谈到 Docker 我们不得不说以下三个技术

• Linux namespace
• CGroups
• UnionFS

这些技术是 docker 实现了容器隔离和文件资源共享一些关键技术。只有理解这些技术我们才能够真正

在从镜像仓库中 pull 一个镜像(Image)时候，通常会列出 pull 很多镜像而非只是 pull 我们想要的依赖镜像。从这我们就很清楚这些镜像是有依赖关系。依赖关系目的是什么，就是为了资源共享，将一些可以功能独立出来进行共享，这是我们在设计应用、语言甚至系统都需要考虑关系。

任何程序运行时都会有依赖，无论是开发语言层的依赖库，还是各种系统 lib、操作系统等，不同的系统上这些库可能是不一样的，或者有缺失的。为了让容器运行时一致，docker将依赖的操作系统、各种 lib 依赖整合打包在一起（即镜像），然后容器启动时，作为的根目录（根文件系统rootfs），使得容器进程的各种依赖调用都在这个根目录里，这样就做到了环境的一致性

unionFS

联合文件系统（Union File System）：联合文件系统可以把多个目录(也叫分支)内容联合挂载(注意这里是挂载)到同一个目录下，而目录的物理位置是分开的。

写时复制 (copy-on-write) 功能，写时复制也叫隐式共享，首先我们要明确写时复制是一种技术， UnionFS 可以把只读和可读写文件系统合并在一起，虚拟上允许只读文件系统的修改可以保存到可写文件系统当中。

AUFS

AUFS(Advanced multi-layered unification filesystem): AUFS 完全重写了早期的 UnionFS 1.x，其主要目的是为了可靠性和性能，并且引入了一些新的功能，比如可写分支的负载均衡。AUFS 的一些实现已经被纳入UnionFS 2.x版本。

层的概念(Layers)

想到层，每一个镜像其实都是通过一层一层镜像(从基础)嵌套而来，所以是有先后顺序，有顺序数据结构我们就自然会想到栈或者队列这样数据结构，他们都是按一定顺序存储数据结构
(Tomcat(JDK8(kernel)))。

每一个 Docker image 都是由一系列的read-only layers组成。image layers的内容都存储在Docker hosts filesystem的/var/lib/docker/aufs/diff目录下。而/var/lib/docker/aufs/layers目录则存储着image layer如何堆栈这些layer的metadata。

准备一台安装了Docker 1.11.2的ECS。在没有拉取任何镜像，启动任何容器的情况下，执行ls /var/lib/docker/aufs/diff命令，发现目录没有存储任何内容。拉取Ubuntu:15.04镜像，然后再次执行ls /var/lib/docker/aufs/diff命令。我们可以看到在docker pull的结果显示ubuntu:15.04镜像一共有 4 个 layers，在执行ls /var/lib/docker/aufs/diff命令的结果中也有四个对应的存储文件目录。这里有一点需要说明的是，自从Docker 1.10之后，diff目录下的存储镜像layer文件夹不再与镜像ID相同。最后cat /var/lib/docker/aufs/layers/6bb19cb345da470e015ba3f1ca049a1c27d2c57ebc205ec165d2ad8a44e148ea命令列出来的是堆栈里位于6bb19cb345da470e015ba3f1ca049a1c27d2c57ebc205ec165d2ad8a44e148ea layer下方的layers。

func NewDaemon(ctx context.Context, config *config.Config, pluginStore *plugin.Store) (daemon *Daemon, err error) {
    //...
    for operatingSystem, gd := range d.graphDrivers {
        layerStores[operatingSystem], err = layer.NewStoreFromOptions(layer.StoreOptions{
            Root:                      config.Root,
            MetadataStorePathTemplate: filepath.Join(config.Root, "image", "%s", "layerdb"),
            GraphDriver:               gd,
            GraphDriverOptions:        config.GraphOptions,
            IDMapping:                 idMapping,
            PluginGetter:              d.PluginStore,
            ExperimentalEnabled:       config.Experimental,
            OS:                        operatingSystem,
        })
    }
    //...
}

func NewStoreFromOptions(options StoreOptions) (Store, error) {
    driver, err := graphdriver.New(options.GraphDriver, options.PluginGetter, graphdriver.Options{
        Root:                options.Root,
        DriverOptions:       options.GraphDriverOptions,
        UIDMaps:             options.IDMapping.UIDs(),
        GIDMaps:             options.IDMapping.GIDs(),
        ExperimentalEnabled: options.ExperimentalEnabled,
    })
    //...
}

// New creates the driver and initializes it at the specified root.
func New(name string, pg plugingetter.PluginGetter, config Options) (Driver, error) {
    //...
    driversMap := scanPriorDrivers(config.Root)
    list := strings.Split(priority, ",")
    logrus.Debugf("[graphdriver] priority list: %v", list)
    for _, name := range list {
        if name == "vfs" {
            // don't use vfs even if there is state present.
            continue
        }
        if _, prior := driversMap[name]; prior {
            driver, err := getBuiltinDriver(name, config.Root, config.DriverOptions, config.UIDMaps, config.GIDMaps)
            //...
            return driver, nil
        }
    }
    //...
}