一、镜像分发
1.镜像及镜像库的命名方式
指定镜像名称和标签的方法:
- 在狗偶见镜像时
- 通过docker tag命令
[root@bogon ~]# cd identidock/
[root@bogon identidock]# docker build -t "identidock:0.1" .
[root@bogon identidock]# docker tag "identidock:0.1" "hdlptz/identidock:0.1"
[root@bogon identidock]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
hdlptz/identidock 0.1 95f825228fdb 28 seconds ago 703MB
identidock 0.1 95f825228fdb 28 seconds ago 703MB
注意:
当没有指定标签时,Docker会用latest作为默认值,但除此之外,它不具备任何特殊含义。很多仓库会把它作为最新稳定版镜像的别名,但这只是一种惯例,并非规定。你仍需要执行docker pull命令来获取最新版。
当执行docker run或docker pull时,如果指定镜像名称不带标签,那么Docker会使用带latest标签的镜像,若不存在则报错。
标签名称规则:
- 必须由大小写字母、数字、以及.和-符号组成。
- 长度必须为1~128个字符
- 第一个字符不能是.或-符号
2.Docker Hub
[root@bogon identidock]# docker tag "identidock:latest" "hdlptz/identidock:0.1"
[root@bogon identidock]# docker push hdlptz/identidock:0.1
别名形式:
3.自动构建
每当推送任何代码修改,Docker Hub就会构建新镜像,并将其保存到仓库。
自动构建是通过Hub的网页界面配置的,而不是通过命令行。
- 点击右上角“Create”下拉菜单,选择“Create A托马特定Build”,找到你要的代码仓库
- 选择仓库后,跳转值配置页面,仓库名称默认为代码库(可以修改)
- 填写仓库说明
- 第一个Tag字段为Branch,名称为master(跟踪主分支)
- 最后点击“Create”跳转至新仓库构建页面,点击“Triger a Build”生成自动构建镜像
添加README.md
[root@bogon identidock]# cat README.md
identidock
==========
Simple identicon server based on monsterid from Kevin Gaudin.
From "Using Docker" bu Adrian Mouat published by O'Reilly Media.
推送到Github
[root@bogon identidock]# git add README.md
[root@bogon identidock]# git commit -m "Added README"
[root@bogon identidock]# git push
二、私有分发
1.运行自己的寄存服务
本地运行寄存服务(使用官方镜像)
[root@bogon identidock]# docker run -d -p 5000:5000 registry:2
给镜像加标签并推送
[root@bogon identidock]# docker run -d -p 5000:5000 registry:2
9c72374fc20e044c6e0b69c0c2ac368b055832f0a39f2bdaad77e8cbd3f81c63
[root@bogon identidock]# docker tag hdlptz/identidock:0.1 localhost:5000/identidock:0.1
[root@bogon identidock]# docker push localhost:5000/identidock:0.1
The push refers to a repository [localhost:5000/identidock]
334ab24b425b: Pushed
30e2362e5771: Pushed
72811d39473b: Pushed
f6cff21775f2: Pushed
b3aa260c2eff: Pushed
2fcec228e1b7: Pushed
97d2d3bae505: Pushed
95aadeabf504: Pushed
b456afdc9996: Pushed
d752a0310ee4: Pushed
db64edce4b5b: Pushed
d5d60fc34309: Pushed
c01c63c6823d: Pushed
0.1: digest: sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f size: 3046
测试删除后重新下载
[root@bogon identidock]# docker rmi localhost:5000/identidock:0.1
Untagged: localhost:5000/identidock:0.1
Untagged: localhost:5000/identidock@sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
[root@bogon identidock]# docker pull localhost:5000/identidock:0.1
0.1: Pulling from identidock
Digest: sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
Status: Downloaded newer image for localhost:5000/identidock:0.1
寄存器为镜像生成一个摘要值(digest),这是基于镜像和它的元数据产生的一个唯一的散列值。
可使用这个值来下载镜像
[root@bogon identidock]# docker pull localhost:5000/identidock@sha256:
> 6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f: Pulling from identidock
Digest: sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
Status: Image is up to date for localhost:5000/identidock@sha256:6a35c4adb54163143af3f213e224f127d7e1b7c576e66a9b688c15b565716f2f
使用摘要的优点是:保证下载的镜像确实是你想要的,并保证完整性。
2.远程使用寄存服务器存在的问题
(1)直接调用时会报错
[root@bogon identidock]# docker pull 192.168.1.100:5000/identidock:0.1
报错原因:
当Docker守护进程拒绝连接到远程主机时,因为它没有一个有效的传输层安全证书(Transport Layer Security,TLS)。
解决方法:
A.对将要访问寄存器的所有Docker守护进程加上--insecure-registry 192.168.1.100:5000参数,然后重启Docker守护进程;
B.在主机上安装一个来自可信的证书颁发机构签署的证书(如HTTPS访问那样);
C.在主机上安装一个自签名的证书(self-signed certificate),并同时给需要访问寄存服务器的每个Docker守护进程都安装一份。
(2)创建自签证书
在一台长期用作寄存服务器的电脑上进行
[root@bogon ~]# mkdir registry_certs
[root@bogon ~]# openssl req -newkey rsa:4096 -nodes -sha256
> -keyout registry_certs/domain.key -x509 -days 365
> -out registry_certs/domain.crt
Generating a 4096 bit RSA private key
..........................................................................................++
.......................++
writing new private key to 'registry_certs/domain.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:China
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Anzhi
Organizational Unit Name (eg, section) []:Autometa
Common Name (eg, your name or your server's hostname) []:bogon
Email Address []:hdlptz@163.com
[root@bogon ~]# ls registry_certs/
domain.crt domain.key
之后将证书复制到每一台客户端
[root@bogon ~]# mkdir -p /etc/docker/certs.d/bogon:5000
[root@bogon ~]# cp registry_certs/domain.crt /etc/docker/certs.d/bogon:5000/ca.crt
[root@bogon ~]# /bin/systemctl restart docker
启动寄存服务(以数据卷方式把证书放入)
[root@bogon ~]# docker run -d -p 5000:5000
> -v $(pwd)/registry_certs:/certs
> -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt
> -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key
> --restart=always --name registry registry:2
71d621a877b749a5f9b8dc798e78abf65faeebc2232dfa7e73dfc282d2608a0c
说明:
- 创建一个x509的自签证书和4096位的RSA私钥,此证书使用SHA256的摘要签署,有效期365天
- Common Name必须与用来访问的服务器名字相同,不可使用IP地址
- crt证书与各个客户端共用,key密钥必须严密保存
测试寄存服务:
[root@bogon ~]# docker pull debian:wheezy
wheezy: Pulling from library/debian
39e552a2b1f7: Pull complete
Digest: sha256:e2a7ec190cf20118aa2a958c92cb9467d89b112a430848d3ff08461b60a0957f
Status: Downloaded newer image for debian:wheezy
[root@bogon ~]# docker tag debian:wheezy bogon:5000/debian:local
[root@bogon ~]# docker push bogon:5000/debian:local
The push refers to a repository [bogon:5000/debian]
dd7b8d3c2585: Pushed
local: digest: sha256:2118c3e3e3b047084bf6716f63958594111078f257ee91fd52612b3c6bdbd71d size: 529
注意以下两点:
- 将证书复制到Docker引擎主机上的/etc/docker/certs.d/<registry_address>/ca.crt
- 确保Docker引擎能够解析寄存服务器地址
- 寄存服务的选项由镜像中的一个YAML文件配置,可通过数据卷将其替换,/go/src/github.com/docker/distribution/cmd/registry/config.yml,该文件仅适用于开发环境,若要用于生产,需进行大幅度优化
3.寄存服务的主要功能
(1)存储
寄存服务器的镜像默认使用文件系统驱动,所有数据和镜像将会保存在文件系统上。
例如:以下的config.yml将配置寄存服务使用文件系统驱动,并将数据保存在/var/lib/registry,而且要把它定义为一个数据卷。
storage:
filesystem:
rootdirectory: /var/lib/registry
另外,还可以用Ceph分布式对象存储,利用Redis作为内存缓存来加速镜像层的访问效率。
(2)身份验证
A.在寄存服务之前设置一个代理(nginx)负责验证用户。
https://docs.docker.com/registry/recipes/nginx
可使用docker login登录
B.使用基于JSON网络令牌(JSON Web Token)实现的令牌认证。
https://github.com/cesanta/docker_auth
(3)HTTP
配置寄存服务的HTTP接口
http:
addr: bogon:5000
secret: SAI4351-ALD346-3434-3DFG-23ADG341DF43
tls:
certificate: /certs/domain.crt
key: /certs/domain.key
secert:用来签署客户端存储的状态信息的一个随机字符串,为了防止信息被篡改。
三、缩减镜像大小
镜像是由多个层所组成的,每个镜像对应Dockerfile以及其上的所有Dockerfile的每一个命令。镜像的总大小是所有镜像层的总和。
对比两个镜像:
[root@bogon test]# cat Dockerfile
FROM debian:wheezy
RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB
RUN rm /bigfile
[root@bogon test]# docker build -t filetest .
Sending build context to Docker daemon 2.048kB
Step 1/3 : FROM debian:wheezy
---> f47fe1c60a2f
Step 2/3 : RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB
---> Running in d33340bf5012
1+0 records in
1+0 records out
50000000 bytes (50 MB) copied, 0.555286 s, 90.0 MB/s
---> 0f33a1416b1e
Removing intermediate container d33340bf5012
Step 3/3 : RUN rm /bigfile
---> Running in c00c9b9d05be
---> 7829ebda71e6
Removing intermediate container c00c9b9d05be
Successfully built 7829ebda71e6
Successfully tagged filetest:latest
[root@bogon test]# docker history filetest
IMAGE CREATED CREATED BY SIZE COMMENT
7829ebda71e6 13 seconds ago /bin/sh -c rm /bigfile 0B
0f33a1416b1e 15 seconds ago /bin/sh -c dd if=/dev/zero of=/bigfile cou... 50MB
f47fe1c60a2f Less than a second ago /bin/sh -c #(nop) CMD ["bash"] 0B
<missing> Less than a second ago /bin/sh -c #(nop) ADD file:4a0b4ab0f637224... 85.1MB
可以看到,镜像比基础镜像大了50MB,而rm删除的文件并没有对大小有所影响,这是因为rm在dd之上又添加了一个镜像层,这是又Dockerfile文件所决定,因此对父层并没有影响。
[root@bogon test]# cat Dockerfile
FROM debian:wheezy
RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB && rm /bigfile
[root@bogon test]# docker build -t filetest .
Sending build context to Docker daemon 2.048kB
Step 1/2 : FROM debian:wheezy
---> f47fe1c60a2f
Step 2/2 : RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB && rm /bigfile
---> Running in 8714793afce3
1+0 records in
1+0 records out
50000000 bytes (50 MB) copied, 0.247367 s, 202 MB/s
---> e9cab407d89b
Removing intermediate container 8714793afce3
Successfully built e9cab407d89b
Successfully tagged filetest:latest
[root@bogon test]# docker images filetest
REPOSITORY TAG IMAGE ID CREATED SIZE
filetest latest e9cab407d89b 11 seconds ago 85.1MB
[root@bogon test]# docker history filetest
IMAGE CREATED CREATED BY SIZE COMMENT
e9cab407d89b 21 seconds ago /bin/sh -c dd if=/dev/zero of=/bigfile cou... 0B
f47fe1c60a2f Less than a second ago /bin/sh -c #(nop) CMD ["bash"] 0B
<missing> Less than a second ago /bin/sh -c #(nop) ADD file:4a0b4ab0f637224... 85.1MB
我们修改了Dockerfile文件,使之在同一镜像层中创建文件后再删除,则文件不会被包含在镜像中。
其他示例:
RUN apt-get upfate
&& apt-get install -y curl numactl
&& rm -rf /var/lib/apt/lists/*
使用docker export及docker import会得到只含有一个层的镜像
[root@bogon test]# docker create identidock:latest
427acbf9d8be57bfa9e3d97320228e86d85d0e9128130c052407fc641c08692a
[root@bogon test]# docker export $(docker ps -lq) |docker import -
sha256:09ca0e0f1f6b5a610e0b1e12c9c189a8ee1e7b504f01aa2d2468bab7ea8e9c8b
[root@bogon test]# docker tag 09ca0e0 identidock:import
[root@bogon test]# docker images identidock
REPOSITORY TAG IMAGE ID CREATED SIZE
identidock import 09ca0e0f1f6b About a minute ago 686MB
identidock 0.1 95f825228fdb 2 hours ago 703MB
identidock latest 3966bef511e5 5 hours ago 699MB
[root@bogon test]# docker history identidock:import
IMAGE CREATED CREATED BY SIZE COMMENT
09ca0e0f1f6b 2 minutes ago 686MB Imported from -
缺点:
- 需要重新处理所有未反映在文件系统里的Dockerfile指令(EXPOSE、CMD)
- 与镜像关联的所有元数据将会丢失
- 再也不能与其他具有相同父层的镜像共享空间