nginx-1.22.0/
RUN ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module ;\make &&make install
ENV PATH /usr/local/nginx/sbin:$PATH
#5.暴露端口
EXPOSE 80
EXPOSE 443
#6.指定启动时执行的命令
ENTRYPOINT ["/usr/local/nginx/sbin/nginx","-g","daemon off;"]

构建镜像

运行测试容器

4.Dockerfile多阶段构建镜像

我们在构建docker镜像时，希望最后得到的镜像越小越好，但是在构建时，总是会用到各种各样复杂的环境，大部分都是临时环境，只是为了生成对应的目标程序。比如我们经常会在OpenCV环境下编译图像处理类程序，但其实目标程序只需要用的之前生成的子程序就行，不需要引入中间用到的环境。

这里我们就能用到Dockerfile多阶段构建，它可以把前面多个阶段生成的文件拷贝到下一个阶段使用，并且不引入之前用到的环境，这极大地解耦了我们的Dockerfile文件，而且最终可以得到一个极小的完整镜像。