深入分析Docker镜像原理 (转载)

最新推荐文章于 2024-03-15 11:10:12 发布
原创 最新推荐文章于 2024-03-15 11:10:12 发布 · 629 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

深入分析Docker镜像原理 (转载)

发表于2015-08-21 13:50| 24023次阅读| 来源优快云| 6 条评论| 作者孙宏亮

云计算DockerDaoCloud

摘要:820日晚上830分,优快云 Container微信群邀请到DaoCloud软件工程师孙宏亮,他带来了Docker镜像原理的深度分享,分享内容包含两个部分:1.Docker镜像的基本知识;2.DockerfileDocker镜像与Docker容器的关系。

分享简介:Dockerfile重塑新镜像,定义的不仅仅是镜像中的磁盘文件;Docker镜像是Dockerfile的产 物,自底之上打包软件及其环境,是软件的交付品;容器是镜像的运行态体现,一切信息来源于镜像。本次分享将深入分析DockerfileDocker 像和Docker容器三者之间的具体关系。

分享嘉宾:孙宏亮,硕士,浙江大学毕业,现为DaoCloud软件工程师。主要负责企业级容器云平台的研发工作,《Docker源码分析》作者。

以下为分享全部内容:

第一部分:Docker镜像的基本知识

1.1 什么是Docker镜像

从整体的角度来讲,一个完整的Docker镜像可以支撑一个Docker容器的运行,在 Docker容器运行过程中主要提供文件系统视角。例如一个ubuntu:14.04的镜像,提供了一个基本的ubuntu:14.04的发行版,当然此 镜像是不包含操作系统Linux内核的。

说到此,可能就需要注意一下,linux内核和ubuntu:14.04Docker镜像的区别了。传统虚拟机安装ubuntu:14.04会包含两部分,第一,某一个Linux内核的发行版本,比如Linux 3.8版本的内核;第二,第一个特定的Ubuntu发行版,这部分内容不包含Linux内核,但是包含Linux之外的软件管理方式,软件驱动,如 apt-get软件管理包等。

理解以上内容之后,就可以理解,为什么在一个Linux内核版本为3.8ubuntu:14.04基础上,可以把Linux内核版本升级到3.18,而ubuntu的版本依然是14.04。最主要的就是:Linux内核版本与ubuntu操作系统发行版之间的区别。

Linux内核+ubuntu操作系统发行版,组成一台工作的机器让用户体验。那么灵活替换ubuntu操作系统发行版,那是不是也可以实现呢。那么Docker很方便的利用了这一点,技术手段就是Docker镜像。

Docker的架构中,Docker镜像就是类似于"ubuntu操作系统发行版",可 以在任何满足要求的Linux内核之上运行。简单一点有"Debian操作系统发行版"Docker镜像、"Ubuntu操作系统发行版"Docker 像;如果在Debian镜像中安装MySQL 5.6,那我们可以将其命名为Mysql:5.6镜像;如果在Debian镜像中安装有Golang 1.3,那我们可以将其命名为golang:1.3镜像;以此类推,大家可以根据自己安装的软件,得到任何自己想要的镜像。

那么镜像最后的作用是什么呢?很好理解,回到Linux内核上来运行,通过镜像来运行时我们常常将提供的环境称为容器。

以上内容是从宏观的角度看看Docker镜像是什么,我们再从微观的角度进一步深入 Docker镜像。刚才提到了"Debian镜像中安装MySQL 5.6,就成了mysql:5.6镜像",其实在此时Docker镜像的层级概念就体现出来了。底层一个Debian操作系统镜像,上面叠加一个 mysql层,就完成了一个mysql镜像的构建。层级概念就不难理解,此时我们一般debian操作系统镜像称为mysql镜像层的父镜像。

层级管理的方式大大便捷了Docker镜像的分发与存储。说到分发,大家自然会联想到 Docker镜像的灵活性,传输的便捷性,以及高超的移植性。Docker Hub,作为全球的镜像仓库,作为Docker生态中的数据仓库,将全世界的Docker数据汇聚在一起,是Docker生态的命脉。

Docker有两方面的技术非常重要,第一是Linux 容器方面的技术,第二是Docker镜像的技术。从技术本身来讲,两者的可复制性很强,不存在绝对的技术难点,然而Docker Hub由于存在大量的数据的原因,导致Docker Hub的可复制性几乎不存在,这需要一个生态的营造。

1.2 Docker镜像的内容

大致介绍了Docker镜像是什么,我们来看看Docker镜像中有哪些内容?

介绍之前,我先分享一下,我个人在接触Docker的两年时间中,对Docker镜像内容认识的变化。

第一阶段:初步接触Docker。相信很多爱好者都会和我一样,有这样一个认识:Docker 镜像代表一个容器的文件系统内容;

第二阶段:初步接触联合文件系统。联合文件系统的概念,让我意识到镜像层级管理的技术,每一层镜像都是容器文件系统内容的一部分。

第三阶段:研究镜像与容器的关系:容器是一个动态的环境,每一层镜像中的文件属于静态内 容,然而 Dockerfile 中的 ENVVOLUMECMD 等内容最终都需要落实到容器的运行环境中,而这些内容均不可能直接坐落到每一层镜像所包含的文件系统内容中,那此时每一个Docker镜像还会包含 json文件记录与容器之间的关系。

因此,Docker镜像的内容主要包含两个部分:第一,镜像层文件内容;第二,镜像json文件。

1.3 Docker镜像存储位置

既然是说镜像存储的位置,那么应该包含:镜像层文件和镜像json文件。如一个ubuntu:14.04镜像,包含4个镜像层,在aufs存储驱动的情况下,在磁盘上的情况可以如以下图所示:

1.3.1 查看镜像层组成:

我们可以通过命令 docker history ubuntu:14.04 查看 ubuntu:14.04,结果如下:

1.3.2 镜像层文件内容存储

Docker 镜像层的内容一般在 Docker 根目录的 aufs 路径下,为 /var/lib/docker/aufs/diff/,具体情况如下: 

图中显示了镜像 ubuntu:14.04 4 个镜像层内容,以及每个镜像层内的一级目录情况。需要额外注意的是:镜像层 d2a0ecffe6fa 中没有任何内容,也就是所谓的空镜像。

1.3.3 镜像 json 文件存储

对于每一个镜像层,Docker 都会保存一份相应的 json 文件,json 文件的存储路径为 /var/lib/docker/graphubuntu:14.04 所有镜像层的 json 文件存储路径展示如下:

除了 json 文件,大家还看到每一个镜像层还包含一个 layersize 文件,该文件主要记录镜像层内部文件内容的总大小。既然谈到了镜像 json 文件,为了给下文铺垫,以下贴出 ubuntu:14.04 中空镜像层 d2a0ecffe6fa json 文件:

Docker镜像存储,就和大家一起先看到这。同时介绍Docker镜像的基本知识也告一段落。以下我们进入此次分享的第二部分。

第二部分 DockerfileDocker镜像和Docker容器的关系

Dockerfile 是软件的原材料,Docker 镜像是软件的交付品,而 Docker 容器则可以认为是软件的运行态。从应用软件的角度来看,DockerfileDocker 镜像与 Docker 容器分别代表软件的三个不同阶段,Dockerfile 面向开发,Docker 镜像成为交付标准,Docker 容器则涉及部署与运维,三者缺一不可,合力充当 Docker 体系的基石。

简单来讲,Dockerfile构建出Docker镜像,通过Docker镜像运行Docker容器。

我们可以从Docker容器的角度,来反推三者的关系。首先可以来看下图:

我们假设这个容器的镜像通过以下Dockerfile构建而得:

FROM ubuntu:14.04

 

ADD run.sh /

 

VOLUME /data

 

CMD ["./run.sh"]

2.1 DockerfileDocker镜像

首先,我们结合上图来看看DockerfileDocker镜像之间的关系。

FROM ubuntu:14.04:设置基础镜像,此时会使用基础镜像 ubuntu:14.04 的所有镜像层,为简单起见,图中将其作为一个整体展示。

ADD run.sh /:将 Dockerfile 所在目录的文件 run.sh 加至镜像的根目录,此时新一层的镜像只有一项内容,即根目录下的 run.sh

VOLUME /data:设定镜像的 VOLUME,此 VOLUME 在容器内部的路径为 /data。需要注意的是,此时并未在新一层的镜像中添加任何文件,即构建出的磁层镜像中文件为空,但更新了镜像的 json 文件,以便通过此镜像启动容器时获取这方面的信息。

CMD ["./run.sh"]:设置镜像的默认执行入口,此命令同样不会在新建镜像中添加任何文件,仅仅在上一层镜像 json 文件的基础上更新新建镜像的 json 文件。

因此,通过以上分析,以上的Dockerfile可以构建出一个新的镜像,包含4个镜像层,每一条命令会和一个镜像层对应,镜像之间会存在父子关系。图中很清楚的表明了这些关系。

2.2 Docker镜像与Docker容器的关系

Docker镜像是Docker容器运行的基础,没有Docker镜像,就不可能有Docker容器,这也是Docker的设计原则之一。

可以理解的是:Docker镜像毕竟是镜像,属于静态的内容;而Docker容器就不一样了,容器属于动态的内容。动态的内容,大家很容易联想到进程,内存,CPU等之类的东西。的确,Docker容器作为动态的内容,都会包含这些。

为了便于理解,大家可以把Docker容器,理解为一个或多个运行进程,而这些运行进程将占有相应的内存,相应的CPU计算资源,相应的虚拟网络设备以及相应的文件系统资源。而Docker容器所占用的文件系统资源,则通过Docker镜像的镜像层文件来提供。

那么作为静态的镜像,如何才有能力转化为一个动态的Docker容器呢?此时,我们可以想象:第一,转化的依据是什么;第二,由谁来执行这个转化操作。

其实,转化的依据是每个镜像的json文件,Docker可以通过解析Docker镜像的json的文件,获知应该在这个镜像之上运行什么样的进程,应该为进程配置怎么样的环境变量,此时也就实现了静态向动态的转变。

谁来执行这个转化工作?答案是Docker守护进程。也许大家早就理解这样一句 话:Docker容器实质上就是一个或者多个进程,而容器的父进程就是Docker守护进程。这样的,转化工作的执行就不难理解了:Docker守护进程 手握Docker镜像的json文件,为容器配置相应的环境,并真正运行Docker镜像所指定的进程,完成Docker容器的真正创建。

Docker容器运行起来之后,Docker镜像json文件就失去作用了。此时Docker镜像的绝大部分作用就是:为Docker容器提供一个文件系统的视角,供容器内部的进程访问文件资源。

再次回到上图,我们再来看看容器和镜像之间的一些特殊关系。首先,之前已经提及Docker镜像是分层管理的,管理Docker容器的时候,Docker镜像仍然是分层管理的。由于此时动态的容器中已经存在进程,进程就会对文件系统视角内的文件进行读写操作,因此,就会涉及一个问题:容器是否会篡改Docker镜像的内容?

答案自然是不会的。统一来讲,正如上图,所有的Docker镜像层对于容器来说,都是只读的,容器对于文件的写操作绝对不会作用在镜像中。

既然如此,实现的原理就很重要,究其根本:Docker守护进程会在Docker镜像的 最上层之上,再添加一个可读写层,容器所有的写操作都会作用到这一层中。而如果Docker容器需要写底层Docker镜像中的文件,那么此时就会涉及一 个叫CopyonWrite的机制,即aufs等联合文件系统保证:首先将此文件从Docker镜像层中拷贝至最上层的可读写层,然后容器进程再对读 写层中的副本进行写操纵。对于容器进程来讲,它只能看到最上层的文件。

那最后我们再来说说:Docker容器的文件系统视角中,到底是不是存在一些内容,不是存储于Docker镜像中的?

这次的答案依旧是肯定的。

再次重申一点,Docker镜像中存储的都是一些静态文件。这些文件原则上应该和容器具体信息以及主机信息完全解藕。那么Docker容器中不存在Docker镜像中的内容主要有以下几点:

1./proc以及/sys等虚拟文件系统的内容

2.容器的hosts文件,hostname文件以及resolv.conf文件,这些事具体环境的信息,原则上的确不应该被打入镜像。

3.容器的Volume路径,这部分的视角来源于从宿主机上挂载到容器内部的路径

4.部分的设备文件

QA选集:

问:为什么一个ubuntu:14.04镜像的镜像层的数量是4个,前三层的内容似乎有相同的,如etc

孙宏亮:这一点,细心的大家肯定发现了。首先,虽然三层 都有,但是会存在两种情况,etc的子目录下有相同路径的文件,那么上层的会覆盖下层的文件;如果内部的文件路径不相同,那么都会存在,都会呈现给最上 层。[可别较真,说目录也是文件哈,意会]

问:关于docker安全性问题,对于安全是怎样处理的,如果我从hub下载镜像,能判别是否安全么2.层级之间的依赖会导致一个崩了整个docker 都崩了么?

孙宏亮:从流程上来讲,如果一切可控的话,我认为是安全的。但是依然会存在一些隐患,比如Dockerfile中基于的base images是否完全受信;镜像的传输过程是否受信;自己的private docker resgitry的安全级别达到什么样的层次,这些都有影响。

问:如何保证仅有的一个deamon的稳定性健壮性?

孙宏亮:这个问题首先需要知道docker daemon的稳定性在哪些方面,那种场景下比较差?的确,docker daemon存在弊病。比如,daemon和容器的耦合等,目前general来讲,docker daemon保证绝对的稳定应该还做不到。

问:生产环境中怎么用docker备份mysql数据?

孙宏亮:数据存储上docker,我目前的建议是:三思。举个简单的例子,官方的mysql镜像运行出来的 容器,密码是明文的,明文的密码存在于:docker inspect container_name, container.json文件中,容器的环境变量中,甚至在日志文件中都会存在,just think about it。当然也有办法解决,缓解这种情况。

问:如果是多层构建,中间的一个层做了升级或者bugfix,会潜在影响上层吧?

孙宏亮:这个bugfix会在上层有体现,但是使用效果是不会有影响的,还有之前的bug会永远留在下层,但是没有影响。(责编/魏伟)

Docker指南③〗Docker镜像的深度解析
我想做一个艺术家
04-26 4026
当我们在我启动一个容器的时候,docker会加载这些只读层并在这些只读层的上面(栈顶)增加一个读写层。这时如果修改正在运行的容器中已有的文件,那么这个文件将会从只读层复制到读写层。该文件的只读版本还在,只是被上面读写层的该文件的副本隐藏。当删除docker,或者重新启动时,之前的更改将会消失。......
Docker 入门:如何使用 Docker 容器化 AI 项目(一)
海棠AI实验室
12-20 1806
Docker 是一个开源平台,用于开发、传输和运行应用程序。Docker 使得开发者能够将应用程序及其依赖打包成一个标准化的容器,并且容器能够在任何支持 Docker 的环境中运行。这种容器化的方式能够避免环境差异带来的问题,是开发、测试和生产环境的一种理想解决方案。与传统的虚拟化技术不同,Docker 不需要为每个应用程序创建一个完整的虚拟机,而是通过共享操作系统内核,轻量化地创建多个相互隔离的容器。每个容器中包含运行应用所需的所有依赖,保证了应用在不同环境中的一致性。Docker 的优势:轻量级。
Docker镜像分层的原理详解
09-29
主要介绍了Docker镜像分层的原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
docker镜像详解
weixin_67596609的博客
01-29 2670
我们一直说docker镜像,那么docker镜像到底是什么呢?Docker image 本质上是一个 read-only 只读文件, 这个文件包含了文件系统、源码、库文件、依赖、工具等一些运行 application 所必须的文件。我们可以把 Docker image 理解成一个模板, 可以通过这个模板实例化出来很多容器。image 里面是一层层文件系统 Union FS。联合文件系统,可以将几层目录挂载到一起,形成一个虚拟文件系统。
深入分析 Docker 镜像原理
wackycrazy的专栏
08-25 1305
第一部分:Docker镜像的基本知识 1.1 什么是Docker镜像 从整体的角度来讲,一个完整的Docker镜像可以支撑一个Docker容器的运行,在 Docker容器运行过程中主要提供文件系统视角。例如一个ubuntu:14.04的镜像,提供了一个基本的ubuntu:14.04的发行版,当然此 镜像是不包含操作系统Linux内核的。 说到此,可能就需要注意一下,linux内核和ubu
深入分析Docker镜像原理
llxx1234的博客
02-26 357
https://www.youkuaiyun.com/article/2015-08-21/2825511
【云原生进阶之容器】第五章容器运行时5.3.2--runC原理解读
junbaozi的专栏
04-02 581
runC可以启动并管理符合OCI标准的容器。简单地说,runC需要利用OCI bundle创建一个独立的运行环境,并执行指定的程序。在Linux平台上,这个环境就是指各种类型的Namespace以及Capability等等配置。runC由Go语言实现,当前(2018.12)最新版本是v1.0.0-rc6,代码的结构可分为两大块,一是根目录下的go文件,对应各个runC命令,二是负责创建/启动/管理容器的libcontainer,可以说runC的本质都在libcontainer。
Dockerfile 构建缓存机制深度解析:BuildKit 与传统构建对比实战 关键词 Dockerfile 构建缓存、BuildKit、传统构建器、缓存命中、LLB 构建图、层复用、构建优化、企业级CI系统、构建稳定性、性能调优 摘要 在企业级容器构建场景中,Dockerfile 缓存机制的理解深度直接影响构建性能、持续集成效率与调试稳定性。许多开发者在多阶段构建、频繁迭代与并发流水线中,频繁遭遇“缓存未命中”、“构建时间剧增”或“产物无法复用”等问题,却难以精准定位底层原因。本文聚焦 Dockerfile 构建缓存机制,从传统构建引擎到 BuildKit 的演进路径,系统解析缓存的层级模型、命中规则、哈希生成逻辑与复用判定条件,深入剖析实际工程中缓存失效的典型成因,并结合真实案例演示如何通过 BuildKit 实现更细粒度、更稳定、更高效的构建复用路径,输出一整套可验证、可调优、可迁移的构建优化实战方法论。 目录 第一章:Dockerfile 缓存机制概述与误解澄清 Docker 构建缓存的基础概念 什么是缓存命中?什么不是? 常见缓存误区:RUN 指令变化为何导致全链条失效 构建缓存与镜像层的差异边界 第二章:传统 Docker 构建引擎的缓存命中逻辑拆解 缓存命中规则:按行匹配 + 哈希比较 每一层的内容变更如何影响缓存行为 指令顺序与缓存不可控性的内在关联 使用场景下的传统构建问题实录 第三章:BuildKit 构建引擎的底层机制详解 BuildKit 架构概览:LLB DAG 构建图 内容寻址与缓存复用:从层到内容块的粒度转变 --mount=type=cache、构建参数分离等增强功能 并行执行与跳过无关步骤的智能机制 第四章:缓存失效典型场景分析与真实复现 COPY 顺序变动、时区变化、GIT 元数据污染等问题 环境变量污染导致缓存失效的根本原因 RUN 指令链式编写中的非预期失效案例 企业流水线中间件影响构建缓存的真实案例解析 第五章:构建缓存的调试技巧与可视化工具实践 使用 --progress=plain 查看缓存命中路径 docker history 与 docker build --no-cache 的辅助诊断 结合 dive 工具可视化构建层变化 BuildKit 日志分析:理解跳过与命中行为 第六章:构建性能与缓存策略设计的工程路径 如何组织 Dockerfile 结构以最大化缓存复用 指令拆分策略与多阶段拆层设计 编译类项目(如 Node、Go、Python)缓存粒度控制 配合 CI/CD 流水线缓存共享的优化策略 第七章:BuildKit 构建缓存高级应用实战 使用 --mount=type=cache,target=/root/.npm 缓存依赖 构建缓存目录映射与清理策略 基于内容地址的镜像复用设计 构建缓存导出与导入机制(--cache-to / --cache-from) 第八章:从传统构建到 BuildKit 架构迁移的实战路线 企业项目中如何无痛切换至 BuildKit 构建体系 BuildKit 与 CI 工具(如 GitHub Actions、GitLab CI、Jenkins)的整合实践 构建缓存稳定性对比分析与效果评估 未来构建架构演进趋势预判与优化建议 第一章:Dockerfile 缓存机制概述与误解澄清 Docker 构建缓存的基础概念 Docker 构建缓存是指,在构建镜像时,对于已执行过的构建步骤(Dockerfile 指令),若内容与历史一致,可重用历史构建产物,避免重复执行相同步骤,从而加快构建速度、减少资源浪费。每条 Dockerfile 指令在构建过程中都会生成一个中间层(layer),这些中间层会被缓存下来供后续使用。 缓存的核心目的是复用已有构建产物,本质是对每条指令及其上下文状态(文件、参数、环境等)进行哈希比对,以判断是否可以跳过执行过程直接应用结果。Docker 使用缓存加速的是构建过程,不是最终镜像体积的优化机制。理解这一点对于调试缓存相关问题至关重要。 什么是缓存命中?什么不是? “缓存命中”意味着 Docker 构建引擎在执行某条指令时,判断该指令及其上下文与历史记录中的某一项完全一致,因此跳过实际执行,直接复用该步骤的构建结果。 缓存命中具备两个必要条件: 指令文本内容完全一致(如 RUN apt update && apt install -y curl) 上下文输入未发生变化,如: 被 COPY 的文件没有修改过; 依赖的环境变量值未改变; 构建上下文目录中无新增、删除、修改文件; 基础镜像未变更; 构建参数保持一致。 反之,只要以上任一条件未满足,即发生缓存失效(miss),Docker 将执行该指令,并使其后续所有指令的缓存全部失效,重新执行。 常见误判: 仅因 Dockerfile 指令未改动就认为一定命中缓存; 未意识到 .dockerignore 配置变化也会导致 COPY 缓存失效; 将依赖频繁变更的文件放在靠前指令位置,导致整个构建链路频繁失效。 常见缓存误区:RUN 指令变化为何导致全链条失效 在传统构建模式中,Docker 会按顺序执行 Dockerfile 中每一条指令,并在执行完成后将其生成的层作为缓存项记录下来。指令一旦发生任何变更,Docker 会中止该步骤后的所有缓存复用。 例如: FROM node:18 COPY . /app RUN npm install RUN npm run build dockerfile 1 2 3 4 若 RUN npm install 改成 RUN npm install --legacy-peer-deps,则该行变更导致其后的 RUN npm run build 缓存失效,必须重新执行。而且 npm install 的执行内容通常包含网络请求与依赖解析,时间成本高,失效代价大。 更隐蔽的是,当 COPY 的目录中某个文件(如 package-lock.json)变动,哪怕 RUN npm install 指令不变,缓存也无法命中,因为输入文件发生了变化。 构建缓存与镜像层的差异边界 缓存与镜像层虽然一一对应,但二者用途与管理逻辑完全不同。 缓存层的本质是构建时用于加速复用的中间产物,生命周期依赖构建链路,可能被覆盖或失效;而镜像层是构建完成后的最终产物,用于生成镜像快照并被容器运行时加载,属于运行态依赖。 关键区别如下: 项目 缓存层(Build Cache) 镜像层(Image Layer) 作用 构建时复用构建步骤 构建完成后生成容器镜像 管理方式 与构建上下文紧耦合,临时可变 由 docker image 管理,可长期保存 生命周期 可因指令或上下文变化而失效 不随 Dockerfile 修改自动失效 可见性 默认不可见(除非使用 dive 或历史构建记录) 可通过 docker image ls 和 docker history 查看 命中机制 哈希比对输入、上下文与指令 静态快照结果 开发者常常将构建失败归咎于“缓存未生效”,而真实情况往往是由于混淆了这两者之间的职责边界,误判了导致重构的根因。 第二章:传统 Docker 构建引擎的缓存命中逻辑拆解 缓存命中规则:按行匹配 + 哈希比较 Docker 传统构建器采用“按顺序处理 + 层缓存”机制,对于每一条指令,都会生成一段 SHA256 哈希(包括指令本身、输入文件的哈希、构建参数等)。若当前指令的哈希与已有缓存中某条记录一致,即可命中缓存。 关键点是:Docker 不会智能判断哪些部分不变,它仅根据文本内容与上下文输入的一致性做全量比对。 例如,以下两条指令逻辑一致,但文本不同,缓存不命中: RUN apt-get install curl RUN apt-get install curl -y dockerfile 1 2 即使执行结果一样,只要写法不同,Docker 就会视为新的构建路径,生成新的缓存层。 每一层的内容变更如何影响缓存行为 每一层的缓存判定严格依赖前一层的输出。当某层发生变动,其后所有层都将失效。这种设计是为保证构建的一致性与可复现性,但也带来缓存失效“传染性”的问题。 如下 Dockerfile: FROM python:3.11 COPY requirements.txt . RUN pip install -r requirements.txt COPY . . RUN python setup.py install dockerfile 1 2 3 4 5 当 requirements.txt 更新时,RUN pip install 无法命中缓存,进而影响到后续的 COPY . . 和 RUN python setup.py install。即便代码无变动,也需重新打包,构建时间显著增加。 为了降低这种影响,最佳实践是将稳定文件(如依赖文件)置于前面,确保代码层与依赖层解耦。 指令顺序与缓存不可控性的内在关联 Dockerfile 的指令顺序直接决定了构建缓存的命中路径。只要前面的指令变动,后面的所有缓存均失效。这种顺序敏感性要求开发者以“缓存命中优先”为指导思想设计 Dockerfile 结构。 常见失误: 将 COPY . 放在很早的阶段,导致任何代码变动都让所有构建缓存失效; 合并多个逻辑步骤在同一 RUN 指令中,调试困难且影响后续缓存; 将 GIT 仓库整个 copy 进构建上下文,.git 目录变动频繁干扰缓存。 更好的做法是: COPY requirements.txt . RUN pip install -r requirements.txt COPY . . RUN python setup.py install dockerfile 1 2 3 4 5 这样可将依赖安装与代码打包分离,最大限度复用已有依赖缓存。 使用场景下的传统构建问题实录 以下为真实 CI 环境中出现过的缓存失效场景案例: 某大型微服务构建链路每日构建时间波动超过 4 倍。排查后发现 .dockerignore 配置不完整,.git 目录频繁变动引发 COPY 缓存层失效。 Java 项目构建中 COPY . . 尽管无代码更改却触发完整构建。最终定位是一个临时日志文件未忽略,触发指令上下文变更。 开发者修改一行 RUN 指令格式,将 && 换成 \ 换行符,导致全链路重新构建。虽然逻辑不变,但哈希已然不同,缓存失效。 这些案例均指向一个共性:在传统 Docker 构建器中,缓存机制对指令文本与上下文高度敏感,极易被微小变更破坏。因此,理解缓存逻辑并设计良好的 Dockerfile 构建路径是构建效率与稳定性的关键。 第三章:BuildKit 构建引擎的底层机制详解 BuildKit 架构概览:LLB DAG 构建图 BuildKit 是 Docker 近年推出的新一代构建后端,其核心特点在于使用 LLB(Low Level Build)格式表示构建计划,通过构建指令转化为有向无环图(DAG),从而实现并行构建、跳过无关步骤、精细化缓存复用等能力。 LLB DAG 与传统线性执行逻辑相比具备更强的表达能力。每一个构建节点不仅表示某个指令(如 COPY、RUN),还包含其依赖关系、输入文件状态与上下文配置,构建器据此调度指令,执行前先判断输入变化,只有真正变更的节点才重新执行。 LLB 构建图的生成由 docker build 时自动完成(需启用 BuildKit)。构建图的静态结构决定了后续缓存复用策略,这也是 BuildKit 能比传统模式更智能跳过非必要步骤的基础。 内容寻址与缓存复用:从层到内容块的粒度转变 BuildKit 的缓存机制不再基于“镜像层”的抽象,而是引入了内容寻址存储(Content Addressed Storage),每个构建输入的实际内容都会被独立哈希后存储为可复用的内容块(chunk),执行过程以内容哈希而非层编号为单位判断缓存。 这意味着: 相同文件哪怕出现在不同路径,只要内容未变都能复用; 不再依赖 Dockerfile 指令顺序进行粗粒度层命中判断; 构建结果可按输入粒度重构,提升复用效率。 BuildKit 使用 llbsolver 组件实现内容指纹比对机制。对于如依赖下载、文件编译等可确定性步骤,即使 Dockerfile 改动较大,也可通过重用中间指令结果大幅缩短构建时间。 --mount=type=cache、构建参数分离等增强功能 BuildKit 支持原生挂载类型的扩展能力,最常见的是 --mount=type=cache,用于将某些路径挂载为构建缓存目录,避免每次执行都重新下载或编译。例如: RUN --mount=type=cache,target=/root/.cache/pip \ pip install -r requirements.txt dockerfile 1 2 该挂载路径会在多次构建中自动保留上次的内容,极大提升如 Python、Node、Go 等依赖密集型项目的构建速度。 此外,BuildKit 也支持构建参数与构建输出分离控制,如: --build-arg 参数可与 RUN 隔离,避免无关参数污染缓存; 使用 --output 将构建结果导出至宿主路径或 OCI 镜像; 支持缓存导入导出(--cache-from / --cache-to)配合 CI 构建缓存中心。 这些机制共同构成了更灵活、颗粒度更小、构建时间更可控的缓存策略体系。 并行执行与跳过无关步骤的智能机制 基于 DAG 的结构,BuildKit 可自动推导哪些指令可并行执行。例如: RUN go mod download RUN npm install dockerfile 1 2 若前者用于服务 A,后者用于服务 B,BuildKit 将自动调度并发执行,从而大幅压缩构建时间。而在传统 Docker 引擎中,这种串行执行导致构建效率低下。 此外,当某条指令的依赖(上下文、输入、参数)未变时,BuildKit 将智能跳过构建步骤,避免重建。例如下列场景: COPY scripts/ /opt/scripts/ RUN chmod +x /opt/scripts/start.sh dockerfile 1 2 若 scripts/ 目录未变,则无论 Dockerfile 其余部分如何修改,BuildKit 均可跳过该步骤。 这种智能调度机制让 BuildKit 在大规模构建任务中具备压倒性性能优势,也为构建流程的可观测性与性能分析提供坚实基础。 第四章:缓存失效典型场景分析与真实复现 COPY 顺序变动、时区变化、GIT 元数据污染等问题 COPY 指令是缓存失效的高频触发点。其失效触发因素包括但不限于: 源文件内容发生变动; COPY 源路径顺序调整; .dockerignore 配置改动; .git 目录中提交哈希变动; 文件权限、修改时间戳发生变化(如不同操作系统时区差异)。 案例复现: COPY . . dockerfile 1 若构建上下文中包含 .git/ 目录,每次提交都会引发该指令缓存失效,即使项目业务代码无变化。解决办法是明确 .dockerignore 文件中排除 .git: .git 1 另一个常见问题是文件系统时区差异引发的元数据变化。开发者在不同操作系统下进行文件同步操作,可能导致构建上下文中文件的 mtime 改变,间接触发 COPY 缓存失效。 环境变量污染导致缓存失效的根本原因 RUN 指令依赖环境变量时,只要变量内容发生变化,即会生成新的哈希值,导致该指令缓存失效。 例如: ARG BUILD_ENV ENV BUILD_ENV=${BUILD_ENV} RUN echo $BUILD_ENV dockerfile 1 2 3 若构建时多次传入不同参数: docker build --build-arg BUILD_ENV=staging . docker build --build-arg BUILD_ENV=production . bash 1 2 则上述 RUN 步骤会生成两个不同的缓存路径。若 BUILD_ENV 只影响启动行为,而不影响构建过程,建议不要参与 RUN 或 COPY 的上下文内容。可通过构建阶段拆分方式解耦: ARG BUILD_ENV ENV RUNTIME_ENV=${BUILD_ENV} FROM base as builder # 构建内容不受 BUILD_ENV 影响 FROM base COPY --from=builder /app /app ENV RUNTIME_ENV=${BUILD_ENV} dockerfile 1 2 3 4 5 6 7 8 9 这样构建产物可复用,而仅在最终镜像中注入运行参数。 RUN 指令链式编写中的非预期失效案例 链式 RUN 指令可提高构建效率,但也会放大缓存失效影响。例如: RUN apt update && apt install -y curl && apt install -y git dockerfile 1 若 apt install -y git 有变动(如版本锁定变更),将导致整条指令重新执行,甚至因 apt update 可变行为引发不一致构建结果。 优化方式是将 RUN 拆分为多个指令,并结合 BuildKit 的缓存能力保留稳定步骤: RUN apt update RUN apt install -y curl RUN apt install -y git dockerfile 1 2 3 或在 CI 中固定依赖版本,并缓存 APT 目录内容。 企业流水线中间件影响构建缓存的真实案例解析 在某大型微服务平台中,构建缓存失效被归因于 GitLab Runner 自动注入的环境变量。每次构建,CI 工具都会附加构建时间戳、commit id 等变量至构建上下文,间接影响 RUN、ENV、LABEL 指令的缓存命中。 具体表现: Dockerfile 中写有 LABEL build_time=$BUILD_TIME; $BUILD_TIME 在每次 CI 构建中由外部工具动态注入; 每次构建都生成不同 LABEL,导致所有后续指令缓存全部失效。 解决方案是: 移除非必要 LABEL; 将动态构建信息放入最终容器外部 metadata; 或在构建后单独注入镜像元信息,避免污染主构建路径。 此类流水线变量污染是构建缓存体系中被长期忽视但影响极大的问题,需在工程配置中进行隔离设计。 第五章:构建缓存的调试技巧与可视化工具实践 使用 --progress=plain 查看缓存命中路径 启用 BuildKit 构建时,Docker 默认使用简洁的进度条模式输出构建过程,难以直接判断某条指令是否命中缓存。通过添加参数 --progress=plain 可启用详细日志输出,显示每一步指令的缓存行为: DOCKER_BUILDKIT=1 docker build --progress=plain . bash 1 输出示例: #5 [internal] load build definition from Dockerfile #5 sha256:... #5 DONE 0.1s #6 [2/5] RUN npm install #6 CACHED 1 2 3 4 5 关键字段为 CACHED,表示该步骤已成功从缓存中复用,而不是重新执行。若某步骤显示 DONE 并伴随执行时间,说明其缓存未命中并已重新执行。通过该日志可以快速定位缓存未命中的具体步骤。 docker history 与 docker build --no-cache 的辅助诊断 docker history 命令可列出镜像各层的构建信息,包括创建指令、体积、创建时间: docker history my-image:latest bash 1 输出示例: IMAGE CREATED CREATED BY SIZE <id> 2 minutes ago /bin/sh -c npm install 180MB <id> 2 minutes ago /bin/sh -c COPY . . 40MB 1 2 3 该命令可用于分析镜像是否因缓存失效而重新创建了多个相似层(例如重复的 RUN 层),也可用于比对有无重复内容残留。 另外,当怀疑缓存污染或非预期命中时,可强制跳过缓存: docker build --no-cache . bash 1 用于验证不同构建路径结果是否一致,是定位构建不一致性问题的关键手段。 结合 dive 工具可视化构建层变化 dive 是一款专用于 Docker 镜像分析的工具,支持镜像结构层级可视化、每层文件变化查看、冗余检测、效率评估等。 安装 dive 后: dive my-image:latest bash 1 功能包括: 查看每一层变更的文件、目录结构; 判断某些指令是否引入了未预期的文件; 识别临时文件未清理、依赖残留等镜像膨胀问题; 检查 COPY 或 RUN 层带来的缓存重复。 尤其在调试构建产物未清理、缓存未复用引发的体积暴涨问题时,dive 是最直观、最可靠的分析利器。 BuildKit 日志分析:理解跳过与命中行为 对于更复杂的调试场景,可开启 BuildKit 的详细调试日志。以 CLI 启动构建时,可设置以下环境变量: DOCKER_BUILDKIT=1 BUILDKIT_PROGRESS=plain docker build . bash 1 在容器化构建系统中使用 BuildKit 守护进程(如 buildkitd)时,可直接在启动参数中启用 debug 模式,并查看日志: buildkitd --debug bash 1 调试日志中会记录每个节点的哈希对比、输入路径、缓存状态、跳过原因,典型输出如下: solver: caching disabled for op: RUN apt update solver: operation did not match cache key solver: using previous result for op: COPY /src -> /app 1 2 3 通过这些日志可识别为何某一步骤未命中缓存,例如: 内容哈希差异; 上游依赖变更; 构建参数不同; 上下文路径被修改。 结合 llb 构建图理解缓存判定的路径,是排查复杂缓存异常最根本的方法。 第六章:构建性能与缓存策略设计的工程路径 如何组织 Dockerfile 结构以最大化缓存复用 构建性能的根本在于设计良好的缓存结构,而这取决于 Dockerfile 的组织方式。设计原则如下: 固定输入放前,例如依赖文件、配置模板、脚本等变更频率低的内容应优先 COPY; 高变动步骤靠后,如业务代码、构建参数应尽可能延后执行,避免频繁触发大面积缓存失效; 指令最小化原则,每条 RUN、COPY、ADD 应职责单一,便于缓存颗粒化复用; 分阶段构建产物,避免冗余中间层直接进入最终镜像。 典型模式优化前: COPY . . RUN npm install RUN npm run build dockerfile 1 2 3 优化后: COPY package.json package-lock.json ./ RUN npm install COPY . . RUN npm run build dockerfile 1 2 3 4 前者任一文件改动都会失效 npm 缓存,后者则可稳定命中依赖层。 指令拆分策略与多阶段拆层设计 将多个依赖合并为一条 RUN 虽然构建更快,但会导致缓存控制失效,调试困难。推荐做法是拆分 RUN 步骤,配合多阶段构建对产物路径进行精确隔离。 错误范式: RUN apt update && apt install -y curl && pip install -r requirements.txt dockerfile 1 优化拆分: RUN apt update && apt install -y curl COPY requirements.txt . RUN pip install -r requirements.txt dockerfile 1 2 3 配合如下多阶段拆分: FROM python:3.11 as builder COPY requirements.txt . RUN pip install -r requirements.txt COPY . . RUN python setup.py build FROM python:3.11-slim COPY --from=builder /app /app dockerfile 1 2 3 4 5 6 7 8 9 通过精细拆层,可以提高复用率,同时将不必要文件隔离在 builder 阶段。 编译类项目(如 Node、Go、Python)缓存粒度控制 对于需要依赖管理与构建的项目,构建缓存应覆盖依赖、构建产物与最终打包三个阶段。各类语言推荐策略: Node.js COPY package*.json ./ RUN npm ci COPY . . RUN npm run build dockerfile 1 2 3 4 使用 npm ci 保证锁定版本,缓存 npm 目录。 Go COPY go.mod go.sum ./ RUN go mod download COPY . . RUN go build -o app main.go dockerfile 1 2 3 4 先下载依赖,再构建二进制,保持 go mod 缓存稳定。 Python COPY requirements.txt . RUN pip install -r requirements.txt COPY . . RUN python setup.py install dockerfile 1 2 3 4 结合 --mount=type=cache 保持依赖目录缓存(如 ~/.npm、~/.cache/pip、/go/pkg/mod)。 配合 CI/CD 流水线缓存共享的优化策略 在企业级流水线中,可通过导入导出缓存目录,实现跨构建任务的缓存复用。例如 GitHub Actions、GitLab CI 支持如下机制: docker build \ --build-arg BUILDKIT_INLINE_CACHE=1 \ --cache-from=type=registry,ref=myrepo/app:cache \ --cache-to=type=registry,ref=myrepo/app:cache,mode=max \ -t myrepo/app:latest . bash 1 2 3 4 5 --cache-from 指定远程已有缓存; --cache-to 将当前构建缓存导出; BUILDKIT_INLINE_CACHE=1 使镜像内嵌缓存元信息,支持镜像复用缓存路径。 这一机制可显著提升多分支并发构建效率,降低构建时间波动,支撑频繁发布的 DevOps 流水线。 第七章:BuildKit 构建缓存高级应用实战 使用 --mount=type=cache,target=/root/.npm 缓存依赖 BuildKit 引入的 --mount=type=cache 机制允许为某些路径挂载持久缓存卷,实现跨次构建的缓存复用。常用于 Node、Python、Go 等语言的依赖缓存目录。 示例:Node 项目缓存 npm 目录 RUN --mount=type=cache,target=/root/.npm \ npm install dockerfile 1 2 等效于将 /root/.npm 映射为 BuildKit 的构建缓存卷,在多次构建中保留依赖下载记录,避免反复联网拉取,构建时间可减少 60% 以上。 其他常用挂载路径: Python: --mount=type=cache,target=/root/.cache/pip Go: --mount=type=cache,target=/go/pkg/mod Rust: --mount=type=cache,target=/usr/local/cargo/registry 注意:该机制只在启用 BuildKit 且使用 RUN --mount=... 时生效,传统构建器无法识别。 构建缓存目录映射与清理策略 尽管 type=cache 提供了高效复用路径,但其默认行为是自动持久化,可能造成磁盘占用持续增长。为此,BuildKit 支持以下控制参数: uid/gid:指定缓存挂载目录权限; sharing=locked:避免并发构建冲突; max-size:限制缓存占用体积; mode=max(导出缓存时):强制保存所有中间层缓存。 示例: RUN --mount=type=cache,target=/root/.cache/pip,sharing=locked \ pip install -r requirements.txt dockerfile 1 2 清理方式: 使用 BuildKit 管理工具清理构建缓存; 手动清理 /var/lib/buildkit 下的缓存目录; 在 CI 任务后定期触发 buildctl prune 指令。 合理控制缓存保留策略是提升构建性能、控制资源占用的平衡关键。 基于内容地址的镜像复用设计 BuildKit 的缓存判定基于内容寻址模型(Content Addressable Storage),每个输入文件都会生成唯一哈希,用于判断变更与否。 在此基础上可实现跨项目复用策略设计: 将稳定依赖(如编译器、系统依赖)封装为内容稳定的构建基镜像; 将中间构建结果导出为镜像并带缓存元数据; 多个项目共享一组构建依赖镜像并复用缓存。 示例:构建环境镜像复用 FROM node:20 as deps COPY package*.json ./ RUN --mount=type=cache,target=/root/.npm npm ci dockerfile 1 2 3 将 deps 阶段构建结果缓存导出,再供后续项目构建时指定 --cache-from 实现跨项目缓存共享。 构建缓存导出与导入机制(--cache-to / --cache-from) BuildKit 支持将构建缓存导出至外部缓存源(如镜像仓库、文件系统、内嵌镜像),并在后续构建中导入使用,以达到流水线缓存跨任务共享效果。 导出缓存: docker buildx build \ --build-arg BUILDKIT_INLINE_CACHE=1 \ --cache-to=type=registry,ref=myrepo/app:buildcache,mode=max \ -t myrepo/app:latest . bash 1 2 3 4 导入缓存: docker buildx build \ --cache-from=type=registry,ref=myrepo/app:buildcache \ -t myrepo/app:latest . bash 1 2 3 其中: BUILDKIT_INLINE_CACHE=1 表示将缓存元信息嵌入镜像; mode=max 表示包含所有中间层缓存; registry 类型可适配多数主流云镜像仓库。 这种导出-导入机制适用于 GitHub Actions、GitLab CI 等跨节点构建环境,构建时间提升可达 3~5 倍。 第八章:从传统构建到 BuildKit 架构迁移的实战路线 企业项目中如何无痛切换至 BuildKit 构建体系 BuildKit 兼容标准 Dockerfile,但其高级能力需要构建命令显式启用或调整参数。迁移过程可拆分为以下步骤: 启用 BuildKit 构建引擎: export DOCKER_BUILDKIT=1 docker build . bash 1 2 升级构建 CLI 工具(推荐使用 docker buildx) docker buildx create --name mybuilder --use docker buildx inspect --bootstrap bash 1 2 逐步重构 Dockerfile: 拆分 COPY 和 RUN 指令; 引入 --mount=type=cache 缓存依赖; 通过 --output 输出构建产物而非 image; 使用多阶段构建隔离产物生成与镜像输出。 验证构建一致性与镜像体积对比; 将构建命令替换为 BuildKit 支持版本,并集成缓存导入导出流程。 迁移过程通常不需要重写 Dockerfile,只需启用参数和适当结构优化即可完成过渡。 BuildKit 与 CI 工具(如 GitHub Actions、GitLab CI、Jenkins)的整合实践 GitHub Actions 示例: - uses: docker/setup-buildx-action@v2 - name: Build with cache run: | docker buildx build \ --cache-from=type=gha \ --cache-to=type=gha,mode=max \ -t my-image . yaml 1 2 3 4 5 6 7 8 GitLab CI 示例: build: script: - docker buildx create --use - docker buildx build \ --cache-from=type=registry,ref=gitlab.myregistry/cache:latest \ --cache-to=type=registry,ref=gitlab.myregistry/cache:latest,mode=max \ -t my-image . yaml 1 2 3 4 5 6 7 Jenkins Pipeline 示例: 启用 BuildKit 构建容器; 使用 docker buildx 指令替换传统构建命令; 配合 buildctl CLI 实现缓存状态管理。 CI 环境中整合 BuildKit 的关键在于:提前准备好共享缓存的拉取和推送策略,减少重复构建步骤,提高流水线效率。 构建缓存稳定性对比分析与效果评估 特性 传统构建器 BuildKit 缓存粒度 镜像层级 文件级内容块 缓存复用率 低(指令依赖大) 高(跳过无关步骤) 并行执行 否 是 缓存跨任务共享 不支持 支持导入导出机制 缓存可控性 弱 强(mount、输出) CI 集成友好性 一般 极佳 企业项目真实案例中,将构建时间从平均 9 分钟缩减至 2 分钟,构建一致性问题大幅减少,缓存污染率下降超 70%。 未来构建架构演进趋势预判与优化建议 Docker 构建体系正从“层叠式构建+命令式控制”向“内容寻址+DAG驱动+声明式构建”转型。BuildKit、Buildpacks、Nix-based 系统构建、Bazel 等均强调: 可复现性(Reproducibility); 可组合性(Composable); 可观测性(Observable); 构建缓存最大化。 未来构建链路建议重点优化方向: 使用 buildx bake 实现声明式构建配置; 将构建缓存与仓库、CDN 解耦,实现跨地域缓存复用; 接入 SBOM(软件物料清单)与安全分析流程; 引入构建分析指标,如缓存命中率、构建路径热度分析等。 以 BuildKit 为代表的新型构建体系,将成为容器构建在企业工程体系中的默认架构组件,越早迁移,越早收益。 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.youkuaiyun.com/sinat_28461591/article/details/148482240
最新发布
09-29
### 传统构建引擎与 BuildKit 的缓存原理 传统的 Docker 构建过程面临着缓存效率低下、构建时间冗长、跨团队协作困难等痛点。而构建性能的根本在于设计良好的缓存结构,这取决于 Dockerfile 的组织方式。传统构建...
【云原生进阶之容器】第五章容器运行时5.7--容器逃逸原理
junbaozi的专栏
04-11 1007
容器逃逸,是指“流氓”容器尝试突破正常隔离环境限制,借助一些手段获得容器所在的直接宿主机、宿主机上的其他容器或集群内其他主机、其他容器的某种权限下的命令执行能力,进行恶意攻击或执行越权访问的行为。容器逃逸漏洞可能打穿容器节点,甚至整个集群。
【云原生进阶之容器】第五章容器运行时5.5--容器运行时之Kata Containers
junbaozi的专栏
04-04 902
Kata Containers是一个新的开源项目,它提供了与虚拟机工作负载隔离的Linux容器的速度和性能。它被设计为与OCI镜像兼容的体系结构,并与Kubernetes的容器运行时接口(CRI)兼容。Kata Containers托管在Apache 2许可下的Github上,并由OpenStack基金会管理。Kata Container项目是两个现有的开源项目合并——Intel Clear Containers和Hyper runV。
深入分析DOcker镜像原理笔记
周二也被占用
12-29 473
这是原文链接:http://www.youkuaiyun.com/article/2015-08-21/2825511 本人将觉得有意思有用的内容摘抄如下: Dockerfile重塑新镜像,定义的不仅仅是镜像中的磁盘文件;Docker镜像是Dockerfile的产 物,自底之上打包软件及其环境,是软件的交付品;容器是镜像的运行态体现,一切信息来源于镜像。 一个ubuntu:14.04的镜像,提供了一
docker镜像分析
问题很多的小明
03-03 1096
导出镜像 导出exp镜像 docker save exp:v1 -o exp.bin 安装binwalk apt install binwalk 提取镜像查看文件 binwalk -e -M exp.bin 最后解析成如下: 类似于哈希的部分如下有三块 docker 基于overlayfs的文件系统,新的文件在最顶部 查看最顶部文件 可以看到类似于是一个文件根目录系统 可以通过以下几条命令查看初始化命令,工作目录等 在上一层overlay目录中找到sh 参..
Docker 镜像分析之 dive
qq_24794401的博客
12-04 1463
dive 简介 diev:用于探索 docker 镜像层内容以及发现减小 docker 镜像大小的方法工具。 docker 命令分析镜像 docker inspect 查看镜像的 Metadata 信息,例如: $ docker inspect node:alpine "RootFS": { "Type": "layers", "Layers": [ "sha...
Docker 学习之 Docker 镜像讲解
qq_42713796的博客
06-16 343
镜像是什么 镜像是一种轻量级、可执行的独立的软件包,用来打包软件运行环境和基于运行环境开发的软件,它包含运行某个软件所需要的所有内容,包括代码、运行时、库、环境变量和配置文件。 所有的应用,直接打包 docker 镜像,就可以直接跑起来! 如何得到镜像: 从远程仓库下载 朋友拷贝给你 自己制作一个镜像 DockerFile Docker镜像加载原理 UnionsFS (联合文件系统) UnionFS (联合文件系统) : Union文件系统(UnionFS)是一种分层、
Docker 实战:Docker镜像的实现原理
qq_33240556的博客
03-15 508
相反,Docker会在这次操作发生时,在最上面的可读写层中创建并修改文件的一个副本,这样就保证了原始镜像层不受影响,同时也使得在同一基础镜像上启动的多个容器能够共享大部分数据,极大地提高了资源利用率。Docker镜像是由一系列只读的层叠加而成的。总之,Docker镜像的核心原理就是以分层的方式组织和管理文件系统内容,并结合联合文件系统和写时复制技术,实现了轻量级且高效的容器化环境。命令,Docker会按照Dockerfile中的指令逐行执行,每一步生成一个新的镜像层,最终构成完整的应用程序镜像。
Docker()镜像原理
做一个善良的码农
10-10 1532
镜像是什么 镜像是一种轻量级、可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件, 它包含运行某个软件所需的所有内容,包括代码、运行时、库、环境变量和配置文件。 · UnionFS(联合文件系统) UnionFS (联合文件系统) : Union文件系统(UnionFS) 是一一种分层、轻量级并且高性能的文件系统,它支持对文件系统的修改作为一’ 次提交来一层层的叠加,同时可以将不同月...
深入解析Docker镜像结构与存储原理
Docker镜像是一种轻量级的容器化技术的基础组件,它在软件开发、部署和运维中扮演着至关重要的角色。一个Docker镜像是由多层文件系统构成的,具体...理解Docker镜像的工作原理对于有效地使用和管理Docker容器至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值