Union File System

Union File System，简称UnionFS，关于联合文件系统我之前的一篇博客里也写过的《Docker镜像与数据容器卷》，是一种为Linux、FreeBSD 和NetBSD操作系统设计的，把其他文件系统联合到一个联合挂载点的文件系统服务。它使用branch把不同文件系统的文件和目录“透明地”覆盖，形成一个单一一致的文件系统。这些branch或者是read-only的，或者是read-write的，所以当对这个虚拟后的联合文件系统进行写操作的时候，系统是真正写到了一个新的文件中。看起来这个虚拟后的联合文件系统是可以对任何文件进行操作的，但是其实它并没有改变原来的文件,这是因为unionfs用到了一个重要的资源管理技术，叫写时拷贝。

关于写时拷贝技术用到的地方有很多，我在之前一篇转载的文章中也说到了写时拷贝技术，《谈谈写时拷贝》，可以参考Unix的fork函数与vfork函数，还是很容易明白的，调用fork函数时，内核只为新生成的子进程创建虚拟空间结构，它们来复制于父进程的虚拟究竟结构，但是不为这些段分配物理内存，它们共享父进程的物理空间，当父子进程中有更改相应段的行为发生时，再为子进程相应的段分配物理空间。 vfork函数调用时连内核连子进程的虚拟地址空间结构也不创建了，直接共享了父进程的虚拟空间，当然了，这种做法就顺水推舟的共享了父进程的物理空间。

高级多层统一文件系统 AUFS

AUFS（全称：advanced multi-layered unification filesystem，高级多层统一文件系统）用于为Linux文件系统实现联合挂载。AUFS完全重写了早期的UnionFS 1.x，其主要目的是为了可靠性和性能，并且引入了一些新的功能，比如可写分支的负载均衡。AUFS的一些实现已经被纳入UnionFS 2.x 版本。同UnionFS类似，它能够将不同类型的文件系统透明地层叠在一起，实现一个高效的分层文件系统。说白了AUFS就是能将不同的目录挂载到某一目录下，并将各个源目录下的内容联合到目标目录下，这里每个源目录对应aufsAUFS一层，用户在目标目录读写时，感觉不到此目录是联合而来的。早期的Docker就是使用了AUFS作为第一种存储驱动。从Linux对AUFS支持版本可以看出，最新的内核已经支持到了AUFS 5， http://aufs.sourceforge.net/

Docker如何使用AUFS

首先得看一下Docker的镜像层，每一个Docker image 都是由一系列只读镜像层(image layer)组成的。镜像层的内容都存储在 Docker hosts filesystem 的/var/lib/docker/aufs/diff 目录下。而/var/lib/docker/aufs/layers 目录，则存储着镜像层如何堆叠这些镜像的元数据，可以近似看成是镜像层之间的依赖关系！

我在我的Ubuntu16.04上安装了Docker1.11.2，执行ls /var/lib/docker/aufs/diff/ 发现无任何文件

拉取镜像后，可以看到在docker pull中的结果显示ubuntu:l5.04 镜像一共有4个layer ，在执行命令的结果中也有4个对应的存储文件目录。自从Docker1.10 之后，diff目录下的存储镜像layer文件夹不再与镜像ID相同。

所以说，/var/lib/docker/aufs/layers 目录，则存储着镜像层如何堆叠这些镜像的元数据，可以近似看成是镜像层之间的依赖关系！

接下来，以ubuntu:l5.04 镜像为基础镜像，创建一个名为changed-ubuntu 的镜像。这个镜像只是在镜像的/tmp文件夹中添加一个写了”Hello world”的文件。可以使用下面的DockerFile来实现。

使用如下命令，可以清楚地查看到changed-ubuntu 镜像使用了哪些image layer

从输出中可以看到83f8696997cf image layer 位于最上层，只有12B 的大小，由/bin/sh -c echo "Hello World" > /tmp/newfile命令创建

也就是说，changed-ubuntu镜像只占用了12B的磁盘空间，这也证明了AUFS是如何高效使用磁盘空间的。而下面的四层image layer ，则是共享地构成ubuntu:15.04镜像的4个image layer 。”missing” 标记的layer，是自Docker1.10 之后，一个镜像的image layer 的image history 数据都存储在一个文件中导致的，这是Docker官方认为的正常行为，可以看到新的镜像层需要之前的四层来构建：

进一步探查/var/lib/docker/aufs/diff/f973657917d003daa420129cc1f1d802e2d31e34429d1ded178fa988d94f9182 文件夹，发现其中存储了一个/tmp/newfile文件，文件中只有一行”Hello world”，至此我们完整地分析出了image layer和AUFS是如何通过共享文件和文件夹来实现镜像存储的。

container layer与AUFS

Docker使用AUFS的COW技术来实现image layer共享和减少磁盘空间占用。COW意味着一旦某个文件只有很小的部分有改动， AUFS也需要复制整个文件。这种设计会对容器性能产生一定的影响，尤其是在待复制的文件很大，或者位于很多image layer下方，又或者AUFS需要深度搜索目录结构树的时候。不过也不用过度担心，对于一个容器而言，每个image layer最多只需要复制一次。后续的改动都会在第一次拷贝的container layer上进行。

启动一个container的时候，Docker 会为其创建一个read-only的init layer，用来存储与这个容器内环境相关的内容：Docker还会为其创建一个read-write的layer来执行所有写操作。

container layer的mount目录也是/var/lib/docker/aufs/mnt。container的元数据和配置文件都存放在/var/lib/docker/containers/<container-id＞目录中。container 的read-write layer存储在/var/lib/docker/aufs/diff/目录下。即使容器停止，这个可读写层仍然存在，因而重启容器不会丢失数据，只有当一个容器被删除的时候，这个可读写层才会一起删除。

接下来，仍然用实验来证明上面的结论。首先查询到现有的容器数目为0 ，而且在/var/lib/docker/containers目录下也没有查到任何数据。最后，查看一下系统的aufs mount 情况，发现只有一个config文件。

如上图，我们启动了一个changed-ubuntu容器，查看/var/lib/docker/aufs/diff目录发现，下面多了2个文件夹，fe0d1e8647d74a0f0a6eaf381ba135502be61e8eb323f31767e48fda4042fb01-init是Docker为容器创建的read-only的init layer，而fe0d1e8647d74a0f0a6eaf381ba135502be61e8eb323f31767e48fda4042fb01则是Docker为容器创建的read-write layer

在/var/lib/docker/containers目录下多了一个与containerid 相同的文件夹，存放着容器的metadata和config文件

接下来从系统AUFS来看mount的情况，在/sys/fs/aufs/目录下多了一个si_dca9c25b7188665e文件夹，执行如下命令

可以清楚地看到这就是刚刚创建的容器的layer权限， 只有最上面的fe0d1e8647d74a0f0a6eaf381ba135502be61e8eb323f31767e48fda4042fb01 layer是read-write权限

说一下AUFS如何为container删除一个文件。如果要删除file1时，AUFS会在container的read-write层生成一个.wh.file1的文件来隐藏所有read-only层的file1文件。至此，我们己清楚地描述和验证了Docker是如何使用AUFS来管理container layer的

赏

谢谢你请我喝咖啡

支付宝

微信