Dockerfile、Docker鏡像和容器的關系是什么

這篇文章主要介紹“Dockerfile、Docker鏡像和容器的關系是什么”，在日常操作中，相信很多人在Dockerfile、Docker鏡像和容器的關系是什么問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”Dockerfile、Docker鏡像和容器的關系是什么”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

Dockerfile、Docker鏡像和Docker容器的關系

Dockerfile 是軟件的原材料，Docker 鏡像是軟件的交付品，而 Docker 容器則可以認為是軟件的運行態(tài)。從應用軟件的角度來看，Dockerfile、Docker 鏡像與 Docker 容器分別代表軟件的三個不同階段，Dockerfile 面向開發(fā)，Docker 鏡像成為交付標準，Docker 容器則涉及部署與運維，三者缺一不可，合力充當 Docker 體系的基石。

簡單來講，Dockerfile構(gòu)建出Docker鏡像，通過Docker鏡像運行Docker容器。

我們可以從Docker容器的角度，來反推三者的關系。首先可以來看下圖：

我們假設這個容器的鏡像通過以下Dockerfile構(gòu)建而得：

FROM ubuntu:14.04  

ADD run.sh /  

VOLUME /data  

CMD ["./run.sh"]

1 Dockerfile與Docker鏡像

首先，我們結(jié)合上圖來看看Dockerfile與Docker鏡像之間的關系。

FROM ubuntu:14.04：設置基礎鏡像，此時會使用基礎鏡像 ubuntu:14.04 的所有鏡像層，為簡單起見，圖中將其作為一個整體展示。

ADD run.sh /：將 Dockerfile 所在目錄的文件 run.sh 加至鏡像的根目錄，此時新一層的鏡像只有一項內(nèi)容，即根目錄下的 run.sh。

VOLUME /data：設定鏡像的 VOLUME，此 VOLUME 在容器內(nèi)部的路徑為 /data。需要注意的是，此時并未在新一層的鏡像中添加任何文件，即構(gòu)建出的磁層鏡像中文件為空，但更新了鏡像的 json 文件，以便通過此鏡像啟動容器時獲取這方面的信息。

CMD ["./run.sh"]：設置鏡像的默認執(zhí)行入口，此命令同樣不會在新建鏡像中添加任何文件，僅僅在上一層鏡像 json 文件的基礎上更新新建鏡像的 json 文件。

因此，通過以上分析，以上的Dockerfile可以構(gòu)建出一個新的鏡像，包含4個鏡像層，每一條命令會和一個鏡像層對應，鏡像之間會存在父子關系。圖中很清楚的表明了這些關系。

2 Docker鏡像與Docker容器的關系

Docker鏡像是Docker容器運行的基礎，沒有Docker鏡像，就不可能有Docker容器，這也是Docker的設計原則之一。

可以理解的是：Docker鏡像畢竟是鏡像，屬于靜態(tài)的內(nèi)容；而Docker容器就不一樣了，容器屬于動態(tài)的內(nèi)容。動態(tài)的內(nèi)容，大家很容易聯(lián)想到進程，內(nèi)存，CPU等之類的東西。的確，Docker容器作為動態(tài)的內(nèi)容，都會包含這些。

為了便于理解，大家可以把Docker容器，理解為一個或多個運行進程，而這些運行進程將占有相應的內(nèi)存，相應的CPU計算資源，相應的虛擬網(wǎng)絡設備以及相應的文件系統(tǒng)資源。而Docker容器所占用的文件系統(tǒng)資源，則通過Docker鏡像的鏡像層文件來提供。

那么作為靜態(tài)的鏡像，如何才有能力轉(zhuǎn)化為一個動態(tài)的Docker容器呢？此時，我們可以想象：第一，轉(zhuǎn)化的依據(jù)是什么；第二，由誰來執(zhí)行這個轉(zhuǎn)化操作。

其實，轉(zhuǎn)化的依據(jù)是每個鏡像的json文件，Docker可以通過解析Docker鏡像的json的文件，獲知應該在這個鏡像之上運行什么樣的進程，應該為進程配置怎么樣的環(huán)境變量，此時也就實現(xiàn)了靜態(tài)向動態(tài)的轉(zhuǎn)變。

誰來執(zhí)行這個轉(zhuǎn)化工作？答案是Docker守護進程。也許大家早就理解這樣一句 話：Docker容器實質(zhì)上就是一個或者多個進程，而容器的父進程就是Docker守護進程。這樣的，轉(zhuǎn)化工作的執(zhí)行就不難理解了：Docker守護進程 手握Docker鏡像的json文件，為容器配置相應的環(huán)境，并真正運行Docker鏡像所指定的進程，完成Docker容器的真正創(chuàng)建。

Docker容器運行起來之后，Docker鏡像json文件就失去作用了。此時Docker鏡像的絕大部分作用就是：為Docker容器提供一個文件系統(tǒng)的視角，供容器內(nèi)部的進程訪問文件資源。

再次回到上圖，我們再來看看容器和鏡像之間的一些特殊關系。首先，之前已經(jīng)提及Docker鏡像是分層管理的，管理Docker容器的時候，Docker鏡像仍然是分層管理的。由于此時動態(tài)的容器中已經(jīng)存在進程，進程就會對文件系統(tǒng)視角內(nèi)的文件進行讀寫操作，因此，就會涉及一個問題：容器是否會篡改Docker鏡像的內(nèi)容？

答案自然是不會的。統(tǒng)一來講，正如上圖，所有的Docker鏡像層對于容器來說，都是只讀的，容器對于文件的寫操作絕對不會作用在鏡像中。

既然如此，實現(xiàn)的原理就很重要，究其根本：Docker守護進程會在Docker鏡像的 最上層之上，再添加一個可讀寫層，容器所有的寫操作都會作用到這一層中。而如果Docker容器需要寫底層Docker鏡像中的文件，那么此時就會涉及一 個叫Copy－on－Write的機制，即aufs等聯(lián)合文件系統(tǒng)保證：首先將此文件從Docker鏡像層中拷貝至最上層的可讀寫層，然后容器進程再對讀 寫層中的副本進行寫操縱。對于容器進程來講，它只能看到最上層的文件。

那最后我們再來說說：Docker容器的文件系統(tǒng)視角中，到底是不是存在一些內(nèi)容，不是存儲于Docker鏡像中的？

這次的答案依舊是肯定的。

再次重申一點，Docker鏡像中存儲的都是一些靜態(tài)文件。這些文件原則上應該和容器具體信息以及主機信息完全解藕。那么Docker容器中不存在Docker鏡像中的內(nèi)容主要有以下幾點：

1./proc以及/sys等虛擬文件系統(tǒng)的內(nèi)容

2.容器的hosts文件，hostname文件以及resolv.conf文件，這些事具體環(huán)境的信息，原則上的確不應該被打入鏡像。

3.容器的Volume路徑，這部分的視角來源于從宿主機上掛載到容器內(nèi)部的路徑

4.部分的設備文件

到此，關于“Dockerfile、Docker鏡像和容器的關系是什么”的學習就結(jié)束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續(xù)學習更多相關知識，請繼續(xù)關注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>