Docker镜像分层的原理详解

base镜像

base镜像有两层含义：

• 不依赖其他镜像，从scratch构建
• 其他镜像可以之为基础进行扩展

所以，base镜像一般都是各种linux发行版本的docker镜像，比如：ubuntu，debian或者centos等。

base镜像提供的都是最小安装的linux发行版本。

我们大部分镜像都将是基于base镜像构建的。所以，通常使用的是官方发布的base镜像。可以在docker hub里找到。比如centos：

我们可以自己构建docker base镜像，也可以直接使用已有的base镜像。比如centos。我们可以直接从docker hub上拉取。
拉取

docker pull centos

查看

docker images centos 
repository     tag         image id      created       size
centos       latest       1e1148e4cc2c    2 months ago    202mb

可以看到最新的centos镜像只有200mb，是不是觉得太小了？这是因为docker镜像在运行的时候直接使用docker宿主机器的kernel。

linux操作系统由用户空间和内核空间构成。

内核空间是kernel，用户空间是rootfs，不同发行版的区别主要是rootfs。比如ubuntu 14.04使用 upstart 管理服务，apt 管理软件包；而 centos 7 使用 systemd 和 yum。这些都是用户空间的不同，kernel差别不大。

所以docker可以同时支持多种 linux 镜像，模拟出不同的操作系统环境。

base镜像只是用户空间和发行版本一致，内核空间使用的是docker宿主机器的kernel。

存储结构

上文里展示了如何下载一个base镜像。我们通常是基于这份base镜像来构建我们自己的镜像。比如，在centos里添加一个nginx负载均衡。首先，得需要了解镜像的结构是什么。

官方文档：

docker镜像的分层结构

启动镜像时，一个新的可写层会加载到镜像的顶层。这一层通常称为"容器层",之下是"镜像层"。

容器层可以读写，容器所有发生文件变更写都发生在这一层。镜像层只允许读取，read-only。

修改时复制策略（copy-on-write）

docker通过一个修改时复制策略来保证base镜像的安全性，以及更高的性能和空间利用率。

• 当容器需要读取文件的时候

从最上层的镜像层开始往下找，找到后读取到内存中，若已经在内存中，可以直接使用。换句话说，运行在同一台机器上的docker容器共享运行时相同的文件。

• 当容器需要修改文件的时候

从上往下查找，找到后复制到容器层，对于容器来说，可以看到的是容器层的这个文件，看不到镜像层里的文件，然后直接修改容器层的文件。

• 当容器需要删除文件的时候

从上往下查找，找到后在容器中记录删除，并不是真正的删除，而是软删除。这导致镜像体积只会增加，不会减少。

当容器需要增加文件的时候
直接在最上层的容器可写层增加，不会影响镜像层。

镜像的精简优化

优化基础镜像

基础镜像选择时，选择合适的较小的镜像,常用的 linux 系统镜像一般有 ubuntu、centos、alpine···等

串联dockerfile指令

在dockerfile中，每条指令都会创建一个镜像层，从而增加镜像的大小。当前层的修改不会影响上一层。

• 用&&串联指令（run指令中）
• 安装完软件记得clean

具体实例如下：

自定义dockerfile：

from ubuntu:14.04
#基础源镜像
maintainer xiongkun
#描述镜像的创建者，名称和邮箱
workdir /home
run dd if=/dev/zero of=50m.file bs=1m count=50
#创建大小为50m的测试文件
run rm -rf 50m.file
#删除该文件

优化后的dockerfile:

from ubuntu:14.04
#基础源镜像
maintainer xiongkun
#描述镜像的创建者，名称和邮箱
workdir /home
run dd if=/dev/zero of=50m.file bs=1m count=50 && rm -rf 50m.file
#创建文件，同时在该层删除该文件

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。