前几篇文章中，重点讲解了如何实现构建容器，需要回顾的小伙伴可以看以下文章：

• 《Docker实战06｜深入剖析Docker Run命令》
• 《Docker实战07｜Docker增加容器资源限制》
• 《Docker实战08｜Docker管道及环境变量识别》

以上三篇主要实现了Docker Run命令、Docker如何对容器资源进行限制以及Docker不同进程之间是如何进行通信的底层原理与实现。

接下来的时间会和大家一起学习Docker是如何构造镜像的。

使用busybox创建容器

获取代码

git clone https://gitee.com/mjreams/docker.git

busybox

首先使用一个最精简的镜像——busybox。busybox是一个集合了非常多UNIX工具的箱子，他可以提供非常多在UNIX环境下经常使用的命令，可以说busybox提供了一个非常完整而且小巧的系统。 本文中也会先使用它来作为第一个容器内运行的文件系统。

获得busybox文件系统的rootfs很简单，可以使用docker export将一个镜像打成一个tar包。

docker pull busybox
docker run -d busybox top -b
docker export -o busybox.tar 6e6415edd69c(容器ID)
mkdir busybox
tar -xvf ./busybox.tar -C busybox/
root@iZ2ze:~/busybox# ls
bin  dev  etc  home  lib  lib64  proc  root  sys  tmp  usr  var

pivot_root

pivot_root是一个系统调用，主要功能是去改变当前的root文件系统。pivot_root可以将当前进程的root文件系统移动到put_old文件夹中，然后使new_root成为新的root文件系统。new_root和put_old必须不能同时存在当前root的同一个文件系统中。pivot_root和chroot的主要区别是，pivot_root是把整个系统切换到一个新的root目录，而移除对之前root文件系统的依赖，这样你就能够umount原先的root文件系统。而chroot是针对某个进程，系统的其他部分依旧运行于老的root目录中。

下面，一起把代码来实现一下。

见container/init.go

有了这个函数后，就可以在init容器进程的时候，进行一系列的mount操作 。

其中，tmpfs是一种基于内存的文件系统，可以使用RAM或swap分区来存储。下面把下载好的busybox放到/root/busybox宿主机的目录下，使用cmd.Dir＝"/root/busybox"这个方法给创建出来的子进程指定容器初始化后的工作目录，然后就会运行前面讲到的那些进程，挂载rootfs然后把当前目录虚拟成根目录。

将此处修改为cmd.Dir＝"/root/busybox"
下面运行一下来看看效果。

我此处使用的是容器镜像的名字进行挂载。你如果修改成/root/busybox,则此处显示/root/busybox。

使用AUFS包装busybox

Docker在使用镜像启动一个容器时，会新建2个layer: writelayer和container-init layer。write layer是容器唯一的可读写层：而container-init layer是为容器新建的只读层，用来存储容器启动时传入的系统信息（前面也提到过，在实际的场景下，它们并不是以write layer和container-init layer命名的）。最后把write layer、container叮iit layer和相关镜像的layers都mount到一个mnt目录下，然后把这个mnt目录作为容器启动的根目录。

在上面己经实现了使用宿主机/root/busybox目录作为文件的根目录，但在容器内对文件的操作仍然会直接影响到宿主机的/root/busybox目录。本节要进一步进行容器和镜像隔离，实现在容器中进行的操作不会对镜像产生任何影响的功能。

见container/volume.go

• CreateReadOnlyLayer函数新建busybox文件夹，将busybox.tar 解压到busybox目录下，作为容器的只读层。
• CreateWriteLayer函数创建了一个名为writeLayer的文件夹，作为容器唯一的可写层。
• 在CreateMountPoint函数中，首先创建了mnt文件夹，作为挂载点，然后把writeLayer目录和busybox目录mount到mnt目录下。

最后，在NewParentProcess函数中将容器使用的宿主机目录/root/busybox 替换成/root/mnt。

此处将busybox.tar解压到busybox目录下，作为容器的只读层。

接下来，在NewParentProcess函数中将容器使用的宿主机目录/root/busybox替换成/root/mnt。这样，使用 AUFS 系统启动容器的代码就完成了。

Docker会在删除容器的时候，把容器对应的Write Layer和Container-init Layer删除，而保留镜像所有的内容。本节中，在容器退出的时候会删除Write Layer。DeleteWorkSpace函数，包括DeleteMountPoint和DeleteWrite Layer。

• 首先，在 DeleteMountPoint 函数中 umountmnt 目录 。
• 然后，删除 mnt 目录。
• 最后，在 DeleteWriteLayer 函数中删除 writeLayer 文件夹。这样容器对文件系统的更改就都己经抹去了。

见container/volume.go

整体流程如下：

测试

启动一个容器

./mydocker run -ti sh
sh-5.1# ls /root
bash  busybox  busybox.tar  mnt  writeLayer

在容器中新建一个文件夹。

新建一个宿主机窗口，查看/root/mnt目录。

可以看到多了一个studydocker文件夹。

在容器中执行exit退出容器，，然后再次查看宿主机上的/root/mnt文件夹内容。发现已经没有了刚才的容器。