目录

参考文档：第八篇：Docker镜像结构原理_Linux运维开发的技术博客_51CTO博客

1、基础镜像 base

base 镜像有两层含义：

为什么我们的镜像文件比一般的软件小一些呢？

二、镜像的分层结构

问什么 Docker 镜像要采用这种分层结构呢？

这时可能就有人会问了：如果多个容器共享一份基础镜像，当某个容器修改了基础镜像的内容，比如 /etc 下的文件，这时其他容器的 /etc 是否也会被修改？

三、容器的可写层

镜像分层实验：

---

参考文档：第八篇：Docker镜像结构原理_Linux运维开发的技术博客_51CTO博客

镜像：是一个软件单元

镜像是各个不同的层组合而成的，镜像的分层思想

最底层是基础镜像 ， base image

1、基础镜像 base

base 镜像有两层含义：

1. 不依赖其他镜像，从 scratch 构建。
2. 其他镜像可以之为基础进行扩展。

为什么我们的镜像文件比一般的软件小一些呢？

原因是镜像里的系统使用的是宿主机的内核，因此比较小，而基础镜像里一般有操作系统的库、运行环境、依赖软件等

因此使用docker pull centos下载最新版本的Centos镜像也就207M左右，而我们平时下载一个原生的centos镜像都是4G，对于 Docker 初学者都会有这个疑问。

下面来了解下Linux 操作系统由内核空间和用户空间组成，如下图所示

rootfs
内核空间是 kernel，Linux 刚启动时会加载 bootfs 文件系统，之后 bootfs 会被卸载掉。
用户空间的文件系统是 rootfs，包含我们熟悉的 /dev, /proc, /bin 等目录。
对于 base 镜像来说，底层直接用 Host 的 kernel，自己只需要提供 rootfs 就行了。
而对于一个精简的 OS，rootfs 可以很小，只需要包括最基本的命令、工具和程序库就可以了。相比其他 Linux 发行版，CentOS 的 rootfs 已经算臃肿的了，alpine 还不到 10MB。
我们平时安装的 CentOS 除了 rootfs 还会选装很多软件、服务、图形桌面等，需要好几个 GB 就不足为奇了。

rootfs  --》是容器内部的操作系统，镜像里的操作系统提供的

不同的镜像里有rootfs，包含的东西不一样

rootfs 加载完成后，容器里形成一个封闭的环境，类似于一个操作系统

rootfs 通常包含了操作系统核心文件，例如 /bin、/sbin、/etc 等目录和一些配置文件、设备文件等。它刚好能够满足 Linux 启动所需的最小要求，并支持基本的系统管理工具，如 init、udev、mount 等。它包括操作系统所需的主要文件和目录，可以被挂载作为根文件系统使用。

bootfs --》 容器启动的时候需要的内容，是linux kernel 提供了bootfs

bootfs 可以理解为 Linux 系统启动时所需要的文件和目录所在的文件系统，通常包括操作系统内核、引导程序、设备驱动等。也就是说，bootfs 是启动过程中所需的基本文件和目录的集合。

需要注意的是，bootfs 和 rootfs 的概念并不相同，bootfs 只是一个启动过程中所需文件和目录的集合，而 rootfs 则是整个根文件系统的代表，包含了所有文件和目录。

Docker 可以同时支持多种 Linux 镜像，模拟出多种操作系统环境。 

比如 Ubuntu 14.04 使用 upstart 管理服务，apt 管理软件包；而 CentOS 7 使用 systemd 和 yum。这些都是用户空间上的区别，Linux kernel 差别不大。

容器只能使用 Host 的 kernel，并且不能修改。所有容器都共用 host 的 kernel，在容器中没办法对 kernel 升级。如果容器对 kernel 版本有要求（比如应用只能在某个 kernel 版本下运行），则不建议用容器，这种场景虚拟机可能更合适。

二、镜像的分层结构

Docker 支持通过扩展现有镜像，创建新的镜像。
实际上，Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。

比如我们现在构建一个新的镜像，Dockerfile 如下：

① 新镜像不再是从 scratch 开始，而是直接在 Debian base 镜像上构建。
② 安装 emacs 编辑器。
③ 安装 apache2。
④ 容器启动时运行 bash。

linux的开机启动流程：

        MBR --》GRUB --》 kernel --》systemd --》其他服务进程

kernel是宿主机的内核，加载一个容器，先加载kernel

        kernel --》bootfs --》加载镜像里rootfs --》容器里已经有一个操作系统 --》加载程序 --》容器成功启动好了

镜像的构建过程如图：

 

可以看到，新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件，就在现有镜像的基础上增加一层。 

问什么 Docker 镜像要采用这种分层结构呢？

最大的一个好处就是 - 共享资源。

比如：有多个镜像都从相同的 base 镜像构建而来，那么 Docker Host 只需在磁盘上保存一份 base 镜像；同时内存中也只需加载一份 base 镜像，就可以为所有容器服务了。而且镜像的每一层都可以被共享。

这时可能就有人会问了：如果多个容器共享一份基础镜像，当某个容器修改了基础镜像的内容，比如 /etc 下的文件，这时其他容器的 /etc 是否也会被修改？

答案：不会！因为修改会被限制在单个容器内

三、容器的可写层

当容器启动时，一个新的可写层被加载到镜像的顶部。
这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。

所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。
只有容器层是可写的，容器层下面的所有镜像层都是只读的。

下面我们深入讨论容器层的细节。
镜像层数量可能会很多，所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件，比如 /a，上层的 /a 会覆盖下层的 /a，也就是说用户只能访问到上层中的文件 /a。在容器层中，用户看到的是一个叠加之后的文件系统。

1.添加文件
在容器中创建文件时，新文件被添加到容器层中。
2. 读取文件
在容器中读取某个文件时，Docker 会从上往下依次在各镜像层中查找此文件。一旦找到，打开并读入内存。
3. 修改文件
在容器中修改已存在的文件时，Docker 会从上往下依次在各镜像层中查找此文件。一旦找到，立即将其复制到容器层，然后修改之。
4. 删除文件
在容器中删除文件时，Docker 也是从上往下依次在镜像层中查找此文件。找到后，会在容器层中记录下此删除操作。

只有当需要修改时才复制一份数据，这种特性被称作 Copy-on-Write。可见，容器层保存的是镜像变化的部分，不会对镜像本身进行任何修改。
这样就解释了我们前面提出的问题：容器层记录对镜像的修改，所有镜像层都是只读的，不会被容器修改，所以镜像可以被多个容器共享。

镜像分层实验：

撰写一个简单的镜像

[root@mysql mydocker]# vim Dockerfile
[root@mysql mydocker]# cat Dockerfile 
FROM centos:7
RUN yum install vim -y
RUN yum install net-tools tree -y
RUN mkdir /sc
RUN touch /sc/feng{1..10}.txt
RUN rm -rf /sc/feng1.txt
CMD ["/bin/bash"]
[root@mysql mydocker]# 

[root@mysql mydocker]# docker build -t sccentos:7.9 . 

 我们如何查看生成的镜像的层数呢，我们可以使用

docker images -a

我们创建一个容器调用这个镜像

但是这样运行的话，我们是放在后台运行 ，但是这样我们查看docker 进程的时候，并没有看到我创建的这个进程，原因是什么呢

 

因此我们不能在后端运行

如何让此容器一直运行呢，我们需要使用下如命令：

这样就能通过docker ps 查看到我们的容器了

下面我们将优化docker容器分层 

优化后Dockerfile文件

创建新的镜像 

[root@mysql mydocker]# docker build -t sccentos:8 . 

优化后的镜像可以看到明显的大小的区别

因此如何让你的镜像尽可能的小？

在镜像制作的过程中每执行一次RUN命令，镜像里就会多一些内容，镜像就会多大一些

镜像要加载到容器中去运行，一个容器对应一个进程，而进程是需要消耗cpu和内存的

因此我们在制作镜像的时候，我们需要避免使用多条RUN命令，可以使用&&符号代替