1. 鏡像構建

       鏡像的構建(jian)需要(yao)根據oci定義的規范(fan)來進行構建(jian)，OCI鏡像(xiang)規范(image-spec)指定了鏡像(xiang)需(xu)要(yao)按(an)照什(shen)么標準來構建，Dockerfile則決定了鏡像(xiang)的layer(鏡像(xiang)層)的內(nei)容(rong)和(he)相關一些元數據  簡而言(yan)之(zhi)：

                          image-spec+DockerFile ====> image

1.1 鏡像構建的(de)過(guo)程

構建鏡像(xiang)docker build的流程:

• 在(zai)Docker Cli 執行鏡像構建命令并且(qie)使用-f參數來指(zhi)定Dockerfile文(wen)件，-t 指(zhi)定構建出的(de)鏡像標簽信息;

• Docker Cli 會將構建命令后面指定的路徑(.)上下文環境所有文件(jian)打包成(cheng)一個 tar 包，并發送給(gei) Docker 服務端;

• Docker Deamon 收到(dao)客(ke)戶(hu)端發(fa)送的(de)(de) tar 包(bao)并解(jie)壓,根(gen)據 Dockerfile 里(li)面的(de)(de)指(zhi)令進行(xing)鏡像(xiang)的(de)(de)分層構建;

• Docker 下載 FROM 語句中(zhong)指定(ding)的基礎鏡像，然后將(jiang)基礎鏡像的 layer 聯合掛載為一層并在上面創(chuang)建一個空目錄；

• 此時(shi)會啟動一個臨時(shi)的容器并在 chroot 中啟動一個 bash, 運行(xing) RUN 語句中的命令：RUN : chroot . bin/bash -c "apt get update ... ..."

• 在(zai)RUN命令執(zhi)行(xing)完畢(bi)后，會將當前層目錄進(jin)行(xing)壓縮從而形成新(xin)鏡像中(zhong)的新(xin)的一層, 同時為下一層提供基(ji)礎鏡像;

• 如果 Dockerfile 中包含(han)其它命令，就以之前(qian)構建(jian)的層(ceng)次為基礎，從第二步(bu)開始重復創(chuang)建(jian)新層(ceng)，直(zhi)到完成所有語(yu)句(ju)后退出；

• 在 Dockerfile 中包(bao)含(han)的所有(you)指令(ling)命(ming)令(ling)執(zhi)行完(wan)畢后鏡(jing)像構建完(wan)成，并(bing)為該鏡(jing)像打(da)上(shang)Tag

2. 鏡像存儲

2.1 本地存儲

當(dang)Docker 在構(gou)建完(wan)鏡像后會(hui)將其存儲在Docker 本地存儲家目錄中，默認情況(kuang)即/var/lib/docker/

一個image 包含 Manifest 、images Index 、 Layer Filesystem、Image Configuration

對于鏡像存(cun)儲路徑最重要的(de)默認路徑下(xia)的(de)image 和(he) overlay2 這個兩個目(mu)錄(lu)，容器(qi)(qi)的(de)元數(shu)據存(cun)放在(zai) image 目(mu)錄(lu)下(xia)，容器(qi)(qi)的(de) layer 數(shu)據則存(cun)放在(zai) overlay2 目(mu)錄(lu)下(xia)。

/var/lib/docker/image/overlay2/repositories.json

當我們(men) docker run 一個容(rong)器的時候也用到這個文件去(qu)索引本地(di)是否存在該(gai)鏡像，沒有鏡像的話就自動(dong)去(qu) pull 這個鏡像。

/var/lib/docker/image/overlay2/imagedb/content/sha256

存放目(mu)錄名為鏡像id內容是image config

2.2 容器在磁盤的存儲

容器的文件系(xi)統分為三層(ceng)(ceng): - r/o層(ceng)(ceng)：也就是鏡像層(ceng)(ceng) - init層(ceng)(ceng)：啟動(dong)容器時的參數 - r/w層(ceng)(ceng)：可讀寫層(ceng)(ceng)

前面我們(men)知道鏡像(xiang)存儲在(zai)/var/lib/docker/overlay2下面，這(zhe)里不僅(jin)包含了只讀（r/o）層(ceng)，init層(ceng)和r/w層(ceng)都在(zai)這(zhe)個里面。 

運(yun)行一個(ge)容器(qi)會返回一個(ge)容器(qi)id. 通過這個(ge)id，我們(men)能在(zai)/var/lib/docker/image/overlay2/layerdb/mounts目錄下找到該(gai)容器的信(xin)息(xi)：

2.3 查找本地鏡像的過程

1. 查找/var/lib/docker/image/overlay2/repositories.json文件，找到對(dui)應(ying)版本的(de)imageId

2. 根據imageId在/var/lib/docker/image/overlay2/imagedb/content/sha256文件，文件名為(wei)imageId,內(nei)容是對應鏡像配置(zhi)(image.config)

3. 根據Image.config內的diff_id 到image/overlay2/layerdb/sha256 查找，根據chainID和diff_id的計算公式

 chaninid(1) = diffid(1)  chainid(n) = sha256(chain(n-1) diffid(n) )

4. 上述計(ji)算可以獲(huo)取各個不同鏡像層(ceng)在 /var/lib/docker/overlay2 目錄下各個鏡像層(ceng)的uuid目錄

5. 上(shang)述uuid目(mu)錄(lu)下的(de)diff 就(jiu)是各(ge)個鏡像(xiang)層的(de)文件(jian)系統

3 鏡像id梳理

imageID是對Image Configuration文(wen)件的sha256哈希后(hou)的得到(dao)

manifest_digestId是對docker pull拉取(qu)鏡像(xiang)的manifest文件的sha256哈希得(de)到的字符(fu)串

layer_diffId是對layer文件(.tar)sha256哈(ha)希得到(dao)的id

manifest_layer_digest是對壓縮后(hou)的(de)layer文件（.tar.gz） sha256哈希的(de)到id

chainId 計(ji)算(suan)diff_id獲取，公式：chaninid(1) = diffid(1)  chainid(n) = sha256(chain(n-1) diffid(n) )

cache_id 宿(su)主機隨機生成的uuid