Docker 镜像的构建与管理（二）

四、Docker 镜像管理

4.1 镜像的拉取与推送

在 Docker 的世界里，镜像的拉取与推送是与镜像仓库进行交互的基本操作。通过这些操作，我们可以方便地获取所需的镜像，以及将自己构建的镜像分享到仓库中，实现资源的共享与复用。

拉取镜像时，我们使用docker pull命令。其基本语法为：

docker pull [OPTIONS] NAME[:TAG|@DIGEST]

其中，NAME是镜像的名称，TAG是镜像的标签，用于指定镜像的版本，@DIGEST则是镜像的摘要，用于唯一标识一个镜像。如果不指定TAG，默认会拉取latest标签的镜像 。

例如，要拉取官方的 Nginx 镜像，可以执行以下命令：

docker pull nginx:latest

若要拉取特定版本的 Nginx 镜像，比如 1.21.6 版本，则可以这样操作：

docker pull nginx:1.21.6

从公共仓库拉取镜像时，通常我们会从 Docker Hub 获取，这是默认的公共仓库地址。但有时由于网络等原因，拉取速度可能较慢，这时我们可以配置镜像加速器，如国内的阿里云镜像加速器、网易云镜像加速器等 。以阿里云镜像加速器为例，我们需要先登录阿里云容器镜像服务，获取专属的加速器地址，然后在 Docker 的配置文件（如/etc/docker/daemon.json）中添加如下配置：

{

"registry-mirrors": ["https://你的加速器地址"]

}

修改配置后，重启 Docker 服务，即可生效。

从私有仓库拉取镜像时，首先需要确保已配置好私有仓库的地址。如果私有仓库需要认证，还需要使用docker login命令登录私有仓库 。例如，私有仓库地址为192.168.1.100:5000，登录命令如下：

docker login 192.168.1.100:5000

然后输入用户名和密码进行登录。登录成功后，就可以拉取私有仓库中的镜像了，例如：

docker pull 192.168.1.100:5000/my-private-image:1.0

推送镜像时，我们使用docker push命令，语法为：

docker push NAME[:TAG]

在推送之前，需要先对镜像进行标记，使其符合目标仓库的命名规范。例如，我们要将本地构建的my-node-app:1.0.0镜像推送到 Docker Hub 上，首先需要登录 Docker Hub：

docker login

然后对镜像进行标记，将其标记为你的DockerHub用户名/my-node-app:1.0.0：

docker tag my-node-app:1.0.0 你的DockerHub用户名/my-node-app:1.0.0

最后执行推送命令：

docker push 你的DockerHub用户名/my-node-app:1.0.0

如果要推送到私有仓库，同样需要先登录私有仓库，然后标记镜像并推送。例如，将镜像推送到之前的私有仓库192.168.1.100:5000：

docker tag my-node-app:1.0.0 192.168.1.100:5000/my-node-app:1.0.0

docker push 192.168.1.100:5000/my-node-app:1.0.0

在推送镜像时，需要注意目标仓库的权限设置，确保当前用户有推送权限。同时，也要注意镜像的标签命名规范，避免因为命名错误导致推送失败。

4.2 镜像的查看与删除

在本地管理 Docker 镜像时，查看和删除镜像是常见的操作。通过这些操作，我们可以清晰地了解本地镜像的情况，并及时清理不再需要的镜像，释放磁盘空间。

查看本地镜像列表，我们使用docker images命令，其基本语法为：

docker images [OPTIONS][REPOSITORY[:TAG]]

执行docker images命令后，会列出本地所有镜像的相关信息，包括仓库名（REPOSITORY）、标签（TAG）、镜像 ID（IMAGE ID）、创建时间（CREATED）和大小（SIZE） 。例如：

$ docker images

REPOSITORY TAG IMAGE ID CREATED SIZE

nginx latest 605c77e624dd 2 years ago 141MB

redis latest 7614ae9453d1 2 years ago 113MB

my-node-app 1.0.0 56d89e3f4a2b 1 hour ago 900MB

docker images命令还支持一些有用的参数：

• -a：显示所有镜像，包括中间层镜像。默认情况下，中间层镜像不会显示，这些中间层镜像在构建镜像过程中产生，用于缓存和复用。

• --digests：显示镜像的摘要信息，摘要可以唯一标识一个镜像，确保镜像的完整性和一致性。

• -f或--filter：根据条件过滤镜像列表。例如，docker images -f "dangling=true"可以列出所有虚悬镜像（即没有标签的镜像） 。虚悬镜像是在镜像构建或标签操作过程中产生的，它们通常不再被使用，但仍然占用磁盘空间。

• --format：自定义输出格式，使用 Go 模板语法进行格式化输出。例如，docker images --format "{{.Repository}}:{{.Tag}} {{.Size}}"可以只输出仓库名、标签和大小信息。

当我们需要删除不再使用的镜像时，使用docker rmi命令，其语法为：

docker rmi [OPTIONS] IMAGE [IMAGE...]

可以通过镜像 ID、仓库名：标签等方式指定要删除的镜像。例如，要删除my-node-app:1.0.0镜像，可以执行：

docker rmi my-node-app:1.0.0

如果要删除多个镜像，可以在命令后依次列出镜像 ID 或名称 。例如：

docker rmi my-node-app:1.0.0 nginx:latest redis:latest

在删除镜像时，需要注意以下几点：

• 如果镜像正在被容器使用，是无法直接删除的。需要先停止并删除依赖该镜像的容器，然后才能删除镜像。例如，若有一个正在运行的 Nginx 容器基于nginx:latest镜像，我们需要先停止并删除该容器：

docker stop nginx-container

docker rm nginx-container

然后再删除nginx:latest镜像：

docker rmi nginx:latest

• 对于一些依赖关系复杂的镜像，删除时要谨慎操作，避免影响其他容器的正常运行。在删除之前，可以先使用docker images -a查看所有镜像及其依赖关系，确保删除的镜像不会对其他部分造成影响。

4.3 镜像的标签管理

镜像标签是 Docker 镜像管理中的重要概念，它就像是给镜像贴上的一个标识，用于区分不同版本、用途或环境的镜像。通过合理地使用标签，我们可以更好地组织和管理镜像，提高开发、测试和部署的效率。

标签的主要作用有以下几点：

• 版本标识：标签可以清晰地标识镜像的版本，例如my-app:1.0、my-app:2.0等，方便我们在不同环境中使用特定版本的镜像。在开发过程中，我们可能会不断迭代应用程序，每次构建新的镜像时，就可以通过更新标签来表示版本的变化 。

• 环境区分：可以使用标签来区分不同的环境，如my-app:dev表示开发环境的镜像，my-app:prod表示生产环境的镜像。这样在部署时，我们可以根据环境选择合适的镜像，确保应用在不同环境中的正确运行。

• 用途说明：通过标签可以简要说明镜像的用途，例如my-database:mysql表示这是一个基于 MySQL 的数据库镜像，my-webserver:nginx表示这是一个基于 Nginx 的 Web 服务器镜像，方便团队成员快速了解镜像的功能。

添加标签时，使用docker tag命令，语法为：

docker tag SOURCE_IMAGE[:TAG] TARGET_IMAGE[:TAG]

例如，我们有一个名为my-node-app:1.0.0的镜像，现在想给它添加一个latest标签，可以执行：

docker tag my-node-app:1.0.0 my-node-app:latest

修改标签时，实际上是先添加一个新标签，然后删除旧标签。例如，我们想将my-node-app:1.0.0的标签修改为my-node-app:1.1.0，可以先添加新标签：

docker tag my-node-app:1.0.0 my-node-app:1.1.0

然后删除旧标签：

docker rmi my-node-app:1.0.0

需要注意的是，这里删除的只是标签，镜像本身仍然存在，因为镜像 ID 没有改变。

删除标签时，使用docker rmi命令，语法为：

docker rmi IMAGE[:TAG]

例如，要删除my-node-app:latest标签，可以执行：

docker rmi my-node-app:latest

合理使用标签可以使镜像管理更加清晰和高效。在团队协作中，制定统一的标签命名规范是非常重要的。例如，可以采用 “项目名：版本号 - 环境” 的格式，如my-project:1.0.0-dev、my-project:1.0.0-prod，这样可以方便团队成员理解和使用镜像，避免因为标签混乱而导致的错误。同时，在每次构建和更新镜像时，及时更新标签，确保标签与镜像内容的一致性。

4.4 镜像的存储与优化

在使用 Docker 的过程中，镜像的存储与优化是不容忽视的环节。合理的存储方式可以节省磁盘空间，而优化镜像大小则能加快镜像的拉取和部署速度，提高整体的开发和运维效率。

Docker 镜像的存储方式采用了分层存储结构，每一层都是只读的，并且可以被多个镜像共享。当我们构建一个新镜像时，Docker 会根据 Dockerfile 中的指令逐步创建新的层，这些层叠加在一起形成完整的镜像 。镜像文件存储在宿主机的/var/lib/docker目录下（不同的 Linux 发行版可能略有差异），在这个目录下，有多个子目录用于存储不同的内容，如镜像的元数据、层数据等。

镜像的分层结构有以下优点：

• 节省空间：多个镜像可以共享相同的层，例如多个基于 Ubuntu 的镜像都可以共享 Ubuntu 基础镜像的层，这样大大减少了磁盘空间的占用。

• 加快构建速度：当构建一个新镜像时，如果某些层已经存在于本地，Docker 会直接复用这些层，而不是重新构建，从而加快了镜像的构建速度 。

然而，随着时间的推移，我们可能会积累大量的镜像，这些镜像可能会占用大量的磁盘空间。为了优化镜像存储，我们可以采取以下方法：

• 定期清理无用镜像：使用docker image prune命令可以清理系统中未被标记且未被其他任何镜像引用的镜像，即虚悬镜像。执行以下命令可以清理虚悬镜像：

docker image prune

如果要清理所有未被使用的镜像，可以添加-a参数：

docker image prune -a

• 使用镜像压缩工具：可以使用docker save命令将镜像保存为 gzip 压缩的 tar 文件，然后在需要时使用docker load命令加载。例如，将my-node-app:1.0.0镜像保存为压缩文件：

docker save -o my-node-app-1.0.0.tar.gz my-node-app:1.0.0

在其他环境中加载该镜像：

docker load -i my-node-app-1.0.0.tar.gz

优化镜像大小也是非常重要的，过大的镜像会导致拉取和部署时间变长，增加网络带宽的消耗。以下是一些优化镜像大小的方法：

• 多阶段构建：在 Dockerfile 中使用多阶段构建，可以将构建过程分为多个阶段，每个阶段都有自己的镜像。在最终的镜像中，只包含运行时所需的文件和依赖项，而不包含构建过程中的临时文件和工具。例如，对于一个 Node.js 应用，我们可以先在一个阶段中安装依赖并构建应用，然后在另一个阶段中将构建好的应用复制到一个轻量级的基础镜像中 。

# 构建阶段

FROM node:18 AS build

WORKDIR /app

COPY package*.json./

RUN npm install

COPY. /app

RUN npm run build

# 运行阶段

FROM node:18-slim

WORKDIR /app

COPY --from=build /app/dist./dist

EXPOSE 3000

CMD ["node", "dist/server.js"]

在这个例子中，build阶段用于安装依赖和构建应用，而最终的镜像只从build阶段复制了构建好的dist目录，大大减小了镜像的体积。

• 使用精简基础镜像：选择合适的基础镜像可以显著减小镜像大小。例如，使用 Alpine Linux 作为基础镜像，相比完整的 Ubuntu 或 Debian 镜像，Alpine Linux 镜像体积更小，因为它是一个高度精简的 Linux 发行版 。例如：

FROM alpine:3.16

RUN apk add --no-cache nodejs npm

WORKDIR /app

COPY package*.json./

RUN npm install

COPY. /app

EXPOSE 3000

CMD ["node", "app.js"]

这里使用了 Alpine Linux 作为基础镜像，并通过apk add --no-cache命令安装软件包，避免了缓存文件的残留，进一步减小了镜像大小。

• 清理构建过程中的临时文件：在构建镜像过程中，及时清理临时文件和缓存，例如在安装软件包后清理软件包缓存。在 Ubuntu 中，可以在RUN指令后添加清理缓存的命令：

RUN apt-get update && apt-get install -y python3 && \

rm -rf /var/lib/apt/lists/*

这里的rm -rf /var/lib/apt/lists/*命令用于删除软件包缓存，减少镜像的大小。

五、实战案例

5.1 构建一个 Python Web 应用的 Docker 镜像

以 Flask 应用为例，展示从创建项目到构建、运行镜像的完整过程，包括编写代码、Dockerfile 及操作命令。

假设我们要创建一个简单的 Flask 应用，实现一个基本的 Web 页面，当用户访问根路径时，返回 “Hello, Docker! This is a Flask App”。

首先，创建一个新的项目目录，比如flask-demo，并在其中创建一个 Python 文件app.py，编写如下代码：

from flask import Flask

app = Flask(__name__)

@app.route('/')

def hello_world():

return 'Hello, Docker! This is a Flask App'

if __name__ == '__main__':

app.run(host='0.0.0.0', port=5000)

这段代码创建了一个简单的 Flask 应用，定义了一个路由/，当访问该路由时，返回指定的字符串。app.run方法设置了应用监听的主机地址为0.0.0.0，表示监听所有网络接口，端口为5000。

接下来，需要安装 Flask 依赖。可以在项目目录下创建一个requirements.txt文件，用于记录项目的依赖项。在终端中执行以下命令生成requirements.txt文件：

pip freeze > requirements.txt

如果项目已经安装了 Flask，requirements.txt文件中会包含Flask及其相关依赖的版本信息，例如：

Flask==2.2.2

Werkzeug==2.2.2

然后，编写 Dockerfile。在flask-demo目录下创建一个名为Dockerfile的文件，内容如下：

# 使用Python官方镜像作为基础镜像

FROM python:3.10-slim

# 设置工作目录

WORKDIR /app

# 复制requirements.txt文件到工作目录

COPY requirements.txt.

# 安装项目依赖

RUN pip install -r requirements.txt

# 复制整个项目到工作目录

COPY. /app

# 暴露容器的5000端口

EXPOSE 5000

# 容器启动时执行的命令

CMD ["python", "app.py"]

在这个 Dockerfile 中：

• FROM python:3.10-slim指定了基础镜像为 Python 3.10 的精简版，这样可以减少镜像的体积。

• WORKDIR /app设置了工作目录为/app，后续的操作都将在这个目录下进行。

• COPY requirements.txt.将requirements.txt文件复制到镜像的当前目录（即/app）。

• RUN pip install -r requirements.txt在镜像中安装项目所需的依赖。

• COPY. /app将整个项目目录下的文件复制到镜像的/app目录。

• EXPOSE 5000声明容器将监听 5000 端口，以便外部可以访问容器中的应用。

• CMD ["python", "app.py"]指定容器启动时执行的命令，即运行app.py启动 Flask 应用。

现在，我们可以构建 Docker 镜像了。在包含Dockerfile和app.py等文件的flask-demo目录下，打开终端，执行以下命令：

docker build -t flask-demo-app:1.0.0.

这里的-t参数用于指定镜像的标签，flask-demo-app是镜像的名称，1.0.0是版本号，最后的.表示当前目录，即 Dockerfile 所在的目录。构建过程中，Docker 会根据 Dockerfile 中的指令逐步构建镜像，这个过程可能需要一些时间，取决于网络状况和基础镜像的下载速度。

构建完成后，可以使用以下命令运行镜像：

docker run -p 5000:5000 flask-demo-app:1.0.0

-p 5000:5000表示将容器的 5000 端口映射到宿主机的 5000 端口，这样我们就可以通过访问http://localhost:5000来访问容器中的 Flask 应用了。在浏览器中输入http://localhost:5000，应该可以看到 “Hello, Docker! This is a Flask App” 的页面。

5.2 管理镜像版本

说明如何在实战中管理镜像版本，如使用语义化版本控制、多版本镜像管理策略。

在实际项目中，管理镜像版本是非常重要的，它可以帮助我们更好地跟踪和管理应用的不同版本，确保在开发、测试和生产环境中使用的是一致的镜像。

使用语义化版本控制是一种常见的做法。语义化版本号采用 “主版本号。次版本号。修订号” 的格式，例如1.0.0、1.1.0、1.1.1等。在构建镜像时，根据应用的变化来更新版本号：

• 当进行不兼容的 API 修改、重大功能变更时，增加主版本号，例如从1.0.0升级到2.0.0。

• 当添加向下兼容的新功能时，增加次版本号，例如从1.0.0升级到1.1.0。

• 当进行向下兼容的问题修正、小的改进时，增加修订号，例如从1.0.0升级到1.0.1。

在构建镜像时，可以使用带有版本号的标签来标记镜像。例如，对于上述的 Flask 应用，当我们进行了一些小的改进并修复了一个小问题后，可以重新构建镜像并标记为1.0.1版本：

docker build -t flask-demo-app:1.0.1.

这样，我们就可以清晰地区分不同版本的镜像，并且在部署时可以准确地选择使用哪个版本。

多版本镜像管理策略也是非常实用的。在实际应用中，可能会同时存在多个版本的镜像，例如开发版本、测试版本和生产版本。我们可以使用不同的标签来区分这些版本，例如：

• flask-demo-app:dev：用于开发环境，包含最新的开发代码，但可能不稳定。

• flask-demo-app:test：用于测试环境，经过一定的测试，相对稳定。

• flask-demo-app:prod：用于生产环境，是经过全面测试和验证的稳定版本。

在部署时，根据不同的环境选择相应的镜像。例如，在开发环境中，可以使用docker run -p 5000:5000 flask-demo-app:dev来运行开发版本的镜像；在生产环境中，则使用docker run -p 5000:5000 flask-demo-app:prod来运行生产版本的镜像。

此外，还可以使用版本控制系统（如 Git）来管理 Dockerfile 和相关的配置文件。将 Dockerfile 和应用代码一起提交到 Git 仓库中，每次修改后通过 Git 记录变更历史，这样可以方便地回溯到之前的版本，并且可以在不同的开发分支上构建不同版本的镜像。例如，在一个新的功能分支上开发新功能时，可以在该分支上修改 Dockerfile 和应用代码，然后构建一个带有特定版本号的镜像，如flask-demo-app:feature-x-1.0.0，表示在feature-x分支上开发的版本。

通过合理地使用语义化版本控制和多版本镜像管理策略，可以有效地管理 Docker 镜像版本，提高项目的可维护性和稳定性 。

六、总结与展望

6.1 回顾重点内容

在本文中，我们深入探讨了 Docker 镜像的构建与管理，这是容器化技术中的核心环节。

从基础概念出发，我们了解到 Docker 镜像就像是一个精心打包的软件行李箱，包含了应用程序及其运行所需的一切依赖，具有高度的独立性和可移植性 。它与容器的关系如同模板与实例，镜像的分层结构则是实现高效存储和构建的关键，每一层都记录了镜像构建过程中的一个步骤，不同镜像可以共享相同的层，大大节省了存储空间和构建时间。

在镜像构建方面，Dockerfile 是我们的得力工具，它通过一系列指令，如 FROM、RUN、COPY 等，指导我们如何从基础镜像开始，逐步构建出满足需求的定制化镜像 。我们以 Python Flask 应用和 Node.js 应用为例，详细展示了从编写代码到构建镜像的完整流程，同时也探讨了构建过程中可能遇到的常见问题及解决方法，如语法错误、依赖安装失败等，为实际操作提供了宝贵的经验。

在镜像管理部分，我们学习了镜像的拉取与推送，这使我们能够方便地获取和分享镜像资源。通过docker pull和docker push命令，我们可以与公共仓库和私有仓库进行交互。同时，我们还掌握了镜像的查看与删除、标签管理以及存储与优化等操作，这些操作帮助我们更好地组织和维护本地镜像，提高开发和运维的效率 。

6.2 未来发展趋势

展望未来，Docker 镜像技术将继续发展，以适应不断变化的技术需求和业务场景。随着云计算、微服务架构和边缘计算等新兴技术的兴起，Docker 镜像将在以下几个方面展现出更强大的生命力：

• 与云原生技术的深度融合：云原生技术强调应用在云环境中的高效运行和管理，Docker 镜像作为云原生应用的基础，将与容器编排工具（如 Kubernetes）、服务网格（如 Istio）等云原生技术深度集成，实现更自动化、智能化的应用部署和管理。例如，通过 Kubernetes 的自动扩缩容功能，根据应用的负载情况自动调整基于 Docker 镜像的容器数量，确保应用始终保持良好的性能 。

• 在边缘计算中的广泛应用：边缘计算要求在靠近数据源的地方进行数据处理，以减少延迟并提高响应速度。Docker 镜像的轻量级和可移植性使其非常适合边缘计算场景，未来将有更多的边缘设备采用 Docker 镜像来部署应用，实现数据的本地处理和分析。例如，在智能工厂中，通过在边缘设备上运行基于 Docker 镜像的数据分析应用，实时监测生产设备的运行状态，及时发现故障隐患 。

• 安全性的持续提升：随着容器技术的广泛应用，镜像的安全性将成为重中之重。未来，Docker 镜像将采用更严格的安全标准和加密技术，确保镜像在构建、传输和存储过程中的安全性。同时，镜像扫描工具将更加智能和高效，能够实时检测镜像中的安全漏洞，并提供及时的修复建议。例如，利用人工智能技术对镜像中的代码进行分析，提前发现潜在的安全风险 。

• 生态系统的不断完善：Docker 镜像的生态系统将不断发展壮大，吸引更多的开发者和企业参与其中。新的工具和服务将不断涌现，为镜像的构建、管理和应用提供更多的便利。例如，一些可视化的镜像管理工具将帮助开发者更直观地管理和监控镜像，降低使用门槛 。

Docker 镜像的构建与管理是一项极具价值的技术，它为现代软件开发和部署带来了巨大的便利。希望读者能够持续学习和探索 Docker 镜像技术，不断提升自己的技术能力，在未来的技术发展中抢占先机，为推动行业的发展贡献自己的力量。