镜像的定义与作用

镜像是容器启动的基础模板，以只读形式存储文件系统结构和内容。它包含启动容器所需的完整环境，如操作系统文件、软件依赖等。每个镜像由多层（Layer）组成，这些层通过联合挂载技术整合为单一视图，供容器使用。

镜像层与容器启动过程

当基于镜像（如Ubuntu 14.04）启动容器时，镜像的只读层作为容器文件系统的底层，而顶部的可读写层用于存储容器运行时的修改。镜像的JSON配置文件会被解析，提取执行入口（CMD）和环境变量（ENV），用于初始化容器进程。

容器文件系统的组成

容器的文件系统分为三部分：

1. 只读层（Read-only Layers）：直接来源于镜像，不可修改。

2. 可读写层（Read-write Layer）：容器运行时所有变更（如新增或修改文件）均存储于此。

3. Init层（Init Layer）：存放容器初始化时生成的临时文件（如/etc/hosts），仅对当前容器有效。

联合挂载技术的原理

联合挂载将多个文件系统（如镜像层）合并为单一视图，使容器进程仅感知到统一的目录结构。例如，AUFS或OverlayFS存储驱动通过叠加只读层与读写层实现这一效果。但某些驱动（如Device Mapper）使用快照替代联合挂载，仍能达到分层目的。

写时复制（Copy-on-Write）机制

多个容器可共享同一镜像，仅当文件被修改时，才在可读写层复制并更新该文件。此机制节省存储空间并提升启动效率，避免重复复制镜像内容。

内容寻址存储（Content-addressable Storage）

Docker 1.10后引入内容寻址，根据文件内容哈希值（而非随机ID）索引镜像层。这减少ID冲突，增强镜像层的共享能力，同时确保数据完整性。

镜像提交与持久化

通过docker commit命令将容器的可读写层保存为新镜像时，仅存储变更部分，而非整个文件系统。新镜像继承原镜像的只读层，并在顶部新增包含修改的层。

容器文件系统的独立性

尽管依赖宿主机的内核，容器的文件系统通过分层与联合挂载实现隔离。进程仅感知整合后的文件视图，而底层结构（如只读层、Init层）对用户透明。这种设计既保证资源高效复用，又确保容器环境的轻量与一致性。