10張圖帶你深入理解Docker容器和鏡像

這篇文章希望能夠幫助讀者深入理解Docker的命令，還有容器（container）和鏡像（image）之間的區(qū)別，并深入探討容器和運行中的容器之間的區(qū)別。

當我對Docker技術(shù)還是一知半解的時候，我發(fā)現(xiàn)理解Docker的命令非常困難。于是，我花了幾周的時間來學習Docker的工作原理，更確切地說，是關于Docker統(tǒng)一文件系統(tǒng)（the union file system）的知識，然后回過頭來再看Docker的命令，一切變得順理成章，簡單極了。

題外話：就我個人而言，掌握一門技術(shù)并合理使用它的最好辦法就是深入理解這項技術(shù)背后的工作原理。通常情況下，一項新技術(shù)的誕生常常會伴隨著媒體的大肆宣傳和炒作，這使得用戶很難看清技術(shù)的本質(zhì)。更確切地說，新技術(shù)總是會發(fā)明一些新的術(shù)語或者隱喻詞來幫助宣傳，這在初期是非常有幫助的，但是這給技術(shù)的原理蒙上了一層砂紙，不利于用戶在后期掌握技術(shù)的真諦。

Git就是一個很好的例子。我之前不能夠很好的使用Git，于是我花了一段時間去學習Git的原理，直到這時，我才真正明白了Git的用法。我堅信只有真正理解Git內(nèi)部原理的人才能夠掌握這個工具。

Image Definition

鏡像（Image）就是一堆只讀層（read-only layer）的統(tǒng)一視角，也許這個定義有些難以理解，下面的這張圖能夠幫助讀者理解鏡像的定義。

從左邊我們看到了多個只讀層，它們重疊在一起。除了最下面一層，其它層都會有一個指針指向下一層。這些層是Docker內(nèi)部的實現(xiàn)細節(jié)，并且能夠在主機（譯者注：運行Docker的機器）的文件系統(tǒng)上訪問到。統(tǒng)一文件系統(tǒng)（union file system）技術(shù)能夠?qū)⒉煌膶诱铣梢粋€文件系統(tǒng)，為這些層提供了一個統(tǒng)一的視角，這樣就隱藏了多層的存在，在用戶的角度看來，只存在一個文件系統(tǒng)。我們可以在圖片的右邊看到這個視角的形式。

你可以在你的主機文件系統(tǒng)上找到有關這些層的文件。需要注意的是，在一個運行中的容器內(nèi)部，這些層是不可見的。在我的主機上，我發(fā)現(xiàn)它們存在于/var/lib/docker/aufs目錄下。

sudo?tree?-L?1?/var/lib/docker/
/var/lib/docker/├──?aufs├──?containers├──?graph├──?init├──?linkgraph.db├──?repositories-aufs├──?tmp├──?trust└──?volumes7?directories,?2?files

Container Definition

容器（container）的定義和鏡像（image）幾乎一模一樣，也是一堆層的統(tǒng)一視角，唯一區(qū)別在于容器的最上面那一層是可讀可寫的。

細心的讀者可能會發(fā)現(xiàn)，容器的定義并沒有提及容器是否在運行，沒錯，這是故意的。正是這個發(fā)現(xiàn)幫助我理解了很多困惑。

要點：容器 = 鏡像 + 讀寫層。并且容器的定義并沒有提及是否要運行容器。

接下來，我們將會討論運行態(tài)容器。

Running Container Definition

一個運行態(tài)容器（running container）被定義為一個可讀寫的統(tǒng)一文件系統(tǒng)加上隔離的進程空間和包含其中的進程。下面這張圖片展示了一個運行中的容器。

正是文件系統(tǒng)隔離技術(shù)使得Docker成為了一個前途無量的技術(shù)。一個容器中的進程可能會對文件進行修改、刪除、創(chuàng)建，這些改變都將作用于可讀寫層（read-write layer）。下面這張圖展示了這個行為。

我們可以通過運行以下命令來驗證我們上面所說的：

docker?run?ubuntu?touch?happiness.txt

即便是這個ubuntu容器不再運行，我們依舊能夠在主機的文件系統(tǒng)上找到這個新文件。

find?/?-name?happiness.txt
/var/lib/docker/aufs/diff/860a7b...889/happiness.txt

Image Layer Definition

為了將零星的數(shù)據(jù)整合起來，我們提出了鏡像層（image layer）這個概念。下面的這張圖描述了一個鏡像層，通過圖片我們能夠發(fā)現(xiàn)一個層并不僅僅包含文件系統(tǒng)的改變，它還能包含了其他重要信息。

元數(shù)據(jù)（metadata）就是關于這個層的額外信息，它不僅能夠讓Docker獲取運行和構(gòu)建時的信息，還包括父層的層次信息。需要注意，只讀層和讀寫層都包含元數(shù)據(jù)。

除此之外，每一層都包括了一個指向父層的指針。如果一個層沒有這個指針，說明它處于最底層。

Metadata Location:

我發(fā)現(xiàn)在我自己的主機上，鏡像層（image layer）的元數(shù)據(jù)被保存在名為”json”的文件中，比如說：

/var/lib/docker/graph/e809f156dc985.../json

e809f156dc985...就是這層的id

一個容器的元數(shù)據(jù)好像是被分成了很多文件，但或多或少能夠在/var/lib/docker/containers/<id>目錄下找到，<id>就是一個可讀層的id。這個目錄下的文件大多是運行時的數(shù)據(jù)，比如說網(wǎng)絡，日志等等。

全局理解（Tying It All Together）

現(xiàn)在，讓我們結(jié)合上面提到的實現(xiàn)細節(jié)來理解Docker的命令。

docker create <image-id>

docker create 命令為指定的鏡像（image）添加了一個可讀寫層，構(gòu)成了一個新的容器。注意，這個容器并沒有運行。

docker start <container-id>

Docker start命令為容器文件系統(tǒng)創(chuàng)建了一個進程隔離空間。注意，每一個容器只能夠有一個進程隔離空間。

docker run <image-id>

看到這個命令，讀者通常會有一個疑問：docker start 和 docker run命令有什么區(qū)別。

從圖片可以看出，docker run 命令先是利用鏡像創(chuàng)建了一個容器，然后運行這個容器。這個命令非常的方便，并且隱藏了兩個命令的細節(jié)，但從另一方面來看，這容易讓用戶產(chǎn)生誤解。

題外話：繼續(xù)我們之前有關于Git的話題，我認為docker run命令類似于git pull命令。git pull命令就是git fetch 和 git merge兩個命令的組合，同樣的，docker run就是docker create和docker start兩個命令的組合。

docker ps

docker ps 命令會列出所有運行中的容器。這隱藏了非運行態(tài)容器的存在，如果想要找出這些容器，我們需要使用下面這個命令。

docker ps –a

docker ps –a命令會列出所有的容器，不管是運行的，還是停止的。

docker images

docker images命令會列出了所有頂層（top-level）鏡像。實際上，在這里我們沒有辦法區(qū)分一個鏡像和一個只讀層，所以我們提出了top-level鏡像。只有創(chuàng)建容器時使用的鏡像或者是直接pull下來的鏡像能被稱為頂層（top-level）鏡像，并且每一個頂層鏡像下面都隱藏了多個鏡像層。

docker images –a

docker images –a命令列出了所有的鏡像，也可以說是列出了所有的可讀層。如果你想要查看某一個image-id下的所有層，可以使用docker history來查看。

docker stop <container-id>

docker stop命令會向運行中的容器發(fā)送一個SIGTERM的信號，然后停止所有的進程。

docker kill <container-id>

docker kill 命令向所有運行在容器中的進程發(fā)送了一個不友好的SIGKILL信號。

docker pause <container-id>

docker stop和docker kill命令會發(fā)送UNIX的信號給運行中的進程，docker pause命令則不一樣，它利用了cgroups的特性將運行中的進程空間暫停。具體的內(nèi)部原理你可以在這里找到：https://www.kernel.org/doc/Doc ... m.txt，但是這種方式的不足之處在于發(fā)送一個SIGTSTP信號對于進程來說不夠簡單易懂，以至于不能夠讓所有進程暫停。

docker rm <container-id>

docker rm命令會移除構(gòu)成容器的可讀寫層。注意，這個命令只能對非運行態(tài)容器執(zhí)行。

docker rmi <image-id>

docker rmi 命令會移除構(gòu)成鏡像的一個只讀層。你只能夠使用docker rmi來移除最頂層（top level layer）（也可以說是鏡像），你也可以使用-f參數(shù)來強制刪除中間的只讀層。

docker commit <container-id>

docker commit命令將容器的可讀寫層轉(zhuǎn)換為一個只讀層，這樣就把一個容器轉(zhuǎn)換成了不可變的鏡像。

docker build

docker build命令非常有趣，它會反復的執(zhí)行多個命令。

我們從上圖可以看到，build命令根據(jù)Dockerfile文件中的FROM指令獲取到鏡像，然后重復地1）run（create和start）、2）修改、3）commit。在循環(huán)中的每一步都會生成一個新的層，因此許多新的層會被創(chuàng)建。

docker exec <running-container-id>

docker exec 命令會在運行中的容器執(zhí)行一個新進程。

docker inspect <container-id> or <image-id>

docker inspect命令會提取出容器或者鏡像最頂層的元數(shù)據(jù)。

docker save <image-id>

docker save命令會創(chuàng)建一個鏡像的壓縮文件，這個文件能夠在另外一個主機的Docker上使用。和export命令不同，這個命令為每一個層都保存了它們的元數(shù)據(jù)。這個命令只能對鏡像生效。

docker export <container-id>

docker export命令創(chuàng)建一個tar文件，并且移除了元數(shù)據(jù)和不必要的層，將多個層整合成了一個層，只保存了當前統(tǒng)一視角看到的內(nèi)容（譯者注：expoxt后的容器再import到Docker中，通過docker images –tree命令只能看到一個鏡像；而save后的鏡像則不同，它能夠看到這個鏡像的歷史鏡像）。

docker history <image-id>

docker history命令遞歸地輸出指定鏡像的歷史鏡像。