docker其實(shí)是使用了Linux Kernel的一些特性Features來(lái)實(shí)現(xiàn)的資源隔離，文件系統(tǒng)就是其中一種，但docker為了使資源可以更高效的被利用，采用了分層次的文件系統(tǒng)結(jié)構(gòu)，來(lái)實(shí)現(xiàn)container的文件系統(tǒng)。
個(gè)人覺(jué)得原理有點(diǎn)像平行宇宙的概念，有人認(rèn)為，我們這個(gè)宇宙是存在平行宇宙的，也就是我們所做的不同的選擇，都會(huì)分發(fā)出不同宇宙，并持續(xù)運(yùn)行下去，而做夢(mèng)就是可以游走在這些平行宇宙間。這里也是有點(diǎn)類似，我們打包好的一個(gè)鏡像后，通過(guò)docker run進(jìn)行運(yùn)行后，其實(shí)就是在這個(gè)基礎(chǔ)上創(chuàng)建了一個(gè)不同的宇宙了，隨著container的持續(xù)運(yùn)行，container的內(nèi)容跟原來(lái)的鏡像上的東西就會(huì)有很多偏差diff，而逐步形成了自己的一個(gè)宇宙。

Docker 文件系統(tǒng)

從docker inspect [container-id] --format={{.GraphDriver}}可以獲取到各個(gè)container的文件系統(tǒng)分層情況

{map[LowerDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b-init/diff:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/diff MergedDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b/merged UpperDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b/diff WorkDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b/work] overlay2}

主要有以下四種

LowerDir

這個(gè)是所有基于該鏡像的container都會(huì)指向同一個(gè)的文件系統(tǒng)，是鏡像層，所有的container都會(huì)使用該層。

那么該層是從哪里來(lái)的呢，我們可以看下我們的所用的鏡像

MergedDir

這個(gè)是不同的container會(huì)結(jié)合Lower層和Upper層，來(lái)提供給container中的最終文件系統(tǒng)

UpperDir

這個(gè)是記錄不同的container的操作，再通過(guò)Lower層的對(duì)比比較，可以生成一個(gè)Merge層

WorkDir

暫未深入了解

示例

docker run -d alpine:latest

查看鏡像層的文件系統(tǒng)信息

docker inspect alpine --format={{.GraphDriver}}

{map[MergedDir:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/merged UpperDir:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/diff WorkDir:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/work] overlay2}

注意到UpperDir，這個(gè)是鏡像的upper層，也就是我們可以在這層面去做修改啥的，會(huì)影響之后創(chuàng)建的container

查看container的文件系統(tǒng)信息

docker inspect 9a118484ba --format={{.GraphDriver}}

{map[LowerDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14-init/diff:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/diff MergedDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14/merged UpperDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14/diff WorkDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14/work] overlay2}

可以看到container的Lower層，就是鏡像的upper層，我們對(duì)container所作的修改，都會(huì)在upper層進(jìn)行體現(xiàn)，并且有merged層進(jìn)行整理后展示給container。

我們可以用命令行查看container文件系統(tǒng)的變化情況

docker diff 9a118484ba

由于我們未對(duì)container進(jìn)行操作，所以現(xiàn)在這個(gè)container跟鏡像是無(wú)差異的

我們?cè)賳?dòng)一個(gè)container，并且讓他sleep 300秒，然后進(jìn)去container修改一些文件信息

# docker exec -it ca91bb /bin/sh
/ # echo "helloWorld" > /tmp/hello.txt

查看container文件系統(tǒng)的變化情況

docker diff ca91bbffb801
C /root
C /root/.ash_history
C /tmp
A /tmp/hello.txt

可以看到，我們對(duì)文件系統(tǒng)做了這些改動(dòng)，均被記錄下來(lái)了

這些內(nèi)容，其實(shí)就在UpperDir的目錄下

tree -L 1 diff/
diff/
├── root
└── tmp
2 directories, 0 files

從宿主機(jī)修改container內(nèi)容

從以上的實(shí)驗(yàn)中，我們可以知道，upper層就是增加的內(nèi)容，通過(guò)同lower層進(jìn)行merge，來(lái)反映container的變化。那么我們是否可以直接修改upper層，來(lái)對(duì)container進(jìn)行操作呢？

我們?cè)趗pper所在的目錄中，增加一個(gè)目錄demo，并且在里面touch一個(gè)文件

# tree -L 2 ./
./
├── demo
│   └── mytest.log
├── root
└── tmp
    └── hello.txt

我們從container看看是否可以看到我們所創(chuàng)建的文件

/demo # pwd
/demo
/demo # ls
mytest.log

可以看到，已經(jīng)生效了，所以，如果我們要初始化掉這個(gè)container，可以直接將upper層的內(nèi)容進(jìn)行全部刪除即可。

應(yīng)用

查找軟件安裝痕跡

在之前做項(xiàng)目的過(guò)程中，客戶總是需要我們提供，我們這個(gè)代理軟件到底會(huì)去修改哪些內(nèi)容，一直也沒(méi)有找到比較好的方法去給客戶提供，從這個(gè)docker的分層文件的應(yīng)用來(lái)看，我們可以把代理部署在一個(gè)container上面，然后就可以一目了然地發(fā)現(xiàn)軟件會(huì)修改哪些目錄和文件了。