本文已迁移到我的新博客地址,欢迎访问：

blog.favorstack.io

---

#（一）Docker镜像是如何工作的

我们知道，Docker镜像是Docker容器运行的静态模板。每个镜像都包含一系列的层，Docker使用一种叫做联合文件系统（union file systems，unionFS）的东西来将这些层组合为单个镜像。unionFS允许单独的文件系统中的文件和文件夹以分支的形式出现，可以被透明地覆盖，最终形成一个连续的文件系统。

Docker如此轻量的原因之一就是因为这些层。当你修改一个镜像时，比如将应用程序更新到一个新版本时，就构建了一个新的层。因此，只有这一层被添加或修改，而不是像操作虚拟机时，替换整个镜像或整个的重构一遍。现在，你无需分发整个镜像，只需要更新一下就可以了，让分发Docker镜像变得更快更简单。

每个镜像都开始于一个基础镜像，比如我们之前用过的ubuntu:16.04镜像，我们也可以自己制作一个基础镜像，以供新的镜像使用。比如我们制作的baseos:1.0，以及jre:7u80等，这些镜像可以用于我们所有的Java应用的基础镜像。

接下来，Docker镜像就可以通过一系列简单的，描述性的步骤从这些基础镜像构建，这些步骤被称为指令。每条指令在我们的镜像中会创建一个新的层，指令一般包括这些行为：

• 运行一个命令
• 添加一些文件或文件夹
• 创建环境变量
• 从该镜像启动一个容器时，运行哪个程序。

这些指令放在一个名为Dockerfile的文本文件中，Dockerfile包含了从基础镜像构建一个镜像的一系列指令和命令。当你请求构建一个镜像时，Docker读取该Dockerfile文件，执行里面的指令，并生成一个最终的镜像。

#（二）Docker registry是如何工作的

Docker registry是托管Docker镜像的地方,当我们构建完一个镜像时，可以选择推送到像Docker Hub这样的公共仓库，或者也可以推送到自己的私有仓库中。

通过Docker 客户端，我们可以搜索那些已经发布的镜像，并将他们拉取到Docker主机，然后用于构建容器。

Docker Hub既提供公共仓库，也提供私有仓库，用来存储镜像。公共仓库是可以检索的，并且可以被任何人下载，但私有仓库里的镜像不会出现在搜索结果中，只有你和你的用户才可以拉取这些镜像，并用于构建容器。

#（三）Docker容器是如何工作的

容器包含有一个操作系统，用户添加的文件，和元数据等。我们之前已经看到，每个容器都是从一个镜像创建而来，该镜像告诉Docker一个容器需要托管什么东西，容器运行时该执行什么进程，还有一系列其他的配置数据。Docker镜像是只读的，当Docker从一个镜像运行一个容器时，会在镜像之上添加一层可读写的层（使用之前提到的unionFS），然后我们的应用就可以在上边运行了。

#（四）运行一个容器时，发生了哪些事情

不管是使用docker可执行二进制文件还是通过API,Docker客户端告诉Docker守护进程来运行一个容器。

$ docker run -it ubuntu:16.04 /bin/bash

Docker 引擎客户端通过docker二进制文件和run子命令创建了一个容器。Docker客户端需要提供给Docker守护进程来创建一个容器的信息至少包括以下两点：

• 容器从哪个镜像创建，比如ubuntu:16.04
• 容器创建后，容器内要运行的命令，比如/bin/bash

那么，运行这条命令时，底层都发生了什么呢?
按照顺序，Docker引擎做了这些：

• 拉取ubuntu:16.04镜像： Docker引擎首先会检查该镜像在本地是否存在，如果存在，直接用它创建容器。如果不存在，会先去Docker Hub拉取。
• 创建一个新的容器
• **分配一个文件系统并将其挂载为一个可读写层：**在文件系统中创建容器，一个可读写层添加到镜像上。
• **分配网卡/网桥：**创建一个网卡，让容器可以和主机通信。
• **分配一个IP地址：**从IP池中查找并分配一个可用的IP。
• 执行你指定的进程
• **捕获并提供应用的输出：**连接并记录应用的标准输入、输出，和错误输出。

现在，我们便有了一个运行中的容器了。接下来我们可以管理我们的容器，与其中的应用程序进行交互，当运行完毕，还可以停掉容器，并将其删除。

参考：https://docs.docker.com/engine/understanding-docker/

（完）

---

本文已迁移到我的新博客地址,欢迎访问：

blog.favorstack.io

---