一. bootfs和rootfs

通常而言，Linux的操作系統(tǒng)由兩類文件系統(tǒng)組成：bootfs（boot file system）和rootfs（root file system），它們分別對(duì)應(yīng)著系統(tǒng)內(nèi)核與根目錄文件。bootfs層主要為系統(tǒng)內(nèi)核文件，這層的內(nèi)容是無法修改的。當(dāng)我們的系統(tǒng)在啟動(dòng)時(shí)會(huì)加載bootfs，當(dāng)加載完成后整個(gè)內(nèi)核都會(huì)存到內(nèi)存中，然后系統(tǒng)會(huì)將bootfs卸載掉。而rootfs層則包含了系統(tǒng)中常見的目錄和文件，如/bin，/etc，/proc等等。

Docker的鏡像技術(shù)可以使用宿主機(jī)的bootfs層，這使得鏡像本身只需要封裝rootfs層所需要的文件和工具即可。因此，鏡像可以根據(jù)需要進(jìn)行定制化封裝，減少占用的存儲(chǔ)空間，如部分極精簡的鏡像只有幾MB大小。

在不同Linux發(fā)行版本中，它們之間的主要區(qū)別在于rootfs層，比如ubuntu使用apt管理軟件，而Centos使用yum方式。而在內(nèi)核層面，兩者的差別并不大。因此，我們可以在一臺(tái)主機(jī)上同時(shí)支持不同Linux系統(tǒng)的鏡像而不出現(xiàn)報(bào)錯(cuò)，如同時(shí)啟動(dòng)Centos和Ubuntu的容器。

但需要注意的是，不管容器使用什么系統(tǒng)的鏡像，實(shí)際的內(nèi)核版本都與鏡像無關(guān)，都為宿主機(jī)的內(nèi)核。如ubuntu16.04 的容器跑在Centos7.x的宿主機(jī)上，雖然ubuntu的內(nèi)核版本是4.x.x，但我們在容器中會(huì)看到內(nèi)核為centos 7.x 的內(nèi)核，即 3.x.x。如果是對(duì)內(nèi)核版本的要求的程序，可能會(huì)因此受到影響。

二. 鏡像結(jié)構(gòu)

Docker鏡像采用分層的結(jié)構(gòu)，由一些松耦合的只讀層堆疊而成，并對(duì)外展示為一個(gè)統(tǒng)一的對(duì)象。所有的鏡像都開始于一個(gè)基礎(chǔ)的鏡像層，當(dāng)我們進(jìn)行修改或內(nèi)容添加時(shí)，會(huì)在鏡像層上面創(chuàng)建新的一層。

最底層通常為基礎(chǔ)層鏡像，然后再層層疊加上來，比如安裝一個(gè)Python軟件，此時(shí)會(huì)在基礎(chǔ)層上面添加一個(gè)新的層，上面包含了我們所安裝的Python程序。

鏡像做為所有鏡像層的組合，如果鏡像中有相同路徑的文件，則上層鏡像會(huì)覆蓋下層鏡像的內(nèi)容，最終展示為所有層的數(shù)據(jù)匯總。

如下圖所示，由于第二層的文件2與第一層具有相同的文件路徑，則鏡像將以第二層的文件2內(nèi)容進(jìn)行展示，第一層只有文件1會(huì)被顯示。

我們再來回顧一下前面鏡像拉取時(shí)的輸出內(nèi)容，Pull complete結(jié)尾的每一行代表鏡像中某個(gè)被拉取的層，每個(gè)層級(jí)通過一個(gè)唯一的ID進(jìn)行標(biāo)識(shí)。

$ docker pull nginx:1.20
1.20: Pulling from library/nginx
5eb5b503b376: Pull complete
cdfeb356c029: Pull complete
d86da7454448: Pull complete
7976249980ef: Pull complete
8f66aa6726b2: Pull complete
c004cabebe76: Pull complete
Digest: sha256:02923d65cde08a49380ab3f3dd2f8f90aa51fa2bd358bd85f89345848f6e6623
Status: Downloaded newer image for nginx:1.20
docker.io/library/nginx:1.20

鏡像層的松耦合代表著它不屬于某個(gè)鏡像獨(dú)有，當(dāng)不同鏡像包含相同的層時(shí)，系統(tǒng)只會(huì)存儲(chǔ)該層的一份內(nèi)容，這是Docker鏡像的重要特點(diǎn)，這樣的好處有利于減少存儲(chǔ)空間的占用。如下所示，當(dāng)我們拉取另一個(gè)版本的Nginx鏡像時(shí)，其中ID號(hào)為5eb5b503b376的層已經(jīng)存在，則會(huì)顯示為Already exists，直接使用此鏡像層。

$ docker pull nginx:1.21
1.21: Pulling from library/nginx
5eb5b503b376: Already exists
1ae07ab881bd: Pull complete
78091884b7be: Pull complete
091c283c6a66: Pull complete
55de5851019b: Pull complete
b559bad762be: Pull complete
Digest: sha256:2834dc507516af02784808c5f48b7cbe38b8ed5d0f4837f16e78d00deb7e7767
Status: Downloaded newer image for nginx:1.21
docker.io/library/nginx:1.21

三. 容器層

我們前面說到鏡像層是只讀模板，那么當(dāng)我們使用鏡像生成容器時(shí)，為什么又能寫入數(shù)據(jù)呢？這個(gè)問題的答案涉及到一個(gè)概念：容器層。

當(dāng)容器啟動(dòng)時(shí)，會(huì)有一個(gè)新的可寫層被加載到鏡像的頂部，這一層通常被稱為容器層。所有對(duì)容器的修改都會(huì)發(fā)生在容器層，只有容器層是可寫入的，容器層以下的鏡像層都是只讀的。

當(dāng)我們對(duì)容器進(jìn)行操作時(shí)，底層的工作原理如下：

讀取文件：當(dāng)容器需要讀取文件時(shí)，會(huì)先在容器層尋找，如果沒有發(fā)現(xiàn)，則會(huì)從最上層的鏡像層往下尋找，當(dāng)找到文件后讀取到內(nèi)存使用。

增加文件：當(dāng)增加文件時(shí)，文件會(huì)直接寫到最上面容器層，不會(huì)影響到鏡像層內(nèi)容。所以，當(dāng)我們將容器刪除時(shí)，容器中的文件也會(huì)隨著消失。

修改文件：此時(shí)，如果該文件是在容器層的，則會(huì)直接修改。否則的話，Docker會(huì)從上往下依次在各層鏡像中查找此文件 ，當(dāng)找到后將其復(fù)制到容器層中，并進(jìn)行修改。這被稱為容器的寫時(shí)復(fù)制特性（Copy-on-Write），這個(gè)技術(shù)保證了我們對(duì)容器的修改不會(huì)影響到底層的鏡像，也實(shí)現(xiàn)了一個(gè)鏡像可以被多個(gè)容器共用。

刪除文件：當(dāng)我們需要?jiǎng)h除文件時(shí)，Docker也是由上往下尋找該文件 ，如果在容器層的文件會(huì)被直接刪除，而在鏡像層的文件則會(huì)被標(biāo)記，此時(shí)在容器將不會(huì)再出現(xiàn)此文件，但鏡像中的文件并不會(huì)做更改。

四. 聯(lián)合文件系統(tǒng)?

關(guān)于鏡像與容器功能的實(shí)現(xiàn)，依賴其使用了聯(lián)合文件系統(tǒng)（UnionFS）技術(shù)，這是一種分層、輕量級(jí)并且高性能的文件系統(tǒng)。Docker 目前支持的聯(lián)合文件系統(tǒng)包括 ??OverlayFS???, ??AUFS???, ??VFS??? ??Device Mapper等??，而默認(rèn)的存儲(chǔ)驅(qū)動(dòng)為Overlay2。

到此這篇關(guān)于Docker容器實(shí)戰(zhàn)之鏡像與容器的工作原理的文章就介紹到這了,更多相關(guān)Docker 鏡像與容器內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論