映像的实例称为容器。你有一个图像，它是你描述的一组图层。如果启动这个映像，就有了这个映像的运行容器。同一个映像可以有多个正在运行的容器。

你可以用docker images看到你所有的图像，而你可以用docker ps看到你正在运行的容器(你可以用docker ps -a看到所有的容器)。

因此，映像的运行实例就是一个容器。

虽然将容器看作一个运行的映像是最简单的，但这并不十分准确。

An image is really a template that can be turned into a container. To turn an image into a container, the Docker engine takes the image, adds a read-write filesystem on top and initialises various settings including network ports, container name, ID and resource limits. A running container has a currently executing process, but a container can also be stopped (or exited in Docker's terminology). An exited container is not the same as an image, as it can be restarted and will retain its settings and any filesystem changes.

摘自我关于Docker部署自动化的文章(存档):

Docker Images vs. Containers

在Dockerland，有图像，也有容器。这两者密切相关，但又截然不同。对我来说，把握这种二分法极大地澄清了Docker。

什么是图像?

映像是惰性的、不可变的文件，本质上是容器的快照。映像是用build命令创建的，当使用run启动时，映像将生成一个容器。图像存储在Docker注册表中，例如registry.hub.docker.com。由于图像可以变得相当大，因此图像被设计成由其他图像的层组成，在通过网络传输图像时允许发送最少的数据。

本地映像可以通过运行docker映像列出:

REPOSITORY                TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
ubuntu                    13.10               5e019ab7bf6d        2 months ago        180 MB
ubuntu                    14.04               99ec81b80c55        2 months ago        266 MB
ubuntu                    latest              99ec81b80c55        2 months ago        266 MB
ubuntu                    trusty              99ec81b80c55        2 months ago        266 MB
<none>                    <none>              4ab0d9120985        3 months ago        486.5 MB

需要注意的一些事情:

IMAGE ID is the first 12 characters of the true identifier for an image. You can create many tags of a given image, but their IDs will all be the same (as above). VIRTUAL SIZE is virtual because it's adding up the sizes of all the distinct underlying layers. This means that the sum of all the values in that column is probably much larger than the disk space used by all of those images. The value in the REPOSITORY column comes from the -t flag of the docker build command, or from docker tag-ing an existing image. You're free to tag images using a nomenclature that makes sense to you, but know that docker will use the tag as the registry location in a docker push or docker pull. The full form of a tag is [REGISTRYHOST/][USERNAME/]NAME[:TAG]. For ubuntu above, REGISTRYHOST is inferred to be registry.hub.docker.com. So if you plan on storing your image called my-application in a registry at docker.example.com, you should tag that image docker.example.com/my-application. The TAG column is just the [:TAG] part of the full tag. This is unfortunate terminology. The latest tag is not magical, it's simply the default tag when you don't specify a tag. You can have untagged images only identifiable by their IMAGE IDs. These will get the <none> TAG and REPOSITORY. It's easy to forget about them.

更多关于图像的信息可以从Docker文档和术语表中获得。

容器是什么?

用一个编程的比喻来说，如果一个图像是一个类，那么容器就是一个类的实例——一个运行时对象。容器是你使用Docker的原因;它们是运行应用程序的环境的轻量级和可移植封装。

使用docker ps查看本地运行容器:

CONTAINER ID        IMAGE                               COMMAND                CREATED             STATUS              PORTS                    NAMES
f2ff1af05450        samalba/docker-registry:latest      /bin/sh -c 'exec doc   4 months ago        Up 12 weeks         0.0.0.0:5000->5000/tcp   docker-registry

这里我运行dockerized版本的docker注册表，这样我就有一个私有的地方来存储我的图像。这里有几点需要注意:

和IMAGE ID一样，CONTAINER ID是容器的真实标识符。它有相同的形式，但它识别了不同种类的物体。 Docker ps只输出正在运行的容器。你可以使用docker ps -a查看所有的容器(正在运行或已停止)。 NAMES可以通过——name标志来标识一个启动的容器。

如何避免图像和容器堆积

我早期使用Docker时遇到的一个挫折是，未标记的图像和停止的容器似乎不断堆积。在少数情况下，这种堆积导致硬盘驱动器过载，使我的笔记本电脑变慢或停止自动构建管道。谈论“无处不在的容器”!

我们可以通过结合docker rmi和最近的悬挂=true查询来删除所有未标记的图像:

docker images -q --filter "dangling=true" | xargs docker rmi

Docker将不能删除现有容器后面的图像，所以你可能必须先用Docker rm删除停止的容器:

docker rm `docker ps --no-trunc -aq`

这些都是Docker的已知痛点，可能会在未来的版本中得到解决。然而，通过对映像和容器的清晰理解，可以通过以下几个实践来避免这些情况:

总是使用docker rm [CONTAINER_ID]删除无用的、停止的容器。 总是使用docker rmi [IMAGE_ID]删除无用的、停止的容器后面的映像。

Docker的核心概念是使创建“机器”变得容易，在这种情况下，机器可以被认为是容器。容器有助于重用性，允许您轻松地创建和删除容器。

图像描述了容器在每个时间点上的状态。所以基本的工作流程是:

创建映像 启动容器 对容器进行更改 将容器重新保存为图像

也许解释一下整个工作流程会有帮助。

一切都从Dockerfile开始。Dockerfile是映像的源代码。

创建Dockerfile之后，构建它来创建容器的映像。图像只是Dockerfile“源代码”的“编译版本”。

一旦有了容器的映像，就应该使用注册表重新分发它。注册表类似于Git存储库——您可以推送和拉出图像。

接下来，您可以使用映像来运行容器。在许多方面，运行中的容器与虚拟机非常相似(但没有管理程序)。

Docker映像打包了应用程序运行所需的应用程序和环境，容器是映像的运行实例。

图像是Docker的包装部分，类似于“源代码”或“程序”。容器是Docker的执行部分，类似于“进程”。

在这个问题中，只提到了“程序”部分，这就是图像。Docker的“运行”部分是容器。当容器运行并进行更改时，就好像进程对自己的源代码进行了更改，并将其保存为新的映像。

容器只是一个可执行的二进制文件，由主机操作系统在一组限制下运行，这些限制是由应用程序(例如Docker)预先设置的，该应用程序知道如何告诉操作系统应用哪些限制。

典型的限制是与进程隔离相关的、与安全性相关的(比如使用SELinux保护)和与系统资源相关的(内存、磁盘、CPU和网络)。

直到最近，只有基于unix的系统中的内核支持在严格限制下运行可执行文件的能力。这就是为什么今天大多数容器讨论主要涉及Linux或其他Unix发行版的原因。

Docker是知道如何告诉操作系统(主要是Linux)在什么限制下运行可执行文件的应用程序之一。可执行文件包含在Docker映像中，它只是一个tarfile。该可执行文件通常是Linux发行版用户空间(Ubuntu、CentOS、Debian等)的精简版本，预先配置为在其中运行一个或多个应用程序。

尽管大多数人使用Linux基础文件作为可执行文件，但它可以是任何其他二进制应用程序，只要主机操作系统的内核可以运行它(参见使用scratch创建一个简单的基础映像)。无论Docker镜像中的二进制文件是一个OS用户空间还是一个简单的应用程序，对于OS主机来说，它只是另一个进程，一个被预设的OS边界所控制的包含进程。

其他应用程序，如Docker，可以告诉主机操作系统在进程运行时应用哪些边界，包括LXC、libvirt和systemd。Docker曾经使用这些应用程序间接地与Linux操作系统交互，但现在Docker使用自己的库“libcontainer”直接与Linux交互。

因此容器只是在受限模式下运行的进程，类似于chroot的功能。

在我看来，Docker与其他容器技术的区别在于它的存储库(Docker Hub)和管理工具，这些工具使得使用容器变得非常容易。

参见Docker(软件)。

Dockerfile→(Build)→Image→(Run)→Container。

Dockerfile:包含一组Docker指令，以您喜欢的方式配置您的操作系统，并安装/配置所有软件。 图片:编译好的Dockerfile。节省了每次需要运行容器时重新构建Dockerfile的时间。这是一种隐藏供应代码的方法。 容器:虚拟操作系统本身。您可以ssh进入其中并运行任何命令，就像它是一个真实的环境一样。您可以从同一个映像运行1000多个容器。

在编程方面，

图片是源代码。

当编译和构建源代码时，它被称为应用程序。

类似于“当为映像创建实例时”，它被称为“容器”。

Dockerfile类似于生成tarball (Docker映像)的Bash脚本。

Docker容器就像tarball的提取版本。您可以在不同的文件夹(容器)中拥有尽可能多的副本。

工作流

下面是端到端的工作流，显示各种命令及其相关的输入和输出。这应该澄清了映像和容器之间的关系。

+------------+  docker build   +--------------+  docker run -dt   +-----------+  docker exec -it   +------+
| Dockerfile | --------------> |    Image     | --------------->  | Container | -----------------> | Bash |
+------------+                 +--------------+                   +-----------+                    +------+
                                 ^
                                 | docker pull
                                 |
                               +--------------+
                               |   Registry   |
                               +--------------+

要列出你可以运行的图像，执行:

docker image ls

列出你可以执行命令的容器:

docker ps

尽管阅读了这里所有的问题，我还是无法理解图像和图层的概念，然后最终偶然发现了Docker的这个优秀文档(废话!)

这里的例子是理解整个概念的关键。这是一篇很长的文章，所以我总结了需要真正抓住的要点，以使文章变得清晰。

镜像:Docker镜像由一系列只读层构建而成 层:每一层代表图像Dockerfile中的一条指令。

示例:下面的Dockerfile包含四个命令，每个命令创建一个层。

从ubuntu: 15.04 副本。/应用程序 运行make /app CMD python /app/app.py

重要的是，每一层都只是与前一层的一组差异。

容器。 当你创建一个新的容器时，你在底层的层上添加了一个新的可写层。这一层通常被称为“容器层”。对正在运行的容器所做的所有更改，例如写入新文件、修改现有文件和删除文件，都将写入这个薄的可写容器层。

因此，容器和映像之间的主要区别是 最上面的可写层。所有写入添加new或 修改现有数据都存储在这个可写层中。当 容器被删除，可写层也被删除。的 底层图像保持不变。

从磁盘大小的角度理解映像cnd容器

要查看正在运行的容器的大致大小，可以使用docker ps -s命令。你得到size和virtual size作为两个输出:

大小:用于每个容器的可写层的数据量(在磁盘上) 虚拟大小:容器使用的只读映像数据所使用的数据量。多个容器可以共享部分或全部只读映像数据。因此它们不是相加的。也就是说，你不能把所有的虚拟大小相加来计算镜像占用了多少磁盘空间

另一个重要的概念是写时复制策略

如果一个文件或目录存在于映像的较低层中，而另一层(包括可写层)需要对其进行读访问，则它只使用现有文件。当另一层第一次需要修改该文件时(当构建映像或运行容器时)，该文件被复制到该层并进行修改。

我希望这能帮助到像我一样的人。

简单地说，如果一个图像是一个类，那么容器就是一个类的实例，一个运行时对象。

简而言之:

容器是内核中的一个分区(虚拟)，它共享一个公共操作系统并运行一个镜像(Docker镜像)。

容器是一个自我维持的应用程序，它将包含包和运行代码所需的所有依赖项。

Image相当于OOP中的类定义，层是该类的不同方法和属性。

容器是图像的实际实例化，就像对象是实例化或类的实例一样。

对于一个虚拟的编程类比，你可以认为Docker有一个抽象的ImageFactory，它保存着它们来自存储的ImageFactory。

然后，一旦你想从ImageFactory中创建一个应用程序，你就有了一个新的容器，你可以随心所欲地修改它。DotNetImageFactory将是不可变的，因为它作为一个抽象工厂类，在那里它只交付您想要的实例。

IContainer newDotNetApp = ImageFactory.DotNetImageFactory.CreateNew(appOptions);
newDotNetApp.ChangeDescription("I am making changes on this instance");
newDotNetApp.Run();

Docker容器正在运行一个映像的实例。你可以将图像与程序关联起来，将容器与进程关联起来:)

图像之于类就像容器之于对象。

容器是图像的实例，就像对象是类的实例一样。

正如许多回答指出的那样:你构建Dockerfile来获取一个图像，然后运行image来获取一个容器。

但是，下面的步骤帮助我更好地了解Docker映像和容器是什么:

1)构建Dockerfile:

Docker build -t my_image dir_with_dockerfile

2)保存镜像到.tar文件

-o my_file.tar my_image_id

My_file.tar将存储映像。使用tar -xvf my_file.tar打开它，您将看到所有的层。如果你深入每一层，你可以看到每一层添加了什么变化。(它们应该非常接近Dockerfile中的命令)。

3)要查看容器内部，您可以:

Sudo docker运行- my_image bash

你可以看到它很像一个操作系统。

我认为最好一开始就解释清楚。

假设你运行命令docker run hello-world。会发生什么呢?

它调用Docker CLI，负责接收Docker命令并转换为调用Docker服务器命令。一旦Docker服务器得到一个运行映像的命令，它就会检查映像缓存中是否有这样一个名称的映像。

假设hello-world不存在。Docker服务器访问Docker Hub (Docker Hub只是一个免费的图像存储库)并询问，嘿，Hub，你有一个名为hello-world的图像吗? 枢纽响应-是的，我有。那就请给我吧。下载过程开始了。一旦Docker镜像下载完成，Docker服务器就会将其放入镜像缓存中。

所以在我们解释Docker镜像和Docker容器是什么之前，让我们先来介绍一下你电脑上的操作系统以及它是如何运行软件的。

例如，当你在电脑上运行Chrome时，它会调用操作系统，操作系统自己会调用内核并请求，嘿，我想运行这个程序。内核设法从您的硬盘运行文件。

现在假设你有两个程序，Chrome和Node.js。Chrome需要Python版本2才能运行，Node.js需要Python版本3才能运行。如果您的计算机上只安装了Python v2，则只能运行Chrome。

为了使这两种情况都能工作，您需要以某种方式使用称为名称空间的操作系统特性。命名空间是一种特性，它使您有机会隔离进程、硬盘驱动器、网络、用户、主机名等。

当我们讨论映像时，我们实际上是在讨论文件系统快照。映像是一个物理文件，其中包含构建特定容器的方向和元数据。容器本身是一个映像的实例;它使用名称空间隔离硬盘驱动器，该名称空间仅对该容器可用。因此容器是一个进程或一组进程，它将分配给它的不同资源分组。

将映像看作容器的“快照”可能会有所帮助。

你可以从容器中创建映像(新的“快照”)，也可以从映像中启动新的容器(实例化“快照”)。例如，您可以从一个基本映像实例化一个新容器，在容器中运行一些命令，然后将其“快照”为一个新映像。然后，您可以从这个新映像实例化100个容器。

其他需要考虑的事情:

图像是由层组成的，层是快照“差别”;当你推送一个图像时，只有“diff”被发送到注册表。 Dockerfile在基本映像之上定义了一些命令，这些命令可以创建新的层(“diffs”)，从而生成新的映像(“snapshot”)。 容器总是从映像实例化。 图像标签不仅仅是标签。它们是图像的“全名”(“repository:tag”)。如果同一个映像有多个名称，则在处理docker映像时显示多次。

I would like to fill the missing part here between docker images and containers. Docker uses a union file system (UFS) for containers, which allows multiple filesystems to be mounted in a hierarchy and to appear as a single filesystem. The filesystem from the image has been mounted as a read-only layer, and any changes to the running container are made to a read-write layer mounted on top of this. Because of this, Docker only has to look at the topmost read-write layer to find the changes made to the running system.

我想用以下类比来说明:

+-----------------------------+-------+-----------+
|             Domain          | Meta  | Concrete  |
+-----------------------------+-------+-----------+
| Docker                      | Image | Container |
| Object oriented programming | Class | Object    |
+-----------------------------+-------+-----------+

*在docker中，镜像是一个不可变的文件，它包含docker应用程序运行所需的源代码和信息。它可以独立于容器而存在。

Docker容器是在运行时创建的虚拟化环境，需要镜像才能运行。docker网站上有一张图片显示了这种关系:

映像是构建容器(正在运行的实例)的蓝图。

Docker Client, Server, Machine, Images, Hub, composites都是项目工具和软件，聚在一起形成了一个平台，在这个平台上，围绕着创建和运行一些叫做容器的东西，现在如果你运行Docker run redis命令，一个叫做Docker CLI的东西到达了一个叫做Docker Hub的东西，它下载了一个叫做image的文件。

码头工人形象:

一个镜像是一个单独的文件，包含运行一个非常特定的程序所需的所有依赖项和所有配置，例如redis是你刚刚下载的(通过运行docker run redis命令)应该运行的镜像。

这是存储在硬盘上的单个文件，在某些时候，您可以使用此映像来创建称为容器的东西。

容器是一个映像的实例你可以把它想象成一个运行的程序它有自己孤立的一组硬件资源它有自己的一小块内存有自己的一小块网络技术空间也有自己的一小块硬盘空间。

现在让我们看看当你发出下面的命令时: Sudo docker run hello-world

Above command will starts up the docker client or docker CLI, Docker CLI is in charge of taking commands from you kind of doing a little bit of processing on them and then communicating the commands over to something called the docker server, and docker server is in charge of the heavy lifting when we ran the command Docker run hello-world, That meant that we wanted to start up a new container using the image with the name of hello world, the hello world image has a tiny tittle program inside of it whose sole purpose or sole job is to print out the message that you see in the terminal.

现在，当我们运行该命令并将其发送到docker服务器时，后台很快就会发生一系列操作。Docker服务器看到我们试图使用名为hello world的映像启动一个新容器。

docker服务器做的第一件事是检查它是否已经有一个本地副本，比如你个人机器上的hello world映像或那个hello world文件的副本。因此，docker服务器研究了一种叫做图像缓存的东西。

现在，因为你和我刚刚在我们的个人电脑上安装了Docker，图像缓存目前是空的，我们没有之前已经下载过的图像。

因此，由于映像缓存是空的，docker服务器决定求助于一个名为docker hub的免费服务。Docker Hub是一个免费的公共映像库，您可以免费下载并在个人计算机上运行。所以Docker服务器联系了Docker Hub，下载了hello world文件，并将其存储在你的计算机上的image-cache中，现在它可以在未来的某个时候重新运行，而不必从Docker Hub重新下载它。

之后，docker服务器将使用它创建一个容器的实例，我们知道容器是一个映像的实例，它的唯一目的是运行一个非常特定的程序。因此，docker服务器从图像缓存中取出图像文件，并将其加载到内存中，从中创建一个容器，然后在其中运行一个程序。这个程序的目的就是打印出你看到的信息。

什么是容器: 首先，图像是如何创建容器的蓝图。

容器是一个进程或一组进程的资源专门分配给它的分组,在波形图,当我们考虑一个集装箱我们有一些正在运行的进程发送一个系统调用内核,内核会看那个传入系统调用,直接一个非常具体的部分硬盘,内存,CPU或其他什么它可能需要这些资源的一部分用于奇异的过程。

就像对象是面向对象编程语言中类的实例一样，Docker容器也是Docker映像的实例。

An image is like a class and container is like an object that class and so you can have an infinite number of containers behaving like the image. A class is a blueprint which isnt doing anything on its own. You have to create instances of the object un your program to do anything meaningful. And so is the case with an image and a container. You define your image and then create containers running that image. It isnt exactly similar because object is an instance of a class whereas a container is something like an empty hollow place and you use the image to build up a running host with exactly what the image says

映像或容器映像是一个包含应用程序代码、应用程序运行时、配置和依赖库的文件。映像基本上是将所有这些包装成一个单一的、安全的不可变单元。使用适当的docker命令构建映像。图像有图像id和图像标签。标签的格式通常为<docker-user-name>/image-name:tag。

当您开始使用映像运行应用程序时，实际上是启动了一个容器。你的容器是一个运行图像的沙盒。Docker软件用于管理映像和容器。

Image是一个安全的包，其中包含应用程序工件、库、配置和应用程序运行时。容器是映像的运行时表示形式。

A docker image or a container image in general is a software package which wraps your application executable, dependencies, configurations and application runtime into a secure and immutable unit. When I am saying application executable it differs from application to application. For example if it is a java application it would a jar file, for node application may be a js file. Similarly the application runtime depends on your application itself. For java application it will be JRE, for node application it is node binaries.

您可以根据映像清单文件中提供的说明构建映像。Dockerfile)。构建映像后，可以将其存储在本地或一些容器映像存储库(如hub.docker.com)中。

当您希望将映像作为应用程序工作负载运行时，您可以启动一个需要映像的容器。容器是映像的运行时实例。

要构建一个映像，存储它并将其作为容器运行，你需要一个名为容器运行时的软件，比如Docker。这些容器运行时符合Open container Initiative为映像创建和容器运行提供的标准。

长话短说。

码头工人图片:

用于创建容器的文件系统和配置(只读)应用程序。

码头工人的容器:

容器和映像之间的主要区别是最上面的可写层。容器是顶层可写层的Docker映像的运行实例。容器运行实际的应用程序。容器包括应用程序及其所有依赖项。当容器被删除时，可写层也会被删除。底层图像保持不变。

其他需要注意的重要术语:

码头工人守护进程:

运行在主机上的后台服务，它管理构建，运行和分发Docker容器。

码头工人客户:

允许用户与Docker守护进程交互的命令行工具。

码头工人商店:

Store是一个Docker映像的注册表。您可以将注册表视为所有可用Docker映像的目录

这篇博文中的一张图片胜过千言万语。

简介:

从Docker中心提取图像或从Dockerfile构建=>给出一个 Docker图像(不可编辑)。 运行image (docker Run image_name:tag_name) =>给出一个运行 图片即容器(可编辑)