docker---镜像结构原理

最新推荐文章于 2025-04-08 16:23:55 发布

沃野布兹道

最新推荐文章于 2025-04-08 16:23:55 发布

阅读量474

点赞数 1

分类专栏： dacker 文章标签： docker linux 运维

本文链接：https://blog.youkuaiyun.com/qq_43504892/article/details/119756564

版权

dacker 专栏收录该内容

11 篇文章

订阅专栏

Docker容器镜像是轻量级的软件包，包括运行应用所需的一切。镜像采用分层结构，实现资源共享，减少下载重复内容。容器启动时加载可写层在镜像顶部，所有改动仅限于该层，不影响底层只读镜像层。因此，多个容器可共享同一镜像而不互相干扰。容器依赖宿主机的Linux内核，无法修改内核，适合对内核需求不高的场景。镜像通过Copy-on-Write机制保存变化，仅在修改时复制数据，提高效率。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

镜像结构原理

什么是镜像

A Docker container image is a lightweight, standalone, executable package of software that includes everything needed to run an application: code, runtime, system tools, system libraries and settings.
Docker容器映像是一个轻量级的、独立的、可执行的软件包，包括运行应用程序所需的一切：代码、运行时、系统工具、系统库和设置。

镜像有两层含义：

1、从零开始不依赖其他镜像，从scratch开始构建
2、其他镜像可以以之为基础进行扩展，站在巨人肩膀上

镜像的特点

镜像分层结构

镜像是具有分层的特点：
请添加图片描述
分层思想有什么好处：可以实现资源共享

如：下载某些镜像时会提示Already exists，这是因为一些基础的镜像已经存在，不需要在下载一份，从基础镜像之上开始下载

当容器启动时，一个新的可写层被加载到镜像的顶部。，下面为只读文件如上图

如果多个容器共享一份基础镜像，当某个容器修改了基础镜像的内容，比如 /etc 下的文件，这时其他容器的 /etc 是否也会被修改？

答案：不会！因为修改会被限制在单个容器内。因为容器的 Copy-on-Write 特性

容器与linux内核

Linux 操作系统由内核空间和用户空间组成，如下图所示

请添加图片描述

bootfs：容器启动时需要的内容
rootfs：容器内部的操作系统

rootfs

内核空间是 kernel，Linux 刚启动时会加载 bootfs 文件系统，之后 bootfs 会被卸载掉。用户空间的文件系统是rootfs，包含我们熟悉的 /dev, /proc, /bin 等目录。 对于 base 镜像来说，底层直接用主机的kernel，自己只需要提供 rootfs 就行了。而对于一个精简的 OS，rootfs可以很小，只需要包括最基本的命令、工具和程序库就可以了。相比其他 Linux 发行版，CentOS 的 rootfs 已经算臃肿的了，alpine 还不到 10MB。我们平时安装的 CentOS 除了 rootfs
还会选装很多软件、服务、图形桌面等，需要好几个 GB 就不足为奇了。

不同 Linux 发行版的区别主要就是 rootfs。

比如 Ubuntu 14.04 使用 upstart 管理服务，apt 管理软件包；而 CentOS 7 使用 systemd 和 yum。这些都是用户空间上的区别，Linux kernel 差别不大。
所以 Docker 可以同时支持多种 Linux 镜像，模拟出多种操作系统环境。

请添加图片描述
上图 Debian 和 BusyBox上层提供各自的 rootfs，底层共用 Docker Host 的 kernel。

注意：base 镜像只是在用户空间与发行版一致，kernel 版本与发型版是不同的。

说明：
容器只能使用 Host 的 kernel，并且不能修改。所有容器都共用 host 的 kernel，在容器中没办法对 kernel 升级。如果容器对 kernel 版本有要求（比如应用只能在某个 kernel 版本下运行），则不建议用容器，这种场景虚拟机可能更合适。

镜像的分层图解

请添加图片描述
① 新镜像不再是从 scratch 开始，而是直接在 Debian base 镜像上构建。
② 安装 emacs 编辑器。
③ 安装 apache2。
④ 容器启动时运行 bash。

每安装一个软件，就多一层，最底下的一层可以理解为自带的，在base镜像的基础上创建镜像

容器可写层

当容器启动时，一个新的可写层被加载到镜像的顶部。
这一层通常被称作“容器层”，“容器层”之下的都叫“镜像层”。
所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。

只有容器层是可写的，容器层下面的所有镜像层都是只读的。

镜像层数量可能会很多，所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件，比如 /a，上层的 /a 会覆盖下层的 /a，也就是说用户只能访问到上层中的文件 /a。在容器层中，用户看到的是一个叠加之后的文件系统。

1.添加文件	
在容器中创建文件时，新文件被添加到容器层中。
2. 读取文件
在容器中读取某个文件时，Docker 会从上往下依次在各镜像层中查找此文件。一旦找到，打开并读入内存。
3. 修改文件
在容器中修改已存在的文件时，Docker 会从上往下依次在各镜像层中查找此文件。一旦找到，立即将其复制到容器层，然后修改之。
4. 删除文件
在容器中删除文件时，Docker 也是从上往下依次在镜像层中查找此文件。找到后，会在容器层中记录下此删除操作。

只有当需要修改时才复制一份数据，这种特性被称作 Copy-on-Write。可见，容器层保存的是镜像变化的部分，不会对镜像本身进行任何修改。
这样就解释了我们前面提出的问题：容器层记录对镜像的修改，所有镜像层都是只读的，不会被容器修改，所以镜像可以被多个容器共享。