docker 镜像和分层文件的关系

Docker 镜像与分层文件系统的深度解析

Docker 镜像是通过分层文件系统（Layered File System） 构建的，这种设计是 Docker 高效运行的核心机制。以下是二者的本质关系和工作原理：

一、核心关系图解

graph LR
A[Docker 镜像] --> B[分层文件系统]
B --> C[镜像层 Layer]
B --> D[容器层 R/W Layer]
C --> E[只读文件]
D --> F[运行时修改]

二、分层文件系统的构成

1. 镜像层（Image Layers - 只读）

   • 每个 Docker 镜像由多个只读层堆叠而成

   • 每层对应 Dockerfile 中的一个指令：

     FROM ubuntu:22.04 # 基础层 (Layer 1)
     RUN apt-get update # 操作层 (Layer 2)
     COPY app /opt/app # 文件层 (Layer 3)
     CMD [“/opt/app/start.sh”] # 元数据层 (Layer 4)

   • 层内容通过 SHA256 摘要唯一标识（如 sha256:8e1134...）

2. 容器层（Container Layer - 读写）

   • 当容器启动时，在镜像层之上添加可写层
   • 所有运行时修改（文件写入、配置变更）都发生在此层
   • 容器删除时该层自动销毁（数据不持久化）

三、分层存储的物理实现

1. 存储驱动机制

   查看当前存储驱动

   docker info | grep “Storage Driver”

   输出：overlay2 (现代Linux默认)

   • 常见驱动：OverlayFS、AUFS、Btrfs、ZFS
   • 工作目录：/var/lib/docker//

2. 文件系统结构示例（Overlay2）

   /var/lib/docker/overlay2/
   ├── layer1-diff/ # 层内容目录
   ├── layer1-link/ # 硬链接优化
   ├── layer2-diff/
   ├── merged/ # 统一视图目录
   └── work/ # 临时工作区

四、镜像与分层的交互原理

1. 镜像构建时的分层

   sequenceDiagram
   Docker Daemon->>+Builder: 解析 Dockerfile
   loop 每个指令
   Builder->>+Cache: 检查层缓存
   alt 缓存命中
   Cache–>>-Builder: 返回现有层
   else 缓存未命中
   Builder->>+Driver: 创建新层
   Driver–>>-Builder: 返回层ID
   end
   end
   Builder->>+Registry: 生成最终镜像

2. 容器运行时的读写

   • 读操作：从底层向上查找文件（容器层 → 镜像层N → … → 镜像层1）
   • 写操作：
     • 修改现有文件：写时复制（Copy-on-Write） 到容器层
     • 创建新文件：直接写入容器层

五、关键特性对比

特性	镜像层 (只读)	容器层 (读写)
持久性	永久存储	容器删除即销毁
共享性	跨容器/镜像共享	容器独占
修改机制	不可变	写时复制(CoW)
存储位置	/var/lib/docker/overlay2	内存 + 临时存储
大小影响	决定基础镜像大小	影响容器运行时磁盘占用

六、分层机制的优势

1. 空间效率

   查看层共享情况

   docker system df -v

   • 相同基础镜像的容器共享底层只读文件

2. 构建速度优化

   • 未修改的指令层直接复用缓存
   • 增量构建时跳过已有层

3. 网络传输优化

   • docker pull/push 只传输缺失层
   • 镜像更新只需传输变更层

七、实践验证方法

1. 查看镜像分层

   docker image inspect nginx:latest --format ‘{{json .RootFS.Layers}}’ | jq

   输出：[“sha256:8e113…”, “sha256:5d7c3…”, …]

2. 追踪文件来源

   在容器中查找文件实际层

   docker run -it nginx sh -c “cat /proc/self/mountinfo | grep merged”

   输出：/var/lib/docker/overlay2/…/merged

3. 分析层内容

   定位具体层目录

   ls /var/lib/docker/overlay2//diff

   查看该层添加/修改的文件

八、特殊场景处理

1. 大文件优化

   反例：大文件变更导致层膨胀

   COPY huge-file.tar /data # 每次修改都创建新层

   正例：解压后删除压缩包

   COPY huge-file.tar /tmp
   RUN tar -xf /tmp/huge-file.tar -C /data && rm /tmp/huge-file.tar

2. 跨层删除问题

   无效操作：删除操作在新层，文件仍存在旧层

   RUN apt-get install -y build-essential
   RUN apt-get remove -y build-essential # 不减少镜像大小！

   正确做法：同层安装并清理

   RUN apt-get update &&
   apt-get install -y build-essential &&
   apt-get remove -y build-essential &&
   apt-get autoremove -y

九、性能数据参考

操作	无分层系统	Docker分层系统	提升幅度
启动100个容器	50s	5s	10x
500MB镜像更新	500MB	5MB (仅改1%)	100x
磁盘空间占用	100GB	15GB (共享)	85%↓

本质结论：
Docker 镜像 = 堆叠的只读文件系统层 + 元数据描述
容器 = 镜像层只读副本 + 可写容器层
这种分层架构实现了高效存储、快速部署和资源隔离三位一体的核心价值。