docker包括三个基本概念：

• 镜像（image）
• 容器（container）
• 仓库（Repository）

1. 镜像

操作系统分为内核和用户空间

对于Linux而言，内核启动后，会挂载root文件系统为其提供用户空间支持。

而docker镜像（Image），就相当于是一个root文件系统。

比如：官方镜像ubuntu:18.04就包含了完整的一套Ubuntu18.04最小系统的root文件系统

docker镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）

镜像不包含任何动态数据，其内容在构建之后也不会改变

分层存储

因为镜像包含操作系统完整的root文件系统，其体积往往是庞大的，因此在docker设计时，就充分利用UnionFS的技术，将其设计为分层存储的架构。

所以严格来说，镜像并非是像一个IOS那样的打包文件，镜像只是一个虚拟的概念，其实际体现并非由一个文件组成，而是一组文件系统组成，或者说，由多层文件系统联合组成。

镜像构建时，会一层层构建，前一层是后一层的基础。

每一层构建完就不会再发生改变，后一层的任何改变只发生在自己这一层。

比如，删除前一层文件的操作，实际不是真的删除前一层的文件，而是仅在当前层标记为该文件已删除。

在最终容器运行的时候，虽然不会看到这个文件，但是实际上该文件会一直跟随镜像。

因此，在构建镜像的时候，需要额外小心，每一层尽量只包含该层需要添加的东西，任何额外的东西应该在该层构建结束前清理掉

分层存储的特征还使得进项的复用、定制变得更为容易。甚至可以用之前构建好的镜像作为基础层，然后进一步添加新的层，以定制自己所需的内容，构建新的镜像。

2.容器

镜像（image）和容器（container）的关系，就像是面向对象程序设计中的类和实例一样

镜像是静态的定义，容器是镜像运行时的实体

容器可以被创建、启动、停止、删除、暂停等。

容器的实质是进程,但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的命名空间。

因此容器可以拥有自己的root文件系统、自己的网络配置、自己的进程空间，甚至自己的用户ID空间

容器内的进程是运行在一个隔离的环境内，使用起来，就好像是独立于宿主的系统下操作一样

这种特性使得容器封装的应用比直接在宿主运行更加安全

也因为这种隔离的特性，很多人初学docker时常常会混淆容器和虚拟机

镜像使用的是分层存储，容器也是如此。每一个容器运行时，是以镜像为基础层，在其上创建一个当前容器的存储层，我们可以称之为容器运行时读写而准备的存储层为容器存储层

容器存储层的生命周期和容器一样，容器存储层也随之消亡

因此，任何保存于容器存储层的信息都会随容器删除而丢失

---

按照docker最佳实践的要求，容器不应该向其存储层内写入任何数据，容器存储层要保持维护状态化

所有的文件写入操作，都应该使用数据卷(Volume)、或者绑定宿主目录，在这些位置的读写会跳过容器存储层，直接对宿主(或网络存储)发生读写，其性能和稳定性更高

数据卷的生命周期独立于容器，容器消亡，数据卷不会消亡

因此，使用数据卷后，容器删除或者重新运行之后，数据却不丢失。

例如：可采用docker-compose.yaml的方式来存储数据卷

yml
 backend:
    image: "py:v2.9"
    volumes:
      - /mnt/svn/2022三供一业微应用/HY_DataService_MicroService:/home/work/hy2020/HY_DataService:ro
      - ./py/module.ini:/home/work/hy2020/cfg/module.ini:ro
      - /mnt/svn/2022三供一业微应用/HY_DataService_MicroService/Application/Running/AppMain/urls.py:/home/work/hy2020/pycfg/urls.py:ro
      - ./py/log:/home/work/hy2020/log
      - ./py/svg:/home/work/hy2020/svg
      - /usr/share/zoneinfo/:/usr/share/zoneinfo/:ro
      - /etc/localtime:/etc/localtime:ro
      - /root:/root
    working_dir: /home/work/hy2020
    restart: always
    ports:
      - 19097:19097
    environment:
      - PYTHONPATH=/home/work/hy2020/HY_DataService:/home/work/hy2020/pycfg
      - HY2020=/home/work/hy2020
    entrypoint: [python3,/home/work/hy2020/HY_DataService/Application/Running/AppMain/main.py,'--port=19097','--process_num=3']
    depends_on:
      - db
      - rtdb
    links:
      - db
      - rtdb
    networks:
      - back-tier

3. docker registry

镜像构建完成后，可以很容易的在当前宿主机上运行，但是，如果需要在其他服务器上使用这个镜像，我们就需要一个集中的存储、分发镜像的服务，Docker Registry是这些的服务。

一个docker registry中可以包含多个库(Repository)；每个仓库可以包含多个标签(Tag)；每个标签对应一个镜像

通常，一个仓库会包含同一个软件不同版本的镜像，而标签就常用于对应该软件的各个版本

我们可以通过<仓库名>:<标签>的格式来指定具体是这个软件哪个版本的镜像。如果不给出标签，将以latest作为默认标签。

docker registry公开服务

docker registry公开服务是开发给用户使用、允许用户管理镜像的registry服务。

一般这类公开服务允许用户免费上传、下载公开的镜像，并可能提供收费服务供用户管理私有镜像

最常用的公开服务

• dockerhub
• redhat的quay.io
• google的google container registry
• github的ghcr.io

针对dockerhub提供的加速

• 阿里云加速器
• daoCloud加速器

国内云服务商

• 网易云镜像服务
• DaoCloud镜像市场
• 阿里云镜像库

私有Docker Registry

除了使用公开服务外，用户还可以在本地搭建私有 Docker Registry

开源的 Docker Registry 镜像只提供了 Docker Registry API (opens new window)的服务端实现，足以支持 docker 命令，不影响使用。但不包含图形界面，以及镜像维护、用户管理、访问控制等高级功能。