Docker基本概念

1、Docker镜像（特殊文件系统）

操作系统分为内核和用户空间。对于 Linux 而言，内核启动后，会挂载 root 文件系统为其提供用户空间支持。而 Docker 镜像（Image）可以理解就是一个 root 文件系统。
Docker 镜像是一个特殊的文件系统，提供容器运行时所需的程序、库、资源、配置等文件以及为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）。
镜像不包含任何动态数据，其内容构建后不能改变。
Docker 设计时，就充分利用 Union FS 的技术，将其设计为分层存储架构。 镜像实际是由多层文件系统联合组成。镜像构建时，会一层层构建，前一层是后一层的基础。每一层构建完就不会再发生改变，后一层上的任何改变只发生在当前层。比如，删除前一层文件的操作，实际不是真的删除前一层的文件，而是仅在当前层标记为该文件已删除。
在最终容器运行的时候，虽然不会看到这个文件，但是实际上该文件会一直跟随镜像。因此，在构建镜像的时候，需要额外小心，每一层尽量只包含该层需要添加的东西，任何额外的东西应该在该层构建结束前清理掉。
分层存储的特征使镜像的复用、定制变的更为容易。甚至可以用之前构建好的镜像作为基础层，然后进一步添加新的层，以定制自己所需的内容，构建新的镜像。

2、Docker容器（镜像运行实体）

Docker 利用容器运行应用，可以被创建、启动、停止、删除、暂停等 。
镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。
容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的命名空间。容器与镜像一样，也是分层存储。
容器存储层的生存周期和容器一样，容器消亡时，容器存储层也随之消亡。因此，任何保存于容器存储层的信息都会随容器删除而丢失。
docker 最佳实践要求，不向存储层写入任何数据，存储层要保持无状态化，因此要实现数据持久化，有两种方法：①使用数据卷（volume）；②绑定宿主目录（挂载）
①挂载：将容器目录与宿主机目录进行挂载处理，跳过存储层直接对宿主机进行读写，性能和稳定性更高
②数据卷：数据卷生存周期独立于容器，容器亡，数据卷仍在

【注：容器在整个应用程序生命周期工作流中提供以下优点：隔离性、可移植性、灵活性、可伸缩性和可控性。 最重要的优点是可在开发和运营之间提供隔离】

3、Docker仓库（镜像文件存放）

镜像构建完成后，可以很容易的在当前宿主上运行，但是， 如果需要在其他服务器上使用这个镜像，我们就需要一个集中的存储、分发镜像的服务，Docker Registry 就是这样的服务。
一个 Docker Registry 中可以包含多个仓库（Repository）；每个仓库可以包含多个标签（Tag）；每个标签对应一个镜像。所以说，镜像仓库是 Docker 用来集中存放镜像文件的地方。
通常，一个仓库会包含同一个软件不同版本的镜像，而标签就常用于对应该软件的各个版本 。可以通过<仓库名>:<标签>格式指定具体是某软件某版本的镜像，如果不给出标签，将以latest作为默认标签。
仓库分为公开仓库（ Public）和私有仓库（ Private）两种形式，这里补充一下 Docker Registry 公有服务和 Docker Registry 私有服务的概念：
①公有服务：Docker Registry 公开服务是开放给用户使用、允许用户管理镜像的 Registry 服务。一般这类公开服务允许用户免费上传、下载公开的镜像，并可能提供收费服务供用户管理私有镜像。最常使用的是官方的 Docker Hub ，是默认的 Registry，拥有大量的高质量的官方镜像，网址为：hub.docker.com。在国内访问 Docker Hub 可能会比较慢，国内有一些云服务商提供类似于 Docker Hub 的公开服务。
②私有服务：用户可以在本地搭建私有 Docker Registry 。Docker 官方提供了 Docker Registry 镜像，可以直接使用作为私有 Registry 服务。开源的 Docker Registry 镜像只提供了 Docker Registry API 的服务端实现，足以支持 Docker 命令，不影响使用。不包含图形界面，以及镜像维护、用户管理、访问控制等高级功能，但可以通过 harbor 提供图形管理界面（后面会提及）。