Docker通过客户端访问守护进程,从而操作Docker容器,而容器是通过镜像创建的,Docker镜像保存在Docker仓库中。
一、Docker客户端和守护进程
Docker客户端向Docker守护进程发送请求,Docker守护进程处理完所有请求并返回结果。Docker对守护进程的访问既可以在本地,也可以是远程访问。如图所示,通过Docker客户端执行各种命令,然后Docker客户端会将这些命令发送给守护进程,守护进程执行的结果会传送给客户端。
二、Docker镜像
镜像是Docker容器的基石,容器基于镜像启动和运行,镜像可以看做容器的源代码,保存了用于启动容器的各种条件。Docker镜像是一个层叠的只读文件系统,最底层是一个引导文件系统bootfs,Docker用户很少与引导文件系统有交互。实际上当一个容器启动后,将会被移动到内存中,而引导文件系统则会被卸载。Docker文件的第二层是root文件系统rootfs,位于引导文件系统之上,root文件系统可以是一种或多种的操作系统,比如CentOS、Ubuntu等。
在传统的Linux引导过程中,root文件系统会最先以只读形式加载,当引导结束并完成了完整性检查后才会被切换为读写模式。但Docker中root文件系统永远只能是只读状态,并且Docker利用联合加载技术(union mount)又会在root文件系统之上加载更多的只读文件系统,联合加载是指一次加载多个文件系统,但在外面看起来只能看到一个文件系统,联合加载会将各层文件系统叠加在一起,最终文件系统会包括底层文件和目录,Docker将这样的文件系统称为镜像。一个镜像可以放到另一个镜像顶部,位于下面的镜像称为父镜像,最底部的镜像称为基础镜像,也即是上面所说的rootfs。
三、Docker容器
Docker容器通过镜像启动,容器是Docker的执行单元,容器中可以运行客户的多个进程。如果说镜像是Docker生命周期的构建和打包阶段,那么容器则是启动和执行阶段。那么容器是怎么通过镜像启动的?如图Docker镜像的结构,当一个容器启动时Docker会在该镜像的最顶层加载一个读写文件系统(可写文件层),Docker中运行的程序就是在读写层中执行的,当Docker第一次启动一个容器时初始的读写层是空的。当文件系统发生变化时,这些变化都会应用到这层上。比如修改文件,会首先将下面层的文件复制到读写层,该文件的只读版本依然存在,只不过被读写层中的副本所隐藏,这就是Docker中另一个重要技术写时复制(copy on write)。每个只读镜像层永远是只读的,当创建一个新容器时,Docker会构造出一个镜像栈,在栈最定层添加读写层,读写层、镜像层及一些配置数据就组成了一个容器。
四、Docker仓库
Docker用仓库保存用户创建的镜像,仓库分共有和私有两种,Docker公司自己提供了仓库Docker Hub,可以在Docker Hub上创建账户,保存分享自己创建的镜像。当然也可以架设私有仓库。
