文件系统

docker 的镜像是由多个只读的文件系统叠加在一起形成的。每启动一个容器的时候,会加载只读层并在栈顶增加一个读写层。增删改查都是在读写层操作的。在docker中,只读层以及读写层称为联合文件系统。

base镜像

base镜像通常都是各种linux发行版本的镜像,比如ubuntu,centos等。

为什么docker的镜像体积小呢?

因为linux是由内核空间和用户空间组成的。内核空间是kernel,linux刚启动的时候会加载bootfs,之后bootfs被卸载掉。用户空间是rootfs,包含我们常用的var,bin等目录。

docker的base镜像会直接使用宿主机的kernel,自己只需要提供rootfs即可。并且rootfs只包含最基础的命令,工具和程序库即可。

镜像的分层结构

docker支持通过扩展当前镜像,创建新的镜像。99%的镜像都是通过在base镜像上安装和配置软件构造出来的。

为什么采用分层结构

最重要的原因是--共享资源。比如:有多个镜像都是从相同的base镜像加载的,那么docker只需要在磁盘上保存一次base镜像,同时内存也只需要加载一份。而且镜像的每一层都可以被共享。

容器的可写层(Copy-on-Write 类似java的写时复制,并发技术)

当容器启动时,一个新的可写层会加载到镜像的最顶层。所有的更改都是在可写层中。

镜像层的数量可能会很多,所有镜像层会联合在一起会组成一个统一的文件系统。如果不同层中都有一个相同路径的文件,比如/a,上层的/a会覆盖下层的/a,也就是用户只能访问到上层的/a。在容器层中,用户看到的是一个叠加之后的文件系统。

  1. 添加文件
    在容器中创建文件时,新文件被添加到容器层中。
  2. 读取文件
    在容器中读取某个文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,打开并读入内存。
  3. 修改文件
    在容器中修改已存在的文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。
  4. 删除文件
    在容器中删除文件时,Docker 也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。

只有当需要修改时才复制一份数据,这种特性被称作 Copy-on-Write。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。

这样就解释了我们前面提出的问题:容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。