Docker镜像加载原理

镜像是什么

镜像是一种轻量级、可执行的独立软件包，用来打包软件运行环境和基于运行环境的软件，它包含某个软件所需的所有内容，包括代码、运行时库、环境变量、配置文件等。

所有的应用，直接打包docker镜像，不需要运维再去部署环境，可以直接跑起来。

如何得到镜像？

1.远程仓库下载
2.拷贝
3.自己制作镜像DockerFile

Docker镜像加载原理

联合文件系统：UnionFS

联合文件系统（UnionFS）是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。
联合文件系统是 Docker 镜像的基础。镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的应用镜像。

特性：
一次同时加载多个文件系统，但从外面看来，只能看到一个文件系统，联合加载会把各层文件系统叠加起来，这样最终的文件系统会包含所有底层的文件和目录。

docker镜像结构详细描述

Linux 文件系统结构：

典型的 Linux 文件系统由 bootfs 和 rootfs 两部分组成。bootfs(boot file system) 主要包含 bootloader 和 kernel，bootloader 主要是引导加载 kernel(内核)，当 kernel 被加载到内存中后 bootfs 就被 umount (卸载)了。

rootfs (root file system) 包含的就是典型 Linux 系统中的 /dev，/proc，/bin，/etc 等标准目录和文件。rootfs就是各种Linux发行版。比如redcat、centOS。

docker镜像结构：

Docker 容器是建立在 Aufs 基础上的，Aufs（以前称之为Another Union FS，后来绝不不够高大上，更名为Advanced Union FS）是一种Union FS， 简单来说就是支持将不同的目录挂载到同一个虚拟文件系统下，并实现一种 layer 的概念。Aufs 将挂载到同一虚拟文件系统下的多个目录分别设置成 read-only，read-write 以及 whiteout-able 权限，对 read-only 目录只能读，而写操作只能实施在 read-write 目录中。重点在于，写操作是在 read-only 上的一种增量操作，不影响 read-only 目录。当挂载目录的时候要严格按照各目录之间的这种增量关系，将被增量操作的目录优先于在它基础上增量操作的目录挂载，待所有目录挂载结束了，继续挂载一个 read-write 目录，如此便形成了一种层次结构。

Docker 镜像的典型结构如图。传统的 Linux 加载 bootfs 时会先将 rootfs 设为 read-only，然后在系统自检之后将 rootfs 从 read-only 改为 read-write，然后我们就可以在 rootfs 上进行写和读的操作了。但 Docker 的镜像却不是这样，它在 bootfs 自检完毕之后并不会把 rootfs 的 read-only 改为 read-write。而是利用 union mount（UnionFS 的一种挂载机制）将一个或多个 read-only 的 rootfs 加载到之前的 read-only 的 rootfs 层之上。在加载了这么多层的 rootfs 之后，仍然让它看起来只像是一个文件系统，在 Docker 的体系里把 union mount 的这些 read-only 的 rootfs 叫做 Docker 的镜像。但是，此时的每一层 rootfs 都是 read-only 的，我们此时还不能对其进行操作。当我们创建一个容器，也就是将 Docker 镜像进行实例化，系统会在一层或是多层 read-only 的 rootfs 之上分配一层空的 read-write 的 rootfs。

总结：

对于一个精简的OS，rootfs可以很小，只需要包含基本的命令，工具和程序库就可以，因为底层直接用host的kernel(主机的内核)，自己只需要提供rootfs即可。
由此可见，Linux的不同发行版本，bootfs基本是一致的，rootfs会有差别，因此不同发行版本可以共用bootfs。
bootfs和内核的连接启动是很慢的，这也解释了，为什么虚拟机启动是分钟级别(就像启动电脑要开机，开机很慢)，而镜像启动是秒级的(电脑已经开机，打开软件就可以)。

参考链接：https://www.infoq.cn/article/analysis-of-docker-file-system-aufs-and-devicemapper/