此文中部分信息、圖片需要 fan qiang , 如果未能正常顯示，文末有原文連接 。

【Kubernetes培訓通知】DockOne將會于2018年5月18日在上海舉辦Kubernetes技術培訓，培訓內容包括：容器介紹、容器網絡、Kubernetes架構基礎介紹、安裝、設計理念、架構詳解、設計原則、常用對象、監控方案、Kubernetes高階設計和實現、微服務、實踐案例分享等。同時6月份在北京的培訓也已經啟動，詳情請點擊。

這篇文章希望能夠幫助讀者深入理解Docker的命令，還有容器（container）和鏡像（image）之間的區別，并深入探討容器和運行中的容器之間的區別。

當我對Docker技術還是一知半解的時候，我發現理解Docker的命令非常困難。于是，我花了幾周的時間來學習Docker的工作原理，更確切地說，是關于Docker統一文件系統（the union file system）的知識，然后回過頭來再看Docker的命令，一切變得順理成章，簡單極了。

題外話 ：就我個人而言，掌握一門技術并合理使用它的最好辦法就是深入理解這項技術背后的工作原理。通常情況下，一項新技術的誕生常常會伴隨著媒體的大肆宣傳和炒作，這使得用戶很難看清技術的本質。更確切地說，新技術總是會發明一些新的術語或者隱喻詞來幫助宣傳，這在初期是非常有幫助的，但是這給技術的原理蒙上了一層砂紙，不利于用戶在后期掌握技術的真諦。

Git就是一個很好的例子。我之前不能夠很好的使用Git，于是我花了一段時間去學習Git的原理，直到這時，我才真正明白了Git的用法。我堅信只有真正理解Git內部原理的人才能夠掌握這個工具。

Image Definition

鏡像（Image）就是一堆只讀層（read-only layer）的統一視角，也許這個定義有些難以理解，下面的這張圖能夠幫助讀者理解鏡像的定義。



從左邊我們看到了多個只讀層，它們重疊在一起。除了最下面一層，其它層都會有一個指針指向下一層。這些層是Docker內部的實現細節，并且能夠在主機（譯者注：運行Docker的機器）的文件系統上訪問到。統一文件系統（union file system）技術能夠將不同的層整合成一個文件系統，為這些層提供了一個統一的視角，這樣就隱藏了多層的存在，在用戶的角度看來，只存在一個文件系統。我們可以在圖片的右邊看到這個視角的形式。

你可以在你的主機文件系統上找到有關這些層的文件。需要注意的是，在一個運行中的容器內部，這些層是不可見的。在我的主機上，我發現它們存在于/var/lib/docker/aufs目錄下。

sudo tree -L 1 /var/lib/docker/

/var/lib/docker/├──?aufs├──?containers├──?graph├──?init├──?linkgraph.db├──?repositories-aufs├──?tmp├──?trust└──?volumes7?directories,?2?files

Container Definition

容器（container）的定義和鏡像（image）幾乎一模一樣，也是一堆層的統一視角，唯一區別在于容器的最上面那一層是可讀可寫的。



細心的讀者可能會發現，容器的定義并沒有提及容器是否在運行，沒錯，這是故意的。正是這個發現幫助我理解了很多困惑。

要點：容器 = 鏡像 + 讀寫層。并且容器的定義并沒有提及是否要運行容器。

接下來，我們將會討論運行態容器。

Running Container Definition

一個運行態容器（running container）被定義為一個可讀寫的統一文件系統加上隔離的進程空間和包含其中的進程。下面這張圖片展示了一個運行中的容器。



正是文件系統隔離技術使得Docker成為了一個前途無量的技術。一個容器中的進程可能會對文件進行修改、刪除、創建，這些改變都將作用于可讀寫層（read-write layer）。下面這張圖展示了這個行為。



我們可以通過運行以下命令來驗證我們上面所說的：

docker?run?ubuntu?touch?happiness.txt

即便是這個ubuntu容器不再運行，我們依舊能夠在主機的文件系統上找到這個新文件。

find / -name happiness.txt

/var/lib/docker/aufs/diff/860a7b...889/happiness.txt

Image Layer Definition

為了將零星的數據整合起來，我們提出了鏡像層（image layer）這個概念。下面的這張圖描述了一個鏡像層，通過圖片我們能夠發現一個層并不僅僅包含文件系統的改變，它還能包含了其他重要信息。



元數據（metadata）就是關于這個層的額外信息，它不僅能夠讓Docker獲取運行和構建時的信息，還包括父層的層次信息。需要注意，只讀層和讀寫層都包含元數據。



除此之外，每一層都包括了一個指向父層的指針。如果一個層沒有這個指針，說明它處于最底層。



Metadata Location:
我發現在我自己的主機上，鏡像層（image layer）的元數據被保存在名為”json”的文件中，比如說：

/var/lib/docker/graph/e809f156dc985.../json

e809f156dc985...就是這層的id

一個容器的元數據好像是被分成了很多文件，但或多或少能夠在/var/lib/docker/containers/<id>目錄下找到，<id>就是一個可讀層的id。這個目錄下的文件大多是運行時的數據，比如說網絡，日志等等。

全局理解（Tying It All Together）

現在，讓我們結合上面提到的實現細節來理解Docker的命令。

docker create <image-id>

docker create 命令為指定的鏡像（image）添加了一個可讀寫層，構成了一個新的容器。注意，這個容器并沒有運行。

docker start <container-id>

Docker start命令為容器文件系統創建了一個進程隔離空間。注意，每一個容器只能夠有一個進程隔離空間。

docker run <image-id>

看到這個命令，讀者通常會有一個疑問：docker start 和 docker run命令有什么區別。



從圖片可以看出，docker run 命令先是利用鏡像創建了一個容器，然后運行這個容器。這個命令非常的方便，并且隱藏了兩個命令的細節，但從另一方面來看，這容易讓用戶產生誤解。

題外話：繼續我們之前有關于Git的話題，我認為docker run命令類似于git pull命令。git pull命令就是git fetch 和 git merge兩個命令的組合，同樣的，docker run就是docker create和docker start兩個命令的組合。

docker ps

docker ps 命令會列出所有運行中的容器。這隱藏了非運行態容器的存在，如果想要找出這些容器，我們需要使用下面這個命令。

docker ps –a

docker ps –a命令會列出所有的容器，不管是運行的，還是停止的。

docker images

docker images命令會列出了所有頂層（top-level）鏡像。實際上，在這里我們沒有辦法區分一個鏡像和一個只讀層，所以我們提出了top-level鏡像。只有創建容器時使用的鏡像或者是直接pull下來的鏡像能被稱為頂層（top-level）鏡像，并且每一個頂層鏡像下面都隱藏了多個鏡像層。

docker images –a

docker images –a命令列出了所有的鏡像，也可以說是列出了所有的可讀層。如果你想要查看某一個image-id下的所有層，可以使用docker history來查看。

docker stop <container-id>

docker stop命令會向運行中的容器發送一個SIGTERM的信號，然后停止所有的進程。

docker kill <container-id>

docker kill 命令向所有運行在容器中的進程發送了一個不友好的SIGKILL信號。

docker pause <container-id>

docker stop和docker kill命令會發送UNIX的信號給運行中的進程，docker pause命令則不一樣，它利用了cgroups的特性將運行中的進程空間暫停。具體的內部原理你可以在這里找到： https://www.kernel.org/doc/Doc ... m.txt ，但是這種方式的不足之處在于發送一個SIGTSTP信號對于進程來說不夠簡單易懂，以至于不能夠讓所有進程暫停。

docker rm <container-id>

docker rm命令會移除構成容器的可讀寫層。注意，這個命令只能對非運行態容器執行。

docker rmi <image-id>

docker rmi 命令會移除構成鏡像的一個只讀層。你只能夠使用docker rmi來移除最頂層（top level layer）（也可以說是鏡像），你也可以使用-f參數來強制刪除中間的只讀層。?

docker commit <container-id>

docker commit命令將容器的可讀寫層轉換為一個只讀層，這樣就把一個容器轉換成了不可變的鏡像。

docker build

docker build命令非常有趣，它會反復的執行多個命令。



我們從上圖可以看到，build命令根據Dockerfile文件中的FROM指令獲取到鏡像，然后重復地1）run（create和start）、2）修改、3）commit。在循環中的每一步都會生成一個新的層，因此許多新的層會被創建。

docker exec <running-container-id>

docker exec 命令會在運行中的容器執行一個新進程。

docker inspect <container-id> or <image-id>

docker inspect命令會提取出容器或者鏡像最頂層的元數據。

docker save <image-id>

docker save命令會創建一個鏡像的壓縮文件，這個文件能夠在另外一個主機的Docker上使用。和export命令不同，這個命令為每一個層都保存了它們的元數據。這個命令只能對鏡像生效。

docker export <container-id>

docker export命令創建一個tar文件，并且移除了元數據和不必要的層，將多個層整合成了一個層，只保存了當前統一視角看到的內容（譯者注：expoxt后的容器再import到Docker中，通過docker images –tree命令只能看到一個鏡像；而save后的鏡像則不同，它能夠看到這個鏡像的歷史鏡像）。

docker history <image-id>

docker history命令遞歸地輸出指定鏡像的歷史鏡像。

結論

我希望你們能喜歡這篇文章。還有其他許多的命令（pull，search，restart，attach等）我沒有提及，但是我相信通過閱讀這篇文章，大部分的Docker命令都能夠被很好理解。如果我有什么地方說的不好，歡迎大家指出。

原文鏈接：Visualizing Docker Containers and Images（翻譯：楊潤青）