07 | 白话容器基础（三）：深入理解容器镜像

有读者反映，咱们重新挂载/tmp目录的实验执行完成后，在宿主机上居然可以看到这个挂载信息。。这是怎么回事呢？实际上，大家自己装的虚拟机，或者云上的虚拟机的根目录，很多都是以share方式的挂载的。这时候，你在容器里做mount也会继承share方式。这样就会把容器内挂载传播到宿主机上。解决这个问题，你可以在重新挂载/tmp之前，在容器内先执行一句：mount(“”, “/“, NULL, MS_PRIVATE, “”) 这样，容器内的根目录就是private挂载的了。

1. 上面的读写层通常也称为容器层，下面的只读层称为镜像层，所有的增删查改操作都只会作用在容器层，相同的文件上层会覆盖掉下层。知道这一点，就不难理解镜像文件的修改，比如修改一个文件的时候，首先会从上到下查找有没有这个文件，找到，就复制到容器层中，修改，修改的结果就会作用到下层的文件，这种方式也被称为copy-on-write。 2. 查了一下，包括但不限于以下这几种：aufs, device mapper, btrfs, overlayfs, vfs, zfs。aufs是ubuntu 常用的，device mapper 是 centos，btrfs 是 SUSE，overlayfs ubuntu 和 centos 都会使用，现在最新的 docker 版本中默认两个系统都是使用的 overlayfs，vfs 和 zfs 常用在 solaris 系统。 欢迎补充和指正。

继Namespace构建了四周的围墙（进程隔离），Cgroups构建了受控的天空优先使用阳光雨露（资源限制），Mount namespace与rootfs构建了脚下的大地，这片土地是你熟悉和喜欢的，不管你走到哪里，都可以带着它，就好像你从未离开过家乡，没有丝毫的陌生感（容器的一致性）～

目录联合挂载时，如果A和B目录里的x文件内容不一样，这时如何处理？

请问老师，听了您今天的课，认识到容器使用的内核是和宿主机内核一致的，但如果容器需要不同的内核怎么办？

老师你好，很好奇dockerhub上关于系统镜像的制作过程，比如对于centos7.4的镜像，首先能想到的是应该依据centos官方发布的centos7.4的系统镜像，然后将此镜像中的内核给去掉，仅保留剩下的文件、配置和目录或者是保留必要的文件、配置和目录；但通过查看centos7.4的Dockerfile之后发现其依赖的base image是scratch，然后在scratch的基础上添加centos-7.4.1708-docker.tar.xz，后来查看ubuntu镜像发现其base image也是scratch，老师能简单说下scratch基础镜像吗（镜像文件的制作过程等），猜想scratch应该是包含了多个系统之间共同的东西，否则为啥多个版本的系统镜像以及不同版本的系统镜像的基础镜像都用的是scratch，所以对scratch基础镜像很好奇，望老师指点一下

喜欢这种从出现到发展、由浅入深、由一小段代码讲述某种实现的讲述，既容易理解，也深入了解了原理。娓娓道来，很有条理，就像身临当时docker的实现场景！

女朋友1 3 5追电视剧，我1 3 5追k8s。

docker run -ti ubuntu /bin/bash 此时会有一个隐式的chroot过程 请问这个chroot的过程是将/bin/bash进程的Home目录切换成了/var/lib/docker/aufs/mnt/[id]了么？

请教一个低级的问题，我现在用docker部署，在多次部署以后，会导致磁盘占用空间急剧的增大，老是需要扩容，虽然对不使用的镜像定时做了删除，但还是会出现这样的问题，产生的文件也不敢在生产环境随便进行删除，只能清理镜像和容器。