前言
镜像就是图中的集装箱,仓库就是超级码头,容器就是我们运行程序的地方。
从联合文件系统说起
Union文件系统(UnionFS )是一种分层、轻量级并且高性能的文件系统。它支持对文件系统的修改作为一次提交来一层层的叠加,同时可以将不同目录挂载到同一个虚拟文件系统下。Docker的镜像实际上正是由这一层一层的文件系统组成,这种多层级的文件系统称为联合文件系统(UnionFS)。
特性︰一次可以同时加载多个文件系统,但从外面看起来,只能看到一个文件系统,联合加载会把各层文件系统叠加起来,这样最终的文件系统会包含所有底层的文件和目录。
根文件系统
bootfs主要包含 bootloader 和 kernel,其中 bootloader 主要用来加载和引导 kernel,Linux启动时会加载bootfs文件系统,而Docker镜像的最底层就是bootfs。当bootloader 将kernel完全载入内存后,bootfs会把内存的使用权转交给内核,并卸载bootfs。
根文件系统(rootfs ),它在bootfs之上。比如:Linux系统中“/”根目录下的的/dev, /proc, /bin, /etc等标准目录和文件。rootfs就是各种不同的操作系统发行版,比如Ubuntu , Centos等等。
一、什么是镜像
镜像是一个只读的文件模板,打包了应用程序和应用程序依赖的文件系统以及启动容器的配置文件,是启动容器的基础。镜像打包的内容就是容器运行的系统环境——rootfs(根文件系统)。
上图是镜像的存储格式,从下往上一层层的好像集装箱罗列在一起,这就是镜像最直观的存储方式。最下面是操作系统的引导,上面是linux操作系统,再上面是一些相关的软件,如tomcat、Apache等,再往上是应用代码。
注意:docker镜像系统的每一层都是只读的。每加载完一层,这一层对应的目录以及文件都会被放入同一个文件系统,上一层同名的目录以及文件会隐藏调下面的同名目录及文件,最终对外来看就是只有一个文件系统。
二、Docker镜像原理
2.1 分层构建
Docker镜像采用分层的方式构建,每个镜像都由一组镜像组合而成。每一层镜像层都可以被需要的镜像所引用,实现了镜像之间镜像层的共享。这使得在上传和下载镜像的过程中有效的减少了镜像传输的大小,在传输过程当中,本地或者注册中心只需要保存一份底层的基础镜像即可,真正被保存和下载的是用户构建的镜像层。构建过程中的镜像层会被缓存下来,后续如果是统一镜像层,会直接使用缓存加速构建过程。
2.2 写时复制
底层镜像在多个容器之间共享,每个容器在启动时不需要复制一份镜像文件,而是将所有需要的镜像层以只读的方式挂载到一个挂载点,在只读层上添加一层读写层。在容器运行过程中,产生的新文件或者被修改的文件会从底层复制到读写层进行修改,原来的文件会被隐藏。
2.3 联合挂载
Docker采用联合挂载技术(本质上就是联合文件系统,UnionFS),在同一个挂载点挂载多个文件系统,对外表现一个文件系统。
2.4 内容寻址
根据镜像层的内容计算校验和,根据校验和生成一个哈希值,并使用该值作为镜像层的ID。通过这个ID就能找个对应的镜像层。因为是基于内容的哈希值来索引镜像层,如果哈希值相同,表示内容相同,对于引用统一哈希值的镜像层,都可以用同一份镜像层。内容寻址提高了镜像的安全性,比如在:pull 、push 和 save、load操作后会检查数据的完整性。