Docker镜像与分层深入理解

官方对镜像的定义是：一种轻量级、可执行的独立软件包，用来打包软件运行环境和基于运行环境开发的软件。

其"独立完整"特性体现在：包含代码、运行时、系统库、环境变量及配置文件，完全脱离宿主机环境。无论部署到何种Docker环境，都能原样运行，实现"一次构建，到处运行"。

以Nginx镜像为例，它内置Nginx代码、依赖库及网络配置，无需额外安装依赖，启动即可用，这正是镜像的核心价值。

Docker镜像之所以能实现轻量、分层的特性，核心依赖于一种特殊的文件系统------UnionFS（联合文件系统）。

这是一种分层、轻量级且高性能的文件系统，它最核心的能力是"联合加载"：可以将多个独立的文件系统（目录）挂载到同一个虚拟文件系统下，从外部看起来，只能看到一个统一的文件系统，但实际上这些文件系统是层层叠加的。

以Nginx镜像为例，它内置Nginx代码、依赖库及网络配置，无需额外安装依赖，启动即可用，这正是镜像的核心价值。

基于UnionFS，Docker镜像实际上是由一层一层的文件系统叠加而成的，这些层级大致可以分为两个部分：bootfs和rootfs，它们分工明确，共同构成了镜像的基础。

bootfs（引导文件系统）包含bootloader和Linux内核，作用是引导系统启动。内核加载到内存后，bootfs即被卸载，完成使命。

关键特性：所有镜像共享同一bootfs层。因容器复用宿主机内核，镜像bootfs无需包含独立内核，大幅缩减镜像体积，这也是Docker比虚拟机轻量的原因之一。

rootfs（根文件系统）位于bootfs之上，包含/dev、/bin等Linux标准目录，Ubuntu、CentOS等发行版本质就是不同rootfs。

它为应用提供轻量化运行环境------无需包含内核（复用宿主机），仅保留核心系统文件，体积通常仅几十MB，远小于完整虚拟机系统。

分层架构的核心价值是资源共享，实现存储与运行效率双提升。

例如：基于CentOS基础镜像构建Nginx和MySQL镜像时，宿主机仅存一份CentOS层，Nginx与MySQL镜像仅需存储自身应用层；运行时两容器也共享CentOS层内存资源，无需重复加载。

此设计带来两大好处：一是大幅节省存储，避免重复存储基础系统；二是提升运行效率，基础层仅加载一次，减少内存占用与启动时间。

所有镜像层均为只读，容器对文件的修改依赖**Copy-on-Write（写时复制）**机制：启动容器时，Docker会在镜像层上方创建可读写的容器层。

容器文件操作规则简洁清晰：

该机制既保障镜像层安全共享，又满足容器可写需求，兼顾效率与资源占用。

在实际开发中，我们可能会对容器进行一些定制化修改（比如安装依赖、配置环境），此时可以将修改后的容器提交为新的镜像，以便后续复用。这个操作类似Git的commit，核心命令是docker commit。

复制代码

docker commit -m="描述信息" -a="作者" 容器ID 目标镜像名:[TAG]

各参数说明：

-m：指定镜像的描述信息，类似Git的commit信息。

-a：指定镜像的作者信息。

容器ID：需要提交的容器的ID，可以通过docker ps命令查看。

目标镜像名:[TAG]：新镜像的名称和标签，标签可选，默认是latest。

假设我们启动了一个CentOS容器，并在其中安装了Python环境，现在要将这个容器提交为新镜像：

查看容器ID：docker ps ，假设得到容器ID为**a1b2c3d4e5f6**。
提交镜像：docker commit -m="centos with python3" -a="devops" a1b2c3d4e5f6 centos-python:3.9。
验证结果：执行**docker images** ，就能看到新创建的**centos-python:3.9**镜像。

需要注意的是，**docker commit**更适合临时调试或快速定制镜像，生产环境中更推荐使用Dockerfile来构建镜像，因为Dockerfile可以清晰地记录镜像的构建过程，便于版本控制和维护。

回顾全文，Docker镜像的核心优势源于其"分层架构+UnionFS+Copy-on-Write"的组合设计：

理解了镜像的这些核心原理，不仅能帮助我们更高效地使用Docker