在学习使用docker过程中会遇到镜像和容器,两者之间的区别是什么?有什么关联?
一、什么是镜像?
1.1 Image Layer(镜像层)
镜像可以看成是由多个镜像层叠加起来的一个文件系统(通过UnionFS与AUFS文件联合实现),镜像层也可以简单理解为一个基本的镜像,而每个镜像层之间通过指针的形式进行叠加。
根据上图,镜像层的主要组成部分包括镜像层ID、镜像层指针「指向父层」、元数据「Layer Metadata,包含了Docker构建和运行的信息和父层的层次信息」。只读层和读写层「Top Layer」的组成基本一致,同时读写层可以转换成只读层「通过docker commit 操作实现」。
元数据就是关于这个层的额外信息,它不仅能够让Docker获取运行和构建时的信息,还包括父层的层次信息。需要注意,只读层和读写层都包含元数据。
每一层都包括了一个指向父层的指针。如果一个曾没有这个指针,说明它处于最底层。
Metadata Location:
在docker主机中镜像层(image Layer)的元数据内被保存在名为“json”的文件中,比如说:
/var/lib/docker/graph/e809f156dc985.../json ##e809f156dc985...就是这层的id
一个容器的元数据好像是被分成了很多文件,但或多或少能够在/var/lib/docker/containers/<id>目录下找到,<id>就是一个可读层的id。这个目录下的文件大多是运行时的数据,比如说网络,日志等等。
1.2 Image(镜像,只读层的集合)
镜像是一堆只读层的统一视角,除了最底层没有指向外,每一层都指向它的父层。统一文件系统(Union File System)技术能够将不同的层整合成一个文件系统,为这些层提供了一个统一的视角,这样就隐藏了多层的存在。在用户的角度看来,只存在一个文件系统。镜像每一层都是不可写的,都是只读层。
我们可以看到镜像包含多个只读层,它们重叠在一起。除了最下面一层,其他层都会有一个指针指向下一层。这些层是Docker内部实现的细节,并且能够在docker主机的文件系统上访问到。
统一文件系统(union file system,升级版为AUFS)技术能够将不同的层整合成一个文件系统,为这些层提供了一个统一的视角,这样就隐藏了多层的存在,在用户的角度看来,只存在一个文件系统。我们可以在图片的右边看到这个视角的形式。
你可以在你的主机文件系统上找到有关这些层的文件。需要注意的是,在一个运行中的容器内部,这些层是不可见的。在我的主机上,我发现它们存在于/var/lib/docker/aufs目录下。
sudo tree -L 1 /var/lib/docker/
/var/lib/docker/
├── aufs
├── containers
├── graph
├── init
├── linkgraph.db
├── repositories-aufs
├── tmp
├── trust
二、什么是容器?
2.1 Container(容器,一层读写层+多层只读层)
容器(container)的定义和镜像(image)几乎一模一样,也是一堆层的统一视角,唯一区别在于容器的最上面那一层是可读可写的。要点:容器 = 镜像 + 读写层,并且容器的定义并没有提及是否要运行容器。
2.2 Running Container(运行态容器,一层读写层+多层只读层+隔离的进程空间和包含其中的进程)
运行状态的容器「Running Container」是由一个可读写的文件系统「静态容器」+隔离的进程空间和其中的进程构成的。下面这张图片展示了一个运行中的容器。
正是文件隔离技术使得Docker成为了一个前途无量的技术。一个容器中的进程可能会对文件进行删除,修改,创建,这些改变都将作为可读写层(read-write layer)。下面这张图展示了这个行为。
我们可以通过运行以下命令来验证我们上面👆所说的:
docker run ubuntu touch happiness.txt
即便是这个ubuntu容器不再运行,我们依旧能否在主机的文件系统上找到这个新文件。
find / -name happiness.txt
/var/lib/docker/aufs/diff/860a7b...889/happiness.txt
三、总结
通过上述内容,我们已经详细介绍了镜像与容器的区别,镜像由一层层只读层堆在一起,容器为镜像只读层+读写层,运行态容器由一个可读写的文件系统「静态容器」+隔离的进程空间和其中的进程构成。
