深入解析docker文件分层原理

概述

本文使用一个docker container示例，讲述docker的文件分层的一些原理

知识预备

• docker其实是使用了Linux Kernel的一些特性Features来实现的资源隔离，文件系统就是其中一种，但docker为了使资源可以更高效的被利用，采用了分层次的文件系统结构，来实现container的文件系统。
• 个人觉得原理有点像平行宇宙的概念，有人认为，我们这个宇宙是存在平行宇宙的，也就是我们所做的不同的选择，都会分发出不同宇宙，并持续运行下去，而做梦就是可以游走在这些平行宇宙间。这里也是有点类似，我们打包好的一个镜像后，通过docker run进行运行后，其实就是在这个基础上创建了一个不同的宇宙了，随着container的持续运行，container的内容跟原来的镜像上的东西就会有很多偏差diff，而逐步形成了自己的一个宇宙。

Docker 文件系统

从docker inspect [container-id] --format={ {.GraphDriver}}可以获取到各个container的文件系统分层情况

{map[LowerDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b-init/diff:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/diff MergedDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b/merged UpperDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b/diff WorkDir:/var/lib/docker/overlay2/52f456f455215e56b77087495a5d35323fbf1c0e0391f45349f386006c75865b/work] overlay2}

主要有以下四种

LowerDir

这个是所有基于该镜像的container都会指向同一个的文件系统，是镜像层，所有的container都会使用该层。

那么该层是从哪里来的呢，我们可以看下我们的所用的镜像

MergedDir

这个是不同的container会结合Lower层和Upper层，来提供给container中的最终文件系统

UpperDir

这个是记录不同的container的操作，再通过Lower层的对比比较，可以生成一个Merge层

WorkDir

暂未深入了解

示例

docker run -d alpine:latest

查看镜像层的文件系统信息

docker inspect alpine --format={{.GraphDriver}}

{map[MergedDir:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/merged UpperDir:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/diff WorkDir:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/work] overlay2}

注意到UpperDir，这个是镜像的upper层，也就是我们可以在这层面去做修改啥的，会影响之后创建的container

查看container的文件系统信息

docker inspect 9a118484ba --format={{.GraphDriver}}

{map[LowerDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14-init/diff:/var/lib/docker/overlay2/e4b90240aa77212dde6499a49c421d26977ed9fe8a1f6fcbaaaf77d85c67654e/diff MergedDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14/merged UpperDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14/diff WorkDir:/var/lib/docker/overlay2/3d3f32727c4f7867d43c1e61d635ac0ed22e95ff39c66240166dd6614b81fe14/work] overlay2}

可以看到container的Lower层，就是镜像的upper层，我们对container所作的修改，都会在upper层进行体现，并且有merged层进行整理后展示给container。

我们可以用命令行查看container文件系统的变化情况

docker diff 9a118484ba

由于我们未对container进行操作，所以现在这个container跟镜像是无差异的

我们再启动一个container，并且让他sleep 300秒，然后进去container修改一些文件信息

# docker exec -it ca91bb /bin/sh
/ # echo "helloWorld" > /tmp/hello.txt

查看container文件系统的变化情况

docker diff ca91bbffb801
C /root
C /root/.ash_history
C /tmp
A /tmp/hello.txt

可以看到，我们对文件系统做了这些改动，均被记录下来了

这些内容，其实就在UpperDir的目录下

tree -L 1 diff/
diff/
├── root
└── tmp
2 directories, 0 files

从宿主机修改container内容

从以上的实验中，我们可以知道，upper层就是增加的内容，通过同lower层进行merge，来反映container的变化。那么我们是否可以直接修改upper层，来对container进行操作呢？

我们在upper所在的目录中，增加一个目录demo，并且在里面touch一个文件

# tree -L 2 ./
./
├── demo
│   └── mytest.log
├── root
└── tmp
    └── hello.txt

我们从container看看是否可以看到我们所创建的文件

/demo # pwd
/demo
/demo # ls
mytest.log

可以看到，已经生效了，所以，如果我们要初始化掉这个container，可以直接将upper层的内容进行全部删除即可。

应用

• 查找软件安装痕迹

在之前做项目的过程中，客户总是需要我们提供，我们这个代理软件到底会去修改哪些内容，一直也没有找到比较好的方法去给客户提供，从这个docker的分层文件的应用来看，我们可以把代理部署在一个container上面，然后就可以一目了然地发现软件会修改哪些目录和文件了。

• 快速恢复container
• 快速同container文件系统交互
• 保护底层的文件系统不被破坏
• 节省宿主机空间