就像对象是面向对象编程语言中类的实例一样，Docker容器也是Docker映像的实例。

Docker的核心概念是使创建“机器”变得容易，在这种情况下，机器可以被认为是容器。容器有助于重用性，允许您轻松地创建和删除容器。

图像描述了容器在每个时间点上的状态。所以基本的工作流程是:

创建映像 启动容器 对容器进行更改 将容器重新保存为图像

我认为最好一开始就解释清楚。

假设你运行命令docker run hello-world。会发生什么呢?

它调用Docker CLI，负责接收Docker命令并转换为调用Docker服务器命令。一旦Docker服务器得到一个运行映像的命令，它就会检查映像缓存中是否有这样一个名称的映像。

假设hello-world不存在。Docker服务器访问Docker Hub (Docker Hub只是一个免费的图像存储库)并询问，嘿，Hub，你有一个名为hello-world的图像吗? 枢纽响应-是的，我有。那就请给我吧。下载过程开始了。一旦Docker镜像下载完成，Docker服务器就会将其放入镜像缓存中。

所以在我们解释Docker镜像和Docker容器是什么之前，让我们先来介绍一下你电脑上的操作系统以及它是如何运行软件的。

例如，当你在电脑上运行Chrome时，它会调用操作系统，操作系统自己会调用内核并请求，嘿，我想运行这个程序。内核设法从您的硬盘运行文件。

现在假设你有两个程序，Chrome和Node.js。Chrome需要Python版本2才能运行，Node.js需要Python版本3才能运行。如果您的计算机上只安装了Python v2，则只能运行Chrome。

为了使这两种情况都能工作，您需要以某种方式使用称为名称空间的操作系统特性。命名空间是一种特性，它使您有机会隔离进程、硬盘驱动器、网络、用户、主机名等。

当我们讨论映像时，我们实际上是在讨论文件系统快照。映像是一个物理文件，其中包含构建特定容器的方向和元数据。容器本身是一个映像的实例;它使用名称空间隔离硬盘驱动器，该名称空间仅对该容器可用。因此容器是一个进程或一组进程，它将分配给它的不同资源分组。

I would like to fill the missing part here between docker images and containers. Docker uses a union file system (UFS) for containers, which allows multiple filesystems to be mounted in a hierarchy and to appear as a single filesystem. The filesystem from the image has been mounted as a read-only layer, and any changes to the running container are made to a read-write layer mounted on top of this. Because of this, Docker only has to look at the topmost read-write layer to find the changes made to the running system.

Docker Client, Server, Machine, Images, Hub, composites都是项目工具和软件，聚在一起形成了一个平台，在这个平台上，围绕着创建和运行一些叫做容器的东西，现在如果你运行Docker run redis命令，一个叫做Docker CLI的东西到达了一个叫做Docker Hub的东西，它下载了一个叫做image的文件。

码头工人形象:

一个镜像是一个单独的文件，包含运行一个非常特定的程序所需的所有依赖项和所有配置，例如redis是你刚刚下载的(通过运行docker run redis命令)应该运行的镜像。

这是存储在硬盘上的单个文件，在某些时候，您可以使用此映像来创建称为容器的东西。

容器是一个映像的实例你可以把它想象成一个运行的程序它有自己孤立的一组硬件资源它有自己的一小块内存有自己的一小块网络技术空间也有自己的一小块硬盘空间。

现在让我们看看当你发出下面的命令时: Sudo docker run hello-world

Above command will starts up the docker client or docker CLI, Docker CLI is in charge of taking commands from you kind of doing a little bit of processing on them and then communicating the commands over to something called the docker server, and docker server is in charge of the heavy lifting when we ran the command Docker run hello-world, That meant that we wanted to start up a new container using the image with the name of hello world, the hello world image has a tiny tittle program inside of it whose sole purpose or sole job is to print out the message that you see in the terminal.

现在，当我们运行该命令并将其发送到docker服务器时，后台很快就会发生一系列操作。Docker服务器看到我们试图使用名为hello world的映像启动一个新容器。

docker服务器做的第一件事是检查它是否已经有一个本地副本，比如你个人机器上的hello world映像或那个hello world文件的副本。因此，docker服务器研究了一种叫做图像缓存的东西。

现在，因为你和我刚刚在我们的个人电脑上安装了Docker，图像缓存目前是空的，我们没有之前已经下载过的图像。

因此，由于映像缓存是空的，docker服务器决定求助于一个名为docker hub的免费服务。Docker Hub是一个免费的公共映像库，您可以免费下载并在个人计算机上运行。所以Docker服务器联系了Docker Hub，下载了hello world文件，并将其存储在你的计算机上的image-cache中，现在它可以在未来的某个时候重新运行，而不必从Docker Hub重新下载它。

之后，docker服务器将使用它创建一个容器的实例，我们知道容器是一个映像的实例，它的唯一目的是运行一个非常特定的程序。因此，docker服务器从图像缓存中取出图像文件，并将其加载到内存中，从中创建一个容器，然后在其中运行一个程序。这个程序的目的就是打印出你看到的信息。

什么是容器: 首先，图像是如何创建容器的蓝图。

容器是一个进程或一组进程的资源专门分配给它的分组,在波形图,当我们考虑一个集装箱我们有一些正在运行的进程发送一个系统调用内核,内核会看那个传入系统调用,直接一个非常具体的部分硬盘,内存,CPU或其他什么它可能需要这些资源的一部分用于奇异的过程。

容器只是一个可执行的二进制文件，由主机操作系统在一组限制下运行，这些限制是由应用程序(例如Docker)预先设置的，该应用程序知道如何告诉操作系统应用哪些限制。

典型的限制是与进程隔离相关的、与安全性相关的(比如使用SELinux保护)和与系统资源相关的(内存、磁盘、CPU和网络)。

直到最近，只有基于unix的系统中的内核支持在严格限制下运行可执行文件的能力。这就是为什么今天大多数容器讨论主要涉及Linux或其他Unix发行版的原因。

Docker是知道如何告诉操作系统(主要是Linux)在什么限制下运行可执行文件的应用程序之一。可执行文件包含在Docker映像中，它只是一个tarfile。该可执行文件通常是Linux发行版用户空间(Ubuntu、CentOS、Debian等)的精简版本，预先配置为在其中运行一个或多个应用程序。

尽管大多数人使用Linux基础文件作为可执行文件，但它可以是任何其他二进制应用程序，只要主机操作系统的内核可以运行它(参见使用scratch创建一个简单的基础映像)。无论Docker镜像中的二进制文件是一个OS用户空间还是一个简单的应用程序，对于OS主机来说，它只是另一个进程，一个被预设的OS边界所控制的包含进程。

其他应用程序，如Docker，可以告诉主机操作系统在进程运行时应用哪些边界，包括LXC、libvirt和systemd。Docker曾经使用这些应用程序间接地与Linux操作系统交互，但现在Docker使用自己的库“libcontainer”直接与Linux交互。

因此容器只是在受限模式下运行的进程，类似于chroot的功能。

在我看来，Docker与其他容器技术的区别在于它的存储库(Docker Hub)和管理工具，这些工具使得使用容器变得非常容易。

参见Docker(软件)。