Docker的三大核心概念-01

Docker的三大核心为：镜像、容器、仓库。下面简单的介绍一下这三大核心概念。

1.docker镜像（p_w_picpath）

   镜像是创建docker容器的基础，docker镜像类似于虚拟机镜像，可以将它理解为一个面向docker引擎的只读模块，包含文件系统。

   创建镜像有三种方法：

   （1）基于已有镜像的容器创建。主要是利用docker commit命令。

   （2）基于本地模板导入。推荐利用OpenVZ提供的模板来创建。

   （3）基于dockerfile创建。首先按照dockerfile的格式，编写好dockerfile文件，之后通

      过docker build命令来创建镜像。docker build会读取制定的dockerfile，由docker服务器        来创建镜像。

2.docker容器(container)

   Docker容器类似一个轻量级的沙箱，Docker利用容器来运行和隔离应用。

   容器是从镜像创建的应用运行实例，可以将其启动、开始、停止、删除，而这些容器都是相互隔离、互不可见的。

   读者可以把容器看做一个简易的LINUX系统环境(这包括root用户权限、进程空间、用户空间和网络空间等)，以及运行在其中的应用程序打包而成的应用盒子。

   镜像本身是只读。容器从镜像启动的时候，Docker会在镜像的最上层建一个可写层，镜像本身保持不变。 

   可以利用docker create命令创建一个容器，创建后的的容器处于停止状态，可以使用docker start命令来启动它。也可以直接利用docker run命令来直接从镜像启动运行一个容器。docker run = docker creat + docker start。

   当利用docker run创建并启动一个容器时，docker在后台的标准操作包括：

   （1）检查本地是否存在指定的镜像，不存在就从公有仓库下载。

   （2）利用镜像创建并启动一个容器。

   （3）分配一个文件系统，并在只读的镜像层外面挂载一层可读写层。

   （4）从宿主机配置的网桥接口中桥接一个虚拟的接口到容器中。

   （5）从地址池中配置一个IP地址给容器。

   （6）执行用户指定的应用程序。

   （7）执行完毕后容器终止。

3.docker仓库（Repository）

    仓库是存放docker镜像的地方。仓库和注册服务器（Registry）还是有区别的。注册服务器是存放仓库的地方，在其中存放了很多仓库，每个仓库存放一类镜像文件。

    仓库分为公有仓库和私有仓库，DockerHub是目前最大的公有仓库。可以通过docker push/pull命令从仓库中上传和下载镜像，docker search命令来搜索镜像。

Docker镜像与Docker容器的关系

Docker镜像是Docker容器运行的基础，没有Docker镜像，就不可能有Docker容器，这也是Docker的设计原则之一。

可以理解的是：Docker镜像毕竟是镜像，属于静态的内容；而Docker容器就不一样了，容器属于动态的内容。动态的内容，大家很容易联想到进程，内存，CPU等之类的东西。的确，Docker容器作为动态的内容，都会包含这些。

为了便于理解，大家可以把Docker容器，理解为一个或多个运行进程，而这些运行进程将占有相应的内存，相应的CPU计算资源，相应的虚拟网络设备以及相应的文件系统资源。而Docker容器所占用的文件系统资源，则通过Docker镜像的镜像层文件来提供。

那么作为静态的镜像，如何才有能力转化为一个动态的Docker容器呢？此时，我们可以想象：第一，转化的依据是什么；第二，由谁来执行这个转化操作。

其实，转化的依据是每个镜像的json文件，Docker可以通过解析Docker镜像的json的文件，获知应该在这个镜像之上运行什么样的进程，应该为进程配置怎么样的环境变量，此时也就实现了静态向动态的转变。

谁来执行这个转化工作？答案是Docker守护进程。也许大家早就理解这样一句 话：Docker容器实质上就是一个或者多个进程，而容器的父进程就是Docker守护进程。这样的，转化工作的执行就不难理解了：Docker守护进程 手握Docker镜像的json文件，为容器配置相应的环境，并真正运行Docker镜像所指定的进程，完成Docker容器的真正创建。

Docker容器运行起来之后，Docker镜像json文件就失去作用了。此时Docker镜像的绝大部分作用就是：为Docker容器提供一个文件系统的视角，供容器内部的进程访问文件资源。

再次回到上图，我们再来看看容器和镜像之间的一些特殊关系。首先，之前已经提及Docker镜像是分层管理的，管理Docker容器的时候，Docker镜像仍然是分层管理的。由于此时动态的容器中已经存在进程，进程就会对文件系统视角内的文件进行读写操作，因此，就会涉及一个问题：容器是否会篡改Docker镜像的内容？

答案自然是不会的。统一来讲，正如上图，所有的Docker镜像层对于容器来说，都是只读的，容器对于文件的写操作绝对不会作用在镜像中。

既然如此，实现的原理就很重要，究其根本：Docker守护进程会在Docker镜像的 最上层之上，再添加一个可读写层，容器所有的写操作都会作用到这一层中。而如果Docker容器需要写底层Docker镜像中的文件，那么此时就会涉及一 个叫Copy－on－Write的机制，即aufs等联合文件系统保证：首先将此文件从Docker镜像层中拷贝至最上层的可读写层，然后容器进程再对读 写层中的副本进行写操纵。对于容器进程来讲，它只能看到最上层的文件。

来源：https://blog.51cto.com/441274636/1896865