Docker 容器文件系統(tǒng)

Dockerfile是軟件的原材料，Docker鏡像是軟件的交付品，而Docker容器則可以認(rèn)為是軟件的運(yùn)行態(tài)。從應(yīng)用軟件的角度來看，Dockerfile、Docker鏡像與Docker容器分別代表軟件的三個(gè)不同階段，Dockerfile面向開發(fā)，Docker鏡像成為交付標(biāo)準(zhǔn)，Docker容器則涉及部署與運(yùn)維，三者缺一不可，合力充當(dāng)Docker體系的基石。

Docker鏡像

Docker鏡像是Dockerfile的產(chǎn)物，是Docker容器的前提，大有承前啟后之意。Docker技術(shù)發(fā)展兩年有余，相信大家很早就聽說過Docker大多采用聯(lián)合文件系統(tǒng)（Union Filesystem），為Docker容器提供文件系統(tǒng)服務(wù)。

關(guān)于Docker鏡像，有以下特性：

1. 由Dockerfile生成
2. 呈現(xiàn)層級結(jié)構(gòu)
3. 每層鏡像包含：鏡像文件以及鏡像json元數(shù)據(jù)信息

Docker容器

Docker容器是Docker鏡像的運(yùn)行態(tài)體現(xiàn)。概括而言，就是在Docker鏡像之上，運(yùn)行進(jìn)程。進(jìn)程啟動(dòng)的方式有兩種，用戶即可以選擇運(yùn)行自己另行指定的命令，也可以選擇運(yùn)行Docker鏡像內(nèi)部指定的命令。

Docker容器的文件系統(tǒng)，可以說大部分由Docker鏡像來提供。為什么說是大部分呢？其實(shí)是有原因的，鏡像內(nèi)容雖多，但依然不是全部。下面，我會帶大家看看，Docker鏡像中有什么，而Docker容器的哪些內(nèi)容不在Docker鏡像中。

Docker容器文件系統(tǒng)

那就讓我們一圖看盡Docker容器的文件系統(tǒng)：

上圖從一個(gè)較為全面的角度闡述了Dockerfile、Docker鏡像與Docker容器三者的關(guān)系。

Dockerfile體現(xiàn)

Docker容器已經(jīng)在運(yùn)行，但是追本溯源，我們依然可以找到Dockerfile的影子。上圖中，我們可以發(fā)現(xiàn)，Docker容器依附Docker鏡像，而Docker鏡像的Dockerfile是這樣的：

FROM ubuntu:14.04
ADD run.sh /
VOLUME /data
CMD ["./run.sh"]

我們可以看到，以上Dockerfile中的每一條命令，都在Docker鏡像中以一個(gè)獨(dú)立鏡像層的形式存在。

Docker鏡像體現(xiàn)

毫無疑問，Docker鏡像是由Dockerfile構(gòu)建而成，我們也可以看到圖中下4層被標(biāo)記為Docker鏡像。作為Docker技術(shù)的核心，我們必須了解Docker如何構(gòu)建鏡像，以及Docker鏡像構(gòu)建之后的產(chǎn)物是什么。

初次接觸Docker，了解層級管理的Docker鏡像之后，很容易就認(rèn)為：每一層Docker鏡像中都含有相應(yīng)的文件系統(tǒng)文件。其實(shí)不然，以上Dockerfile中的4條命令，則是一個(gè)很好的佐證。

FROM ubuntu:14.04 :設(shè)置基礎(chǔ)鏡像，此時(shí)會使用基礎(chǔ)鏡像ubuntu:14.04的所有鏡像層，為簡單起見，圖中將其作為一個(gè)整體展示。

ADD run.sh /:將Dockerfile所在目錄的文件run.sh加至鏡像的根目錄，此時(shí)新一層的鏡像只有一項(xiàng)內(nèi)容，即根目錄下的run.sh.

VOLUME /data:設(shè)定鏡像的VOLUME，此VOLUME在容器內(nèi)部的路徑為/data。需要注意的是，此時(shí)并未在新一層的鏡像中添加任何文件，但更新了鏡像的json文件，以便通過此鏡像啟動(dòng)容器時(shí)獲取這方面的信息。

CMD ["./run.sh"]:設(shè)置鏡像的默認(rèn)執(zhí)行入口，此命令同樣不會在新建鏡像中添加任何文件，僅僅在上一層鏡像json文件的基礎(chǔ)上更新新建鏡像的json文件。Docker容器體現(xiàn)

涉及到Docker容器，便是動(dòng)態(tài)的內(nèi)容，一切似乎都有了生命。上文曾提及，Docker容器的文件系統(tǒng)中不僅包含Docker鏡像。此言不虛，圖中的頂上兩層，就是Docker為Docker容器新建的內(nèi)容，而這兩層恰恰不屬于鏡像范疇。

這兩層分別為Docker容器的初始層(Init Layer)與可讀寫層(Read－Write Layer)，初始層中大多是初始化容器環(huán)境時(shí)，與容器相關(guān)的環(huán)境信息，如容器主機(jī)名，主機(jī)host信息以及域名服務(wù)文件等。

再來看可讀寫層，這一層的作用非常大，Docker的鏡像層以及頂上的兩層加起來，Docker容器內(nèi)的進(jìn)程只對可讀寫層擁有寫權(quán)限，其他層對進(jìn)程而言都是只讀的(Read-Only)。如AUFS等文件系統(tǒng)下，寫下層鏡像內(nèi)容即會涉及COW(Copy-on-Write)技術(shù)。另外，關(guān)于VOLUME以及容器的hosts、hostname、resolv.conf文件等都會掛載到這里。需要額外注意的是：雖然Docker容器有能力在可讀寫層看到VOLUME以及hosts文件等內(nèi)容，但那都僅僅是掛載點(diǎn)，真實(shí)內(nèi)容位于宿主機(jī)上。

總結(jié)

Docker鏡像屬靜態(tài)，Docker容器屬動(dòng)態(tài)，兩者之間有著千絲萬縷的關(guān)系。從Docker容器文件系統(tǒng)的角度來認(rèn)識兩者，我相信會對大家有很大的幫助。

Docker鏡像以及Docker容器文件系統(tǒng)，絕對是非常細(xì)致的內(nèi)容，基于這些概念，實(shí)在有太多有意思的話題可以展開，本系列后續(xù)會有以下多篇文章來分析：

1.深刻理解Docker鏡像大小

2.其實(shí)docker commit很簡單

3.不得不說的docker save與docker export區(qū)別

4.為什么有些容器文件動(dòng)不得

5.打破MNT Namespace的容器VOLUME

感謝閱讀，希望能幫助到大家，謝謝大家對本站的支持！