Docker容器實戰之鏡像與容器的工作原理

Posted on by

一. bootfs和rootfs

通常而言,Linux的操作系統由兩類文件系統組成:bootfs(boot file system)和rootfs(root file system),它們分別對應著系統內核與根目錄文件。bootfs層主要為系統內核文件,這層的內容是無法修改的。當我們的系統在啟動時會加載bootfs,當加載完成後整個內核都會存到內存中,然後系統會將bootfs卸載掉。而rootfs層則包含瞭系統中常見的目錄和文件,如/bin,/etc,/proc等等。

Docker的鏡像技術可以使用宿主機的bootfs層,這使得鏡像本身隻需要封裝rootfs層所需要的文件和工具即可。因此,鏡像可以根據需要進行定制化封裝,減少占用的存儲空間,如部分極精簡的鏡像隻有幾MB大小。

在不同Linux發行版本中,它們之間的主要區別在於rootfs層,比如ubuntu使用apt管理軟件,而Centos使用yum方式。而在內核層面,兩者的差別並不大。因此,我們可以在一臺主機上同時支持不同Linux系統的鏡像而不出現報錯,如同時啟動Centos和Ubuntu的容器。

但需要註意的是,不管容器使用什麼系統的鏡像,實際的內核版本都與鏡像無關,都為宿主機的內核。如ubuntu16.04 的容器跑在Centos7.x的宿主機上,雖然ubuntu的內核版本是4.x.x,但我們在容器中會看到內核為centos 7.x 的內核,即 3.x.x。如果是對內核版本的要求的程序,可能會因此受到影響。

二. 鏡像結構

Docker鏡像采用分層的結構,由一些松耦合的隻讀層堆疊而成,並對外展示為一個統一的對象。所有的鏡像都開始於一個基礎的鏡像層,當我們進行修改或內容添加時,會在鏡像層上面創建新的一層。

最底層通常為基礎層鏡像,然後再層層疊加上來,比如安裝一個Python軟件,此時會在基礎層上面添加一個新的層,上面包含瞭我們所安裝的Python程序。

鏡像做為所有鏡像層的組合,如果鏡像中有相同路徑的文件,則上層鏡像會覆蓋下層鏡像的內容,最終展示為所有層的數據匯總。

如下圖所示,由於第二層的文件2與第一層具有相同的文件路徑,則鏡像將以第二層的文件2內容進行展示,第一層隻有文件1會被顯示。

我們再來回顧一下前面鏡像拉取時的輸出內容,Pull complete結尾的每一行代表鏡像中某個被拉取的層,每個層級通過一個唯一的ID進行標識。

$ docker pull nginx:1.20
1.20: Pulling from library/nginx
5eb5b503b376: Pull complete
cdfeb356c029: Pull complete
d86da7454448: Pull complete
7976249980ef: Pull complete
8f66aa6726b2: Pull complete
c004cabebe76: Pull complete
Digest: sha256:02923d65cde08a49380ab3f3dd2f8f90aa51fa2bd358bd85f89345848f6e6623
Status: Downloaded newer image for nginx:1.20
docker.io/library/nginx:1.20

鏡像層的松耦合代表著它不屬於某個鏡像獨有,當不同鏡像包含相同的層時,系統隻會存儲該層的一份內容,這是Docker鏡像的重要特點,這樣的好處有利於減少存儲空間的占用。如下所示,當我們拉取另一個版本的Nginx鏡像時,其中ID號為5eb5b503b376的層已經存在,則會顯示為Already exists,直接使用此鏡像層。

$ docker pull nginx:1.21
1.21: Pulling from library/nginx
5eb5b503b376: Already exists
1ae07ab881bd: Pull complete
78091884b7be: Pull complete
091c283c6a66: Pull complete
55de5851019b: Pull complete
b559bad762be: Pull complete
Digest: sha256:2834dc507516af02784808c5f48b7cbe38b8ed5d0f4837f16e78d00deb7e7767
Status: Downloaded newer image for nginx:1.21
docker.io/library/nginx:1.21

三. 容器層

我們前面說到鏡像層是隻讀模板,那麼當我們使用鏡像生成容器時,為什麼又能寫入數據呢?這個問題的答案涉及到一個概念:容器層。

當容器啟動時,會有一個新的可寫層被加載到鏡像的頂部,這一層通常被稱為容器層。所有對容器的修改都會發生在容器層,隻有容器層是可寫入的,容器層以下的鏡像層都是隻讀的。

當我們對容器進行操作時,底層的工作原理如下:

讀取文件:當容器需要讀取文件時,會先在容器層尋找,如果沒有發現,則會從最上層的鏡像層往下尋找,當找到文件後讀取到內存使用。

增加文件:當增加文件時,文件會直接寫到最上面容器層,不會影響到鏡像層內容。所以,當我們將容器刪除時,容器中的文件也會隨著消失。

修改文件:此時,如果該文件是在容器層的,則會直接修改。否則的話,Docker會從上往下依次在各層鏡像中查找此文件 ,當找到後將其復制到容器層中,並進行修改。這被稱為容器的寫時復制特性(Copy-on-Write),這個技術保證瞭我們對容器的修改不會影響到底層的鏡像,也實現瞭一個鏡像可以被多個容器共用。

刪除文件:當我們需要刪除文件時,Docker也是由上往下尋找該文件 ,如果在容器層的文件會被直接刪除,而在鏡像層的文件則會被標記,此時在容器將不會再出現此文件,但鏡像中的文件並不會做更改。

四. 聯合文件系統​

關於鏡像與容器功能的實現,依賴其使用瞭聯合文件系統(UnionFS)技術,這是一種分層、輕量級並且高性能的文件系統。Docker 目前支持的聯合文件系統包括 ​​OverlayFS​​​, ​​AUFS​​​, ​​VFS​​​ ​​Device Mapper等​​,而默認的存儲驅動為Overlay2。

到此這篇關於Docker容器實戰之鏡像與容器的工作原理的文章就介紹到這瞭,更多相關Docker 鏡像與容器內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: