docker其實是使用了Linux Kernel的一些特性Features來實現(xiàn)的資源隔離，文件系統(tǒng)就是其中一種，但docker為了使資源可以更高效的被利用，采用了分層次的文件系統(tǒng)結(jié)構(gòu)，來實現(xiàn)container的文件系統(tǒng)。
個人覺得原理有點像平行宇宙的概念，有人認為，我們這個宇宙是存在平行宇宙的，也就是我們所做的不同的選擇，都會分發(fā)出不同宇宙，并持續(xù)運行下去，而做夢就是可以游走在這些平行宇宙間。這里也是有點類似，我們打包好的一個鏡像后，通過docker run進行運行后，其實就是在這個基礎(chǔ)上創(chuàng)建了一個不同的宇宙了，隨著container的持續(xù)運行，container的內(nèi)容跟原來的鏡像上的東西就會有很多偏差diff，而逐步形成了自己的一個宇宙。

Docker 文件系統(tǒng)

從docker inspect [container-id] --format={{.GraphDriver}}可以獲取到各個container的文件系統(tǒng)分層情況

{map[LowerDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b-init/diff:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/diff MergedDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b/merged UpperDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b/diff WorkDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b/work] overlay2}

主要有以下四種

LowerDir

這個是所有基于該鏡像的container都會指向同一個的文件系統(tǒng)，是鏡像層，所有的container都會使用該層。

那么該層是從哪里來的呢，我們可以看下我們的所用的鏡像

MergedDir

這個是不同的container會結(jié)合Lower層和Upper層，來提供給container中的最終文件系統(tǒng)

UpperDir

這個是記錄不同的container的操作，再通過Lower層的對比比較，可以生成一個Merge層

WorkDir

暫未深入了解

示例

docker run -d alpine:latest

查看鏡像層的文件系統(tǒng)信息

docker inspect alpine --format={{.GraphDriver}}

{map[MergedDir:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/merged UpperDir:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/diff WorkDir:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/work] overlay2}

注意到UpperDir，這個是鏡像的upper層，也就是我們可以在這層面去做修改啥的，會影響之后創(chuàng)建的container

查看container的文件系統(tǒng)信息

docker inspect 9a118484ba --format={{.GraphDriver}}

{map[LowerDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14-init/diff:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/diff MergedDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14/merged UpperDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14/diff WorkDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14/work] overlay2}

可以看到container的Lower層，就是鏡像的upper層，我們對container所作的修改，都會在upper層進行體現(xiàn)，并且有merged層進行整理后展示給container。

我們可以用命令行查看container文件系統(tǒng)的變化情況

docker diff 9a118484ba

由于我們未對container進行操作，所以現(xiàn)在這個container跟鏡像是無差異的

我們再啟動一個container，并且讓他sleep 300秒，然后進去container修改一些文件信息

# docker exec -it ca91bb /bin/sh
/ # echo "helloWorld" > /tmp/hello.txt

查看container文件系統(tǒng)的變化情況

docker diff ca91bbffb801
C /root
C /root/.ash_history
C /tmp
A /tmp/hello.txt

可以看到，我們對文件系統(tǒng)做了這些改動，均被記錄下來了

這些內(nèi)容，其實就在UpperDir的目錄下

tree -L 1 diff/
diff/
├── root
└── tmp
2 directories, 0 files

從宿主機修改container內(nèi)容

從以上的實驗中，我們可以知道，upper層就是增加的內(nèi)容，通過同lower層進行merge，來反映container的變化。那么我們是否可以直接修改upper層，來對container進行操作呢？

我們在upper所在的目錄中，增加一個目錄demo，并且在里面touch一個文件

# tree -L 2 ./
./
├── demo
│   └── mytest.log
├── root
└── tmp
    └── hello.txt

我們從container看看是否可以看到我們所創(chuàng)建的文件

/demo # pwd
/demo
/demo # ls
mytest.log

可以看到，已經(jīng)生效了，所以，如果我們要初始化掉這個container，可以直接將upper層的內(nèi)容進行全部刪除即可。

應(yīng)用

查找軟件安裝痕跡

在之前做項目的過程中，客戶總是需要我們提供，我們這個代理軟件到底會去修改哪些內(nèi)容，一直也沒有找到比較好的方法去給客戶提供，從這個docker的分層文件的應(yīng)用來看，我們可以把代理部署在一個container上面，然后就可以一目了然地發(fā)現(xiàn)軟件會修改哪些目錄和文件了。