Docker自2013年问世以来，已经发展成为技术同学人尽皆知的工具。但是不少同学对镜像和容器的存储结构了解甚少，甚至不少Docker Client 玩的很溜的老司机也是如此，这对于应用的管理并不是一件好事。

花20分钟了解一下镜像的存储结构，也许可以提升应用的构建效率和运行时效率。如果你觉得这很划算，请耐心往下看。

容器和镜像的关系

容器和镜像是Docker的两大核心概念。如果你用过Docker，下面的这些操作应该会很熟悉:

• 从镜像中心下载镜像到本地 —— docker pull
• 基于下载好的镜像启动一个容器 —— docker run
• 进入容器内部，执行一些命令，进行调试 —— docker exec
• 构建自己的镜像 —— docker build

这些操作可以让你直观感受到镜像和容器的用法与区别。
镜像就像一个模板， 它是固定的，可任意复制的，并且你可以用它来生成无数的实例。
容器就是镜像的一个实例。它是动态的，你可以在上面调试，或者运行自己的应用程序。

这样的理解当然可以，但不够精确。再往下深入，可以问问自己下面的问题是否清楚。

• 镜像和容器在宿主机上是以何种形式存储的？
• 不同的镜像为什么能共用一些部分？
• 容器中的修改会不会破坏镜像的内容？
• 为什么容器启动的速度那么快？
• 在容器中进行大量读写操作是否存在性能瓶颈？

其实，第一个问题是上述所有问题的关键。即搞清楚镜像和容器的存储形式。我们先来看镜像。

镜像的存储结构模型

image.png

上图描述了镜像的存储结构，镜像由一堆只读层(Read Layer) 构成，每一层只存放增量的内容。联合文件系统(Unioned File System)技术将这些层整合为一个文件系统，为用户提供了一个统一的视角。
以多层的形式存储镜像有两个好处：

1. 可以从任何一层创建容器
2. 不同的镜像可以复用相同的层
3. 上传和下载镜像可以采用并行的方式，减少时间开销

关于第二点，举一个实际的应用场景。
如果你以官方提供的centos7镜像为基础镜像(base image), 制作了一些包含软件部署环境的镜像，例如centos7_jdk8, centos7_mysql5u7 等等。利用docker的镜像分层管理模式，基础镜像只需要在宿主机上保存一份即可。这个设定极大的方便了镜像的复用。

那么容器是如何存储的呢，容器如何获得镜像的数据，我们接着往下看。

容器的存储结构模型

image.png

容器的存储结构非常简单，它其实就是在镜像的多层结构之上又叠加了一层。只不过这一层是可写的。
用一个简单的公式来表达：

Container = Image + RW Layer (容器 = 镜像 + 可写层)

这就解释了为什么容器的创建速度可以达到毫秒级，因为创建容器仅仅是创建一个空的读写层。

平时我们常用的docker run 命令包括了docker create 和 docker start两个步骤。容器的定义并不包括容器是否在运行，这个概念非常重要。从存储的角度看，容器的创建非常轻量。

我们可以在一台宿主机上基于一个镜像创建多个容器，如下图所示：

image.png
这些容器各自拥有自己的读写层，因此互相并不冲突。（实际上，容器内的进程也做了隔离，这个是基于Linux namespace实现的）

存储结构

接下来我们结合实战，深入了解镜像的存储形式。在这之前，有一个很重要的概念（写时修改策略）需要介绍

写时修改策略（copy-on-write [Cow]）

“写时修改”策略最大化的提升了“文件共享”和"文件拷贝"的性能。它的原理并不复杂：

• 当上层需要读取下层的文件时，就直接读下层的文件。
• 当上层需要修改下层的文件时，会把该文件拷贝到自己所在的层，并进行修改

使用这个策略，就可以做到增量存储镜像层。
在容器中修改文件内容同样采取了这样的策略。如果你基于镜像启动了一个容器，并希望修改某个文件的内容时，Docker的实现步骤如下图所示:

1. 沿着最新的一层镜像逐层向下搜索文件的位置，一旦找到文件，会将文件的寻址添加到缓存，以便于加速后续的操作。
2. 将该文件拷贝到容器的读写层。
3. 修改文件内容。此时，容器不再能看到镜像中的该文件。

有一个很有意思的误区：
有些同学嫌弃基础镜像的体积大，就自己构建了一个精简版的镜像。在基础镜像的基础上删除了一些文件和目录。Dockerfile写成下面的形式:

FROM base_image
RUN rm -rf /var/log/*

这样能生效吗？我们做个实验:
准备一个工作空间，存放Dockerfile和一个20MB大小的文件

ll -h
-rw-r--r-- 1 root root  56 Mar 24 02:54 Dockerfile
-rw-r--r-- 1 root root 20M Jun 21  2018 test

Dockerfile的内容如下所示:

FROM docker.io/ubuntu:15.04
COPY test /
RUN rm -f /test

我们在第二层将test文件拷入镜像中，第三层再把文件删除。
执行docker build -t my_image:1.0 .命令构建

Step 1/3 : FROM docker.io/ubuntu:15.04
 ---> d1b55fd07600
Step 2/3 : COPY test /
 ---> 3c237abb3ad8
Removing intermediate container 4fed737bc47d
Step 3/3 : RUN rm -f /test
 ---> Running in 6240d6bb3dd4
 ---> 2b57089fbf01
Removing intermediate container 6240d6bb3dd4
Successfully built 2b57089fbf01

镜像的体积会怎么变化呢， 我们首先用docker images 命令直观的看一下:

REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
my_image            1.0                 2b57089fbf01        9 seconds ago       152 MB
docker.io/ubuntu    15.04               d1b55fd07600        3 years ago         131 MB

可以看出，在Dockerfile中删除文件并不能减小镜像的体积。因为根据CoW策略机制，在新的一层删除老的一层的文件， 是先把文件拷贝到新的一层再删除的。老的镜像层的文件是固化下来无法改变的。
因此，如果你真的嫌弃基础镜像太大， 正确的做法应该是重新制作你的基础镜像。

存储驱动和数据卷

正如上面所提到的，存储驱动用来管理所有镜像层和容器层，提供临时文件系统的能力。Docker不止拥有一种存储驱动，目前已知的存储驱动有AUFS, Btrfs, Device mapper, OverlayFS, ZFS等（Docker 企业版提供了比社区版更好的支持）。不同的存储驱动有不同的适用场景，具体的细节就不在这里展开了。

存储驱动的设定为：当容器销毁时, 可写层的内容也随着在宿主机上删除了。 如果你想持久化容器中的数据，可以使用数据卷(Docker Volume)的功能(命令为docker run -v)。将宿主机上的目录或文件挂载在容器内，就形成了数据卷。
数据卷和容器的数量关系:

• 一个容器可以拥有0个或多个数据卷
• 一个数据卷可以被多个容器共享

下图给出了一个适用数据卷的例子：

image.png

左边是宿主机上的目录结构。存储驱动操作的目录存放在/var/lib/docker下面。而/data目录则用于数据卷。两个容器共用了同一个数据卷，在容器中可以直接修改宿主机的/data目录下的内容。

Docker的存储驱动虽然在性能上做了很多优化，但还是无法和直接使用宿主机的存储驱动相比。因此，当涉及到频繁的写操作时（例如应用程序输出大量log），比较推荐的做法是使用数据卷的功能。

总结

以上便是容器和镜像的存储结构方面的内容。了解存储结构可以帮助我们更好的管理自己的应用。在构建Docker镜像的时候，要精简镜像的体积，只取应用需要的内容，尤其要控制单层镜像的体积（因为多层镜像的上传和下载是并发的，存在短板效应）。在启动容器的时候，要注意把高频读写的部分以数据卷的形式映射到宿主机上，以提高性能。
本文还提到了5种Docker的存储驱动，关于这5种存储驱动的优缺点和使用场景，以及它们的实现细节，因为内容比较多，所以放到下一篇文章介绍。

参考资料

About storage drivers
Visualizing Docker Containers and Images