什么是容器镜像？

　　镜像是容器的模板，容器运行需要借助镜像来装载环境。镜像描述了容器所需的运行时环境，我们以Docker镜像为例来了解镜像到底是什么。

　　Docker镜像实际上是由一层一层的文件系统构成，这种层级的文件系统称为UnionFS。UnionFS文件系统是一种分层、轻量级并且高性能的文件系统，它支持对文件系统的修改作为一次提交来一层层的叠加，同时可以将不同目录挂载到同一个虚拟文件系统下。

　　Docker镜像可以通过分层来进行继承，基于基础镜像（没有父镜像），可以制作各种具体的镜像。一次同时加载多个文件系统，但从外面看起来，只能看到一个文件系统，联合加载会把各层文件系统加载起来，这样最终的文件系统会包含所有的底层文件和目录。

　　UnionFS主要包含bootloader和kernel，bootloader主要是引导加载kernel，Linux刚启动时会加载bootfs文件系统，在Docker镜像的最底层是bootfs。这一层与我们典型的linux/unix系统是一样的，包含boot加载器内核。当boot加载完之后整个内核就都在内存中了，此时内存的使用权已经由bootfs交给内核了，此时系统也会卸载bootfs。对于一个精简的OS，rootfs可以很小，只需要包括最基本的命令、工具和程序库就行，因为底层直接用host和kernel，自己只需要提供rootfs就行。由此可见对于不同的Linux发行版，bootfs基本是一致的，rootfs会有差别，因此不同的发行版可以公用bootfs。

　　在下载镜像的过程中我们可以看到Docker的镜像好像是在一层一层的下载，这些层其实都是文件系统，使用分层思想主要是为了实现文件系统的共享，比如多个镜像都从相同的base镜像构建而来，那么宿主机只需要在磁盘上保存一份base镜像，同时内存中也需要加载一份base镜像，就可以为所有上层文件系统提供服务了。而且镜像的每一层都可以被共享。

　　Docker 支持通过扩展现有镜像，创建新的镜像。实际上，Docker Hub 中 99% 的镜像都是通过在 base 镜像中安装和配置需要的软件构建出来的。新镜像是从 base 镜像一层一层叠加生成的。每安装一个软件，就在现有镜像的基础上增加一层，其构建过程 如下：

　　当容器启动时，一个新的可写层被加载到镜像的顶部。这一层通常被称作“容器层”，“容器层”之下都叫“镜像层”，可写层可以改动，镜像层则为只读的，其容器的结构如下图：

　　镜像本身是不可描述的，Docker提供了镜像文件Dockerfile机制，Dockerfile是一个文本文件，内容包含了一条条构建镜像所需的指令和说明， 它可以用来构建镜像，我们还可以通过它了解镜像的信息和功能。因此镜像的产生有仓库拉取、commit、dockerfile构建等几种方式，如图所示：