docker 4 section

镜像和容器的关系：

镜像是容器的基础，每次执行 docker run 的时候都会指定哪个镜像作为容器运行的基础。
我们可以使用的都是来自于 Docker Hub 的镜像。直接使用这些镜像是可以满足一定的需求，而当这些镜像无法直接满足需求时，我们就需要定制这些镜像。
镜像是多层存储，每一层是在前一层的基础上进行的修改；而容器同样也是多层存储，是在以镜像为基础层，在其基础上加一层作为容器运行时的存储层。

定制一个WEB服务器为例，来理解镜像时如何构建完成的：
$ docker run --name webserver -d -p 80:80 nginx

这条命令会用 nginx 镜像启动一个容器，命名为 webserver ，并且映射了 80 端口，这样就可以用浏览器去访问这个 nginx 服务器。

现在，假设我们自定义页面，我们可以使用docker exec 命令进入容器，修改其内容：

$ docker exec -it webserver bash
root@3729b97e8226:/# echo '<h1>Hello, Docker!</h1>' > /usr/share/nginx/html/index.html
root@3729b97e8226:/# exit
exit

再次访问：

修改了容器的文件，也就是改动了容器的存储层。可以通过 docker diff 命令看到具体的改动：

[root@work volumes]# docker diff webserver
C /root
A /root/.bash_history
C /run
A /run/nginx.pid
D /run/secrets
C /usr
C /usr/share
C /usr/share/nginx/html
C /usr/share/nginx/html/index.html
C /var
C /var/cache
C /var/cache/nginx
D /var/cache/nginx/client_temp
D /var/cache/nginx/fastcgi_temp
D /var/cache/nginx/proxy_temp
D /var/cache/nginx/scgi_temp
D /var/cache/nginx/uwsgi_temp

保存镜像：

Docker 提供了一个 docker commit 命令，可以将容器的存储层保存下来成为镜像。换句话说，就是在原有镜像的基础上，再叠加上容器的存储层，并构成新的镜像。以后我们运行这个新镜像的时候，就会拥有原有容器最后的文件变化。

docker commit 的语法格式为：
docker commit [选项] <容器ID或容器名> [<仓库名>[:<标签>]]

[root@work ~]# docker commit webserver nginx:v2
sha256:a7a2e8ca8062198f96d8e1410fcd90ee5706c18857709dc6462fee72fc94c1ea

可以用 docker images 中看到这个新定制的镜像：

[root@work ~]# docker images
REPOSITORY              TAG                 IMAGE ID            CREATED              SIZE
nginx                   v2                  a7a2e8ca8062        About a minute ago   109 MB
docker.io/centos        latest              9f38484d220f        34 hours ago         202 MB
docker.io/nginx         latest              881bd08c0b08        11 days ago          109 MB

可以用 docker history 具体查看镜像内的历史记录，如果比较 nginx:latest 的历史记录，会发现新增了刚刚提交的这一层。

[root@work ~]# docker history nginx:v2
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
a7a2e8ca8062        2 minutes ago       nginx -g daemon off;                            97 B                
881bd08c0b08        11 days ago         /bin/sh -c #(nop)  CMD ["nginx" "-g" "daem...   0 B                 
<missing>           11 days ago         /bin/sh -c #(nop)  STOPSIGNAL SIGTERM           0 B                 
<missing>           11 days ago         /bin/sh -c #(nop)  EXPOSE 80                    0 B                 
<missing>           11 days ago         /bin/sh -c ln -sf /dev/stdout /var/log/ngi...   22 B                
<missing>           11 days ago         /bin/sh -c set -x  && apt-get update  && a...   54 MB               
<missing>           11 days ago         /bin/sh -c #(nop)  ENV NJS_VERSION=1.15.9....   0 B                 
<missing>           11 days ago         /bin/sh -c #(nop)  ENV NGINX_VERSION=1.15....   0 B                 
<missing>           11 days ago         /bin/sh -c #(nop)  LABEL maintainer=NGINX ...   0 B                 
<missing>           11 days ago         /bin/sh -c #(nop)  CMD ["bash"]                 0 B                 
<missing>           11 days ago         /bin/sh -c #(nop) ADD file:5ea7dfe8c8bc87e...   55.3 MB 

新的镜像定制好后，我们可以来运行这个镜像。
docker run --name web2 -d -p 81:80 nginx:v2

这里命名为新的服务为 web2 ，并且映射到 81 端口。
至此，第一次完成了定制镜像，使用的是 docker commit 命令，手动操作给旧的镜像添加了新的一层，形成新的镜像，对镜像多层存储应该有了更直观的感觉。

慎用 docker commit：

使用 docker commit 命令虽然可以比较直观的帮助理解镜像分层存储的概念，但是实际环境中并不会这样使用。

首先，如果仔细观察之前的 docker diff webserver 的结果，你会发现除了真正想要修改的 /usr/share/nginx/html/index.html 文件外，由于命令的执行，还有很多文件被改动或添加了。这还仅仅是最简单的操作，如果是安装软件包、编译构建，那会有大量的无关内容被添加进来，如果不小心清理，将会导致镜像极为臃肿。

此外，使用 docker commit 意味着所有对镜像的操作都是黑箱操作，生成的镜像也被称为黑箱镜像，换句话说，就是除了制作镜像的人知道执行过什么命令、怎么生成的镜像，别人根本无从得知。而且，即使是这个制作镜像的人，过一段时间后也无法记清具体在操作的。虽然 docker diff 或许可以告诉得到一些线索，但是远远不到可以确保生成一致镜像的地步。这种黑箱镜像的维护工作是非常痛苦的。

而且，回顾之前提及的镜像所使用的分层存储的概念，除当前层外，之前的每一层都是不会发生改变的，换句话说，任何修改的结果仅仅是在当前层进行标记、添加、修改，而不会改动上一层。如果使用 docker commit 制作镜像，以及后期修改的话，每一次修改都会让镜像更加臃肿一次，所删除的上一层的东西并不会丢失，会一直如影随形的跟着这个镜像，即使根本无法访问到。这会让镜像更加臃肿。