作者：tomxiang，CSIG应用开发工程师

一. 镜像容器基础

1. 基本概念

容器 = 镜像 + 读写层

2. 镜像

3. 容器

4. 运行的容器

一个运行态容器（running container）被定义为一个可读写的统一文件系统加上隔离的进程空间和包含其中的进程。下面这张图片展示了一个运行中的容器

正是文件系统隔离技术使得Docker成为了一个前途无量的技术。一个容器中的进程可能会对文件进行修改、删除、创建，这些改变都将作用于可读写层（read-write layer）。下面这张图展示了这个行为。

5. 镜像层(image layer)

元数据（metadata）就是关于这个层的额外信息，它不仅能够让Docker获取运行和构建时的信息，还包括父层的层次信息。需要注意，只读层和读写层都包含元数据。

除此之外，每一层都包括了一个指向父层的指针。如果一个层没有这个指针，说明它处于最底层。

二. 常用命令

1. docker create

docker create 命令为指定的镜像（image）添加了一个可读写层，构成了一个新的容器。注意，这个容器并没有运行

2. docker start

Docker start命令为容器文件系统创建了一个进程隔离空间。注意，每一个容器只能够有一个进程隔离空间。

3. docker run

docker start 和 docker run命令有什么区别

从图片可以看出，docker run 命令先是利用镜像创建了一个容器，然后运行这个容器。这个命令非常的方便，并且隐藏了两个命令的细节，但从另一方面来看，这容易让用户产生误解

4. docker ps

docker ps 命令会列出所有运行中的容器。这隐藏了非运行态容器的存在，如果想要找出这些容器，我们需要使用下面这个命令。

5. docker ps –a

docker ps –a命令会列出所有的容器，不管是运行的，还是停止的。

6. docker images

docker images命令会列出了所有顶层（top-level）镜像。实际上，在这里我们没有办法区分一个镜像和一个只读层，所以我们提出了top-level镜像。只有创建容器时使用的镜像或者是直接pull下来的镜像能被称为顶层（top-level）镜像，并且每一个顶层镜像下面都隐藏了多个镜像层。

7. docker images –a

docker images –a命令列出了所有的镜像，也可以说是列出了所有的可读层。如果你想要查看某一个image-id下的所有层，可以使用docker history来查看

8. docker stop

docker stop命令会向运行中的容器发送一个SIGTERM的信号，然后停止所有的进程。

9. docker kill

docker kill 命令向所有运行在容器中的进程发送了一个不友好的SIGKILL信号。

10. docker pause

docker stop和docker kill命令会发送UNIX的信号给运行中的进程，docker pause命令则不一样，它利用了cgroups的特性将运行中的进程空间暂停。具体的内部原理你可以在这里找到：https://www.kernel.org/doc/Doc ... m.txt，但是这种方式的不足之处在于发送一个SIGTSTP信号对于进程来说不够简单易懂，以至于不能够让所有进程暂停。

11. docker rm

docker rm命令会移除构成容器的可读写层。注意，这个命令只能对非运行态容器执行。

12. docker commit

docker commit命令将容器的可读写层转换为一个只读层，这样就把一个容器转换成了不可变的镜像。

13. docker build

docker build命令非常有趣，它会反复的执行多个命令。

14. docker exec

docker exec 命令会在运行中的容器执行一个新进程。

15. docker inspect or

docker inspect命令会提取出容器或者镜像最顶层的元数据。

16. docker save

docker save命令会创建一个镜像的压缩文件，这个文件能够在另外一个主机的Docker上使用。和export命令不同，这个命令为每一个层都保存了它们的元数据。这个命令只能对镜像生效。

17. docker export

docker export命令创建一个tar文件，并且移除了元数据和不必要的层，将多个层整合成了一个层，只保存了当前统一视角看到的内容（译者注：expoxt后的容器再import到Docker中，通过docker images –tree命令只能看到一个镜像；而save后的镜像则不同，它能够看到这个镜像的历史镜像）。

18. docker history

docker history命令递归地输出指定镜像的历史镜像。

19. docker prune

prune 命令用来删除不再使用的 docker 对象。 删除所有未被 tag 标记和未被容器使用的镜像:

$ docker image prune
WARNING! This will remove all dangling images.
Are you sure you want to continue? [y/N] y

删除所有未被容器使用的镜像:

$ docker image prune -a

三. 文件分层

docker commit 和 docker create是对应的,上图可以看到文件分为多层后最后有一个可读写的层 删除所有未被 tag 标记和未被容器使用的镜像:

四. 实战

1. Docker迁移与备份

1. 我们可以通过以下命令将容器保存为镜像
2. 我们可以通过以下命令将镜像保存为tar 文件
3. 首先我们先删除掉mynginx_img镜像 然后执行此命令进行恢复

docker commit mynginx mynginx_i
docker save -o mynginx.tar mynginx_i
docker load -i mynginx.tar

2. 从Dockerfile中查看分层镜像

我有一个ordersystem容器，Dockerfile文件如下:

FROM csighub.tencentyun.com/medipedia/medi-saas-go:latest

RUN mkdir -p /app/logs/
ADD pop-admin-server /usr/local/services/pop-admin-server/
COPY script/supervisord.ini /etc/supervisord.d/
COPY script/kick_start.sh /etc/kickStart.d/

# 创建存放导入文件的目录
RUN mkdir -p /usr/local/services/pop-admin-server/importfile
RUN mkdir -p /usr/local/services/pop-admin-server/upload
# fix a protocol buffer namespace conflict
ENV GOLANG_PROTOBUF_REGISTRATION_CONFLICT warn

# 修改镜像的显示字符集
ENV LANG en_US.UTF-8

我们查看镜像

[root@VM-0-14-centos ordersystem]# docker images -a
REPOSITORY      TAG          IMAGE ID       CREATED          SIZE
ordersystem     3.1          e1a9552f4a9a   51 minutes ago   380MB
                 42959ee6c01b   51 minutes ago   380MB
                 4b45c5bb3b60   51 minutes ago   380MB
                 7de0f7950baf   51 minutes ago   380MB
                 5eccd3fb7501   51 minutes ago   380MB
                 516957abdce4   51 minutes ago   380MB
                 4c72f0036ea9   51 minutes ago   380MB

这里需要思考一下none是啥呢？

[root@VM-0-14-centos ordersystem]# docker history e1a9552f4a9a
IMAGE          CREATED          CREATED BY                                      SIZE      COMMENT
e1a9552f4a9a   50 minutes ago   /bin/sh -c #(nop)  CMD ["/etc/kickStart.d/ki…   0B        
7de0f7950baf   50 minutes ago   /bin/sh -c #(nop)  EXPOSE 8000                  0B        
42959ee6c01b   50 minutes ago   /bin/sh -c #(nop)  ENV GO111MODULE=on CGO_EN…   0B        
4b45c5bb3b60   50 minutes ago   /bin/sh -c chmod +x /etc/kickStart.d/kick_st…   327B      
516957abdce4   50 minutes ago   /bin/sh -c #(nop) COPY file:063b1bd47099a218…   327B      
4c72f0036ea9   50 minutes ago   /bin/sh -c #(nop) COPY file:1edd608d8faba17f…   381B      
5eccd3fb7501   50 minutes ago   /bin/sh -c #(nop) ADD file:446cb8b7dbc762daa…   13.5MB  

3. 容器的可读写层

容器的可读写层就是容器是可以用exec -it 去进入容器，但是镜像不行，容器可更改，镜像不行

[root@VM-0-14-centos ordersystem]# docker ps 
CONTAINER ID   IMAGE             COMMAND                  CREATED       STATUS       PORTS                                                  NAMES
67252e999d5d   mysql             "docker-entrypoint.s…"   9 days ago    Up 9 days    0.0.0.0:3306->3306/tcp, :::3306->3306/tcp, 33060/tcp   mysql
ffcb1d91e28f   ordersystem:2.2   "/etc/kickStart.d/ki…"   2 weeks ago   Up 2 weeks   0.0.0.0:9020->8000/tcp, :::9020->8000/tcp              ordersystem
853c6e86eee6   nginx             "/docker-entrypoint.…"   5 weeks ago   Up 2 weeks   0.0.0.0:80->80/tcp, :::80->80/tcp                      mynginx
[root@VM-0-14-centos ordersystem]# docker exec -it ffcb1d91e28f /bin/sh
/go # ls
bin              src              supervisord.log  supervisord.pid

4. 编译镜像以及发布

docker run :运行镜像生成容器( d表示运行在后台，-p表示绑定到指定的主机端口）

docker build -t hellogin -f Dockerfile 
docker images
docker run --name=hellogin -d -p 9020:8000 hellogin

让本地和远程共享文件

docker run --name=hellogin -d -p 9020:8000 hellogin

参考文档

1. 10张图带你深入理解Docker容器和镜像 - DockOne.io无标题文档
   
2. Docker迁移与备份 - 腾讯云开发者社区-腾讯云
   
3. docker prune 命令