玩坏Docker(二):base镜像+分层结构

base镜像

FROM scratch：镜像是从白手起家，从0开始构建
COPY hello/:将文件的“hello"复制到镜像的根目录
ADD centos-7-docker.tar.gz/ :添加到镜像的tar包就是centosde rootfs。在制作镜像的时候，这个tar包会自动解压到/目录下，生成/dev,/proc/,/bin等目录
CMD ["/hello"]:容器启动时，执行/hello.

base镜像：
1）不依赖与其他镜像，从scratch构建
2）其他镜像可以以之为基础进行扩展
Linux操作系统是由内核（Kernel)空间和用户（rootfs)空间组成。Linux刚启动的时候会加载bootfs文件系统(/dev,/bin,/proc)，之后bootfs会被卸载。对于base镜像来说，底层直接用Host（宿主机）的kernel（所有容器都共用Host的kernel），自己只需要提供rootfs就可以。

镜像分层

Docker 支持通过扩展现有镜像，创建新的镜像。

实际上，Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。比如我们现在构建一个新的镜像，Dockerfile 如下：

FROM debian  #基于debian base镜像构建
RUN apt-get install emacs  #安装emacs
RUN apt-get install apache2  #安装apache2
CMD ["/bin/bash"]   #容器启动时候运行bash

构建过程如下所示：
可以看到，新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件，就在现有镜像的基础上增加一层。

为什么 Docker 镜像要采用这种分层结构呢？

最大的一个好处就是 - 共享资源。

比如：有多个镜像都从相同的 base 镜像构建而来，那么 Docker Host 只需在磁盘上保存一份 base 镜像；同时内存中也只需加载一份 base 镜像，就可以为所有容器服务了。而且镜像的每一层都可以被共享，我们将在后面更深入地讨论这个特性。

可写的容器层

当容器启动时，一个新的可写层被加载到镜像的顶部。
这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。
所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。

只有容器层是可写的，容器层下面的所有镜像层都是只读的。

下面我们深入讨论容器层的细节。

镜像层数量可能会很多，所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件，比如 /a，上层的 /a 会覆盖下层的 /a，也就是说用户只能访问到上层中的文件 /a。在容器层中，用户看到的是一个叠加之后的文件系统。

添加文件
在容器中创建文件时，新文件被添加到容器层中。

读取文件 
在容器中读取某个文件时，Docker 会从上往下依次在各镜像层中查找此文件。一旦找到，打开并读入内存。

修改文件 
在容器中修改已存在的文件时，Docker 会从上往下依次在各镜像层中查找此文件。一旦找到，立即将其复制到容器层，然后修改之。

删除文件 
在容器中删除文件时，Docker 也是从上往下依次在镜像层中查找此文件。找到后，会在容器层中记录下此删除操作。

只有当需要修改时才复制一份数据，这种特性被称作 Copy-on-Write。可见，容器层保存的是镜像变化的部分，不会对镜像本身进行任何修改。

这样就解释了我们前面提出的问题：容器层记录对镜像的修改，所有镜像层都是只读的，不会被容器修改，所以镜像可以被多个容器共享。