Docker分层镜像

Docker镜像

镜像是一种轻量级、可执行的独立软件包，用来打包软件运行环境和基于运行环境开发的软件，他包含运行某个软件所需的所有内容，包括代码、运行时库、环境变量和配置文件。将所有的应用和环境直接打包为docker镜像，就可以直接运行。

Docker镜像的获取

• 从远程仓库下载
• 通过拷贝获取
• 自己制作一个镜像DockerFile

Docker镜像分层原则

• Dockerfile中的每个指令都会创建一个新的镜像层
• 镜像层将被缓存和服用
• 当Dockerfile的指令修改了，复制的文件变化了，或者构建镜像是指定的变量不同了，对应的镜像镜像层就会失效
• 某一层的镜像缓存失效后它之后的镜像层缓存都会失效
• 镜像层是不可变的，如果在某一层中添加一个文件，然后再下一层中删除，则镜像中依然会包含该文件

注意： （1）如上图所示，Docker镜像层都是只读的，容器层是可写的。当容器启动时，一个新的可写层被加载到镜像顶部，这一层通常被称作“容器层”，“容器层”之下的都叫做“镜像层”。 （2）对容器的所有更改（无论添加、删除、还是修改文件）都只会发生在容器层中。上图中只有透明的writable Container是暴露给用户的。

平时我们在虚拟机上安装Linux操作系统都是好几个G，为什么docker才200M左右呢？

docker是基于轻量级的虚拟化技术，它仅包含业务运行时所需的runtime环境，也就是只包含Linux基础镜像，所以docker才会只有200M左右。

Docker镜像分层结构

首先介绍一下UnionFs （联合文件系统）

我们下载的时候看到分层的下载就是联合文件系统。是一种分层、轻量级并且高性能的文件系统，他支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。Union文件系统是Docker镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。

特性：一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

1.（内核层）：由AUFS，LXC，Bootfs（boot file system）组成为上层的镜像提供kernel内核支持

• AUFS是一个联合文件系统，它使用同一个Linux host上的多个目录，逐个堆叠起来，对外呈现出一个统一的文件系统。AUFS使用该特性，实现了Docker镜像的分层 分层的思想
• bootfs：负责与内核交互 主要是引导加载kernel，linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层时bootfs，这一层与经典的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成之后整个内核就都在内存中了，此时内存的使用权已由bootfs转交给内核，此时系统就会卸载bootfs
• rootfs（root file system）属于base images 在bootfs之上（base images）比如在linux系统中包含/dev，/proc，/bin，/etc等标准目录和文件，包含创建、启动操作系统的一些必要的组件，rootfs就是各个不同的操作系统的发行版本，比如Ubuntu，CentOS等等
• lxc早期的内核引擎与docker引擎对接交互，docker提供一些库文件和引导文件。现在docker自身内置了所需要的lib库

1. base image（基础/系统镜像层）：构建镜像运行的操作系统环境
2. add image（run指令运行的镜像层）：比如nginx镜像的yum安装模块，或者nginx编译安装的指令，使用镜像封装每一个run执行命令
3. Container（可读写执行层）：将下面的镜像组合运行提供给docker client使用

总结：

1. docker镜像层位于bootfs之上
2. 每一层镜像成为base image/底包（操作系统环境变量）比如centos dbian
3. 容器层（可读可写），在最顶层。是docker server提供给docker client
4. 容器层以下都是readonly只读，docker将readonly的FS层成为image

Docker镜像加载原理

Docker的镜像是由一层一层的文件系统组成，也就是以UnionFS（联合文件系统）堆叠构成。

rootfs（root file system）包含的是典型Linux系统中的/dev、/proc、/bin、/etc等标准目录和文件，其实rootfs就是各种不同的操作系统发行版，比如Ubuntu、Centos等等。

bootfs（boot file system）主要包含bootloader和kernel、bootloader主要是引导加载kernel、Linux刚启动时候加载bootfs文件系统，在Docker镜像的最底层是引导文件系统bootfs。这一层与典型的Linux/Unix系统是一样的，包含boot加载器和内核。当boot加载完成后整个内核就在内存中了，内存的使用权由bootfs转交给内核，此时系统也会写在bootfs。至此，我们就比较容易理解docker容器其实就是一个简易版的Linux环境，它包含root用户权限、进程空间、用户空间和网络空间、以及运行在它上面的应用程序。

Docker镜像分层理解

所有的Docker镜像都起始于一个基础镜像层，当进行修改或增加新的内容时，就会在当前镜像层之上，创建新的镜像层。分层时有文件更新直接替换，基础镜像一样时直接拿过来复用。

如redis下载时，第一层相同，直接复用，其他几层分层下载。

afb6ec6fdc1c: Already exists 
608641ee4c3f: Pull complete 
668ab9e1f4bc: Pull complete 
78a12698914e: Pull complete 
d056855f4300: Pull complete 
618fdf7d0dec: Pull complete 

举一个简单的例子，假如基于 Ubuntu16.04创建一个新的镜像，这就是新镜像的第一层。如果在该镜像中添加Python包，就会在基础镜像层之上创建第二个镜像层。如果继续添加一个安全补丁，就会创健第三个镜像层该像当前已经包含3个镜像层，如下图所示（这只是一个用于演示的很简单的例子）。

在添加额外的镜像层的同时，镜像始终保持是当前所有镜像的组合。一个简单的例子，每个镜像层包含3个文件，而镜像包含了来自两个镜像层的6个文件。

下图中展示了一个稍微复杂的三层镜像，在外部看来整个镜像只有6个文件，这是因为最上层中的文件7是文件5的一个更新版。上层镜像层中的文件覆盖了底层镜像层中的文件。这样就使得文件的更新版本作为一个新镜像层添加到镜像当中。

所有镜像层堆并合井，对外提供统一的视图。

Docker镜像都是只读的，当容器启动时，一个新的可写层加载到镜像的顶部。这一层就是我们通常说的容器层，容器之下的都叫镜像层。

Docker采用镜像分层的好处

镜像分层最大的好处：资源共享，方便复制迁移，容易实现资源复用。

比如说多个镜像从相同的base镜像构建而来，那么Docker Host只需在磁盘上保存一份base镜像；同时内存中只需要加载一份base镜像，就可以为所有容器提供服务了，更有趣的是镜像的每一层都可以被共享。

更轻量：

• 镜像大小：所需空间更小
• 部署：更有利于大规模部署

更高效：

• 计算：轻量、无需额外开销
• 存储：系统盘aufs/dm/overlayfs；数据盘olume
• 网络：宿主机网络，NS隔离

更敏捷、更灵活：

• 分层的存储和包管理，devops理念；
• 支持多网络配置