![mark](https://img.zouchanglin.cn///20200225/WFp4qQSRpvoo.png)

之前介绍了TCP的报文格式（[《TCP协议基本特性》](https://zouchanglin.cn/2019/11/21/3947143266.html)），TCP的连接管理，学习了TCP如何建立连接，释放连接以及一些网络安装方面的问题，现在还剩下TCP的几个关键机制，主要是TPC的延迟应答和捎带应答、超时重传、快重传和快恢复、滑动窗口机制、拥塞避免算法；然后最后还记录了TCP的粘包问题和解决方案！



TCP实现的可靠传输其实依赖于确认应答机制，也就是接收方每次接收完数据之后会回发一个ack确认号，代表自己下次期望收到的序号，意思是告诉发送者, 我已经收到了哪些数据; 下一次你从哪里开始发。 TCP数据包中的序列号（Sequence Number）不是以报文段来进行编号的，而是将连接生存周期内传输的所有数据当作一个字节流，序列号就是整个字节 流中每个字节的编号。一个TCP数据包中包含多个字节流的数据（即数据段），而且每个TCP数据包中的数据大小不一定相同。在建立TCP连接的三次握手 过程中，通信双方各自已确定了初始的序号x和y，TCP每次传送的报文段中的序号字段值表示所要传送本报文中的第一个字节的序号。 

## TCP的确认应答

TCP提供的确认机制，可以在通信过程中可以不对每一个TCP数据包发出单独的确认包（Delayed ACK机制），而是在传送数据时，顺便把确认信息传出， 这样可以大大提高网络的利用率和传输效率。同时，TCP的确认机制，也可以一次确认多个数据报，例如，接收方收到了201，301，401的数据报，则只 需要对401的数据包进行确认即可，对401的数据包的确认也意味着401之前的所有数据包都已经确认，这就是延迟应答，这样也可以提高系统的效率。 

![mark](https://img.zouchanglin.cn///20200225/30TV3bE2POxF.png)

再说说捎带应答，TCP的确认应答和回执数据可以通过一个包发送。

![mark](https://img.zouchanglin.cn///20200225/uqo3gQqJ792Y.png)

## TCP的超时重传

若发送方在规定时间内没有收到接收方的确认信息，就要将未被确认的数据包重新发送。接收方如果收到一个有差错的报文，则丢弃此报文，并不向发送方 发送确认信息。因此，TCP报文的重传机制是由设置的超时定时器来决定的，在定时的时间内没有收到确认信息，则进行重传。这个定时的时间值的设定非常重要，太大会使包重传的延时比较大，太小则可能没有来得及收到对方的确认包发送方就再次重传，会使网络陷入无休止的重传过程中。接收方如果收到 了重复的报文，将会丢弃重复的报文，但是必须发回确认信息，否则对方会再次发送。 

但是主机A未收到B发来的确认应答, 也可能是因为ACK丢失了；因此主机B会收到很多重复数据。那么TCP协议需要能够识别出那些包是重复的包,，并且把重复的丢弃掉。这时候我们可以利用前面提到的序列号, 就可以很容易做到去重的效果。

超时时间如何确定?

TCP为了保证无论在任何环境下都能比较高性能的通信，因此会动态计算这个最大超时时间：Linux中(BSD Unix和Windows也是如此)，超时以500ms为一个单位进行控制，每次判定超时重发的超时时间都是500ms的整数倍，如果重发一次之后，仍然得不到应答，等待 `2*500ms` 后再进行重传如果仍然得不到应答，等待 `4*500ms `进行重传。依次类推以指数形式递增，累计到一定的重传次数，TCP认为网络或者对端主机出现异常，强制关闭连接

 ## TCP快速重传（冗余ACK）

有了超时重传机制为什么还出现了快速重传呢？其实这也是TCP为了效率的一种保障，每当比期望序号大的失序报文段到达时，发送一个冗余ACK，指明下一个期待字节的序号。

![mark](https://img.zouchanglin.cn///20200225/D6nbfhcfpcEI.png)

超时重传是底线，是功能性的，但是快重传是建立在超时重传上的，为了效率的提高

## TCP流量控制

接收端处理数据的速度是有限的。如果发送端发的太快，导致接收端的缓冲区被打满，这个时候如果发送端继续发送，就会造成丢包，继而引起丢包重传等等一系列连锁反应。因此TCP支持根据接收端的处理能力，来决定发送端的发送速度。这个机制就叫做流量控制(Flow Control)；

在通信过程中，接收方根据自己接收缓存的大小，动态地调整发送方的发送窗口大小，即接收窗口rwnd (接收方设置确认报文段的窗口字段来将rwnd通知给发送方)， 发送方的发送窗口取接收窗口rwnd和拥塞窗口cwnd的最小值。接收窗口也就是接收方的接收缓冲区，拥塞窗口简单来说就是网络堵塞了，那就是说明在这个网络中使用网络带宽的主机很多，或者占用了很多资源，导致发送缓慢，那么这就是一个网络拥塞的情况

TCP首部中，专门有一个窗口大小的字段用来通知窗口大小。接收主机将自己可以接收的缓冲区大小放人这个字段中通知给发送端。这个字段的值越大，说明网络的吞吐量越高。不过，接收端的这个缓冲区一旦面临数据溢出时，窗口大小的值也会随之被设置为一个更小的值通知给发送端，从而控制数据发送量。也就是说，发送端主机会根据接收端主机的指示，对发送数据的量进行控制。这也就形成了一个完整的TCP流控制(流量控制)。

![mark](https://img.zouchanglin.cn///20200225/3hTEfucRd2Wp.png)

从图中可以看到，如果过了重发时间还没有收到窗口的更新通知，会发送一个探测报文去探测接收方的窗口。

滑动窗口虽然只能往右滑，但是可能变大，也可能变小，也可能是0；收到第一个ACK后，滑动窗口向后移动，继续发送第五个段的数据，依次类推，操作系统内核为了维护这个滑动窗口，需要开辟发送缓冲区来记录当前还有哪些数据没有应答；只有确认应答过的数据，才能从缓冲区删掉；窗口越大，则网络的吞吐率就越高;

## TCP拥塞控制

因为网络上有很多的计算机，可能当前的网络状态就已经比较拥堵。在不清楚当前网络状态下，贸然发送大量的数据，是很有可能引起雪上加霜的。一般来说，计算机网络都处在一个共享的环境。因此也有可能会因为其他主机之间的通信使得网络拥堵。在网络出现拥堵时，如果突然发送一个较大量的数据，极有可能会导致整个网络的瘫痪看看TCP是如何解决这个问题的呢？

TCP引入了慢启动机制：先发少量的数据，探探路，摸清当前的网络拥堵状态，再决定按照多大的速度传输数据；

![mark](https://img.zouchanglin.cn///20200225/htmwqe1W75dO.png)

那么慢启动和拥塞避免的算法如下图所示：

![mark](https://img.zouchanglin.cn///20200225/nj7NJ56Yqt58.png)

cwnd指的是一个报文段（最大报文段长度MSS），最开始发一个报文段然后呈指数式增长到ssthresh初始值，这就是慢启动，然后执行加法增大，也就是拥塞避免阶段，达到阈值的时候变会触发快重传，此时降到新的ssthresh值，即为拥塞时的一半，这就是快恢复策略！当TCP通信开始以后，网络吞吐量会逐渐上升，但是随着网络拥堵的发生吞吐量也会急速下降。于是会再次进人吞吐量慢慢上升的过程。因此所谓TCP的吞吐量的特点就好像是在逐步占领网络带宽的感觉。

## TCP粘包问题

首先要明确，粘包问题中的"包"是指的应用层的数据包。

在TCP的协议头中，没有如同UDP一样的"报文长度"这样的字段，但是有一个序号这样的字段。站在传输层的角度，TCP是一个一个报文过来的，按照序号排好序放在缓冲区中。站在应用层的角度，看到的只是一串连续的字节数据，那么应用程序看到了这么一连串的字节数据，就不知道从哪个部分开始到哪个部分是一个完整的应用层数据包

那么如何避免粘包问题呢? 归根结底就是一句话，明确两个包之间的边界：

* 对于定长的包，保证每次都按固定大小读取即可；例如对于一个结构体struct，是固定大小的，那么就从缓冲区从头开始按sizeof(struct)依次读取即可；
* 对于变长的包，可以在包头的位置，约定一个包总长度的字段，从而就知道了包的结束位置；
* 对于变长的包，还可以在包和包之间使用明确的分隔符(应用层协议，是程序猿自己来定的，只要保证分隔符不和正文冲突即可);

对于UDP是否也存在"粘包问题"呢？对于UDP，如果还没有上层交付数据，UDP的报文长度仍然在。同时，UDP是一个一个把数据交付给应用层，就有很明确的数据边界。站在应用层的角度，使用UDP的时候，要么收到完整的UDP报文，要么不收，不会出现"半个"的情况。

TCP的高性能机制

HTTP的全称 HyperText Transfer Protocol，即超文本传输协议，程序员自己发明的协议之一，基于TCP的应用层协议。 HTTP协议是基于请求-响应的模式：

![mark](https://img.zouchanglin.cn///20200225/k8pW0raF9ync.png)

HTTP是一种无状态协议，HTTP协议自身不对请求和响应之间的通信状态进行保存。也就是说在HTTP这个级别，协议对于发送过的请求或响应都不做持久化处理。 

![mark](https://img.zouchanglin.cn///20200225/GqrhjlASQXoQ.png)



HTTP是一种无连接协议， 无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间，并且可以提高并发性能，不能和每个用户建立长久的连接，请求一次相应一次，服务端和客户端就中断了。但是无连接有两种方式，早期的http协议是一个请求一个响应之后，直接就断开了，但是现在的http协议1.1版本不是直接就断开了，而是等几秒钟，这几秒钟是等什么呢，等着用户有后续的操作，如果用户在这几秒钟之内有新的请求，那么还是通过之前的连接通道来收发消息，如果过了这几秒钟用户没有发送新的请求，那么就会断开连接，这样可以提高效率，减少短时间内建立连接的次数，因为建立连接也是耗时的，默认的好像是3秒中现在，但是这个时间是可以通过咱们后端的代码来调整的，自己网站根据自己网站用户的行为来分析统计出一个最优的等待时间。 

## HTTP请求/响应格式

![mark](https://img.zouchanglin.cn///20200225/YKueLh0GaSeK.png)

## HTTP的方法

![mark](https://img.zouchanglin.cn///20200225/gQgfNMS83gJ2.png)

## HTTP状态码

![mark](https://img.zouchanglin.cn///20200225/NUano19H6rLy.png)

我经常遇到的状态码：

* 200 OK，代表请求正常处理完毕
* 202 OK，在文件下载断点续传的时候用过
* 304 使用缓存，响应体中无数据
* 131，302 重定向请求， 301表示旧地址A的资源已经被永久地移除了 ，302是暂时移除
* 400 请求参数有误
* 403 对请求资源的访问被服务器拒绝 
* 404 服务器找不到请求资源
* 405 请求方式被拒绝
* 500  服务器端在执行请求时发生了错误 
* 502 服务器超负载/在维护

## HTTP常见的Header

* Content-Type: 数据类型(text/html等)
* Content-Length: Body的长度
* Host:客户端告知服务器所请求的资源是在哪个主机的哪个端口上;
* User-Agent:声明用户的操作系统和浏览器版本信息;
* referer: 当前页面是从哪个页面跳转过来的;
* location:搭配3xx状态码使用,告诉客户端接下来要去哪里访问;
* Cookie:用于在客户端存储少量信息.通常用于实现会话(session)的功能;

## 实现简易的HTTP服务器

```java
public class HttpServer {
    public static void main(String[] args) throws Exception{
        ServerSocket serverSocket = new ServerSocket(80);
        Socket accept = serverSocket.accept();
        OutputStream outputStream = accept.getOutputStream();
        Writer writer = new BufferedWriter(new OutputStreamWriter(outputStream, "UTF-8"));
        writer.write("HTTP/1.0 200 OK\r\n");
        writer.write("Set-Cookie:CookieName=HelloCookie\r\n");
        writer.write("\r\n");
        writer.write("<h1>Hello, Http Server<h1>");
        writer.flush();
        writer.close();
        outputStream.close();
        serverSocket.close();
    }
}
```

而且还携带了Cookie

![mark](https://img.zouchanglin.cn///20200225/ECIEf2sbrKFO.png)

谈谈HTTP协议

现在即将开始真正踏上构造自己的容器的道路。我们会基于当前的操作系统创建一个与宿主机隔离的容器环境，下面就开始吧。在开始之前我们需要先对Linux的proc文件系统做一个介绍：

如果你对这些基本知识已经很熟悉了，请直接略过。Linux下的/proc文件系统是由内核提供的，它其实不是一个真正的文件系统，只包含了系统运行时的信息（比如系统内存、mount设备信息、一些硬件配置等），它只存在于内存中，而不占用外存空间。它以文件系统的形式，为访问内核数据的操作提供接口。实际上，很多系统工具都是简单地去读取这个文件系统的某个文件内容，比如lsmod，其实就是cat /proc/modules。当遍历这个目录的时候，会发现很多数字，这些都是为每个进程创建的空间，数字就是它们的PID。

![mark](https://img.zouchanglin.cn///20200224/sVzVSYCvKI6y.png)



下面介绍几个比较重要的部分：

![mark](https://img.zouchanglin.cn///20200224/IFAoL8uIgamJ.png)

 实现一个简单版本的run命令,类似`docker run -ti [command]`  代码目录结构如下：

构造实现简单容器

![mark](https://img.zouchanglin.cn///20200223/8sHdcObI1bOG.png)

在之前的文章中我们探究了Docker是如何使用AUFS文件系统的，现在我们开始动手实践一下AUFS，用简单的命令来创建一个AUFS文件系统，感受下如何使用AUFS和COW实现文件管理。



在目录下创建一个aufs的文件夹，然后在aufs目录下创建一个mnt的文件夹作挂载点。接着在aufs目录下创建一个名为container-layer的文件夹，里面有一个名为container-layer.txt的文件，文件内容为"I am container layer"。同样地，继续在aufs目录下创建4个名为image-layern的文件夹(n取值分别为l和4)，里面有一个名为image-layer{n}.txt的文件，文件内容为"I am image layer${n}”。使用如下命令检查文件内容。

![mark](https://img.zouchanglin.cn///20200223/oXETgkVUSyL4.png)

要联合的文件目录都己经准备好了。接下来把container-layer和4个名为image-layer${n}的文件夹用AUFS的方式挂载到刚刚创建的mnt目录下。在mount aufs的命令中，没有指定待挂载的5个文件夹的权限，默认的行为是dirs指定的左边起第一个目录是read-write权限，后续的都是read-only权限。

还是[《Union File System在Docker中的应用》](https://zouchanglin.cn/2020/02/22/1588956344.html)文中曾经在系统aufs目录下查看文件读写权限的做法，这里依然使用如下命令来确认新mount的文件系统中每个目录的权限。

![mark](https://img.zouchanglin.cn///20200223/qffn783zN4iy.png)

接下来，执行一个有意思的操作，往mnt/image-layer1.txt的文件末尾添加一行文字 "write to mnt’s image-layer1.txt"。根据上面介绍的COW技术，大家猜想一下会产生什么样的行为。

![mark](https://img.zouchanglin.cn///20200223/QL2sBsowv2z0.png)

也就是说，当尝试向mnt/image-layer4.txt文件进行写操作的时候，系统首先在mnt目录下查找名为image-layer4.txt的文件，将其拷贝到read-write层的container-layer目录中，接着对container-layer目录中的image-layer4.txt文件进行写操作。至此，我们成功地完成了一个小小的Demo，实现了自己的AUFS文件系统。

[《虚拟化的基石——Namespace》](https://zouchanglin.cn/2020/02/18/2859918246.html)、[《通过Namespace实现隔离》](https://zouchanglin.cn/2020/02/19/4168222464.html)介绍了Linux Namespace，一共有6种类别的Namespace，分别进行了简单介绍。然后，以Go语言为例实现了一个Demo,使大家能有一个直观的认识。而且对于这些Namespace的应用，会有更加复杂的例子[《Linux Cgroups的资源控制》](https://zouchanglin.cn/2020/02/20/2867679770.html)、[《Cgroups在Docker中的应用》](https://zouchanglin.cn/2020/02/22/4017713389.html)介绍了LinuxCgroups。通过LinuxCgroups的三种结构，可以随意定制对资源的限制及对资源做监控。最后使用Go语言实现了一个Cgroups限制资源的Demo，介绍了如何用Go语言去操控容器的Cgroups，进而实现限制容器资源的效果。[《Union File System在Docker中的应用》](https://zouchanglin.cn/2020/02/22/1588956344.html)介绍了Union File System，列举了其中的几个具体实现，并且讲解了Docker是如何使用分层文件系统来实现镜像不同分层的重复利用的。最后，以AUFS为例子介绍了如何构建，一个简单的分层文件系统。后面在开发自己的容器镜像的过程中就会使用这项技术。

动手实现AUFS文件系统

## Union File System

Union File System，简称UnionFS，关于联合文件系统我之前的一篇博客里也写过的[《Docker镜像与数据容器卷》](https://zouchanglin.cn/2019/08/03/4034105062.html)，是一种为Linux、FreeBSD 和NetBSD操作系统设计的，把其他文件系统联合到一个联合挂载点的文件系统服务。它使用branch把不同文件系统的文件和目录“透明地”覆盖，形成一个单一一致的文件系统。这些branch或者是read-only的，或者是read-write的，所以当对这个虚拟后的联合文件系统进行写操作的时候，系统是真正写到了一个新的文件中。看起来这个虚拟后的联合文件系统是可以对任何文件进行操作的，但是其实它并没有改变原来的文件,这是因为unionfs用到了一个重要的资源管理技术，叫写时拷贝。



关于写时拷贝技术用到的地方有很多，我在之前一篇转载的文章中也说到了写时拷贝技术，[《谈谈写时拷贝》](https://zouchanglin.cn/2018/11/10/4143867073.html)，可以参考Unix的fork函数与vfork函数，还是很容易明白的，调用fork函数时，内核只为新生成的子进程创建虚拟空间结构，它们来复制于父进程的虚拟究竟结构，但是不为这些段分配物理内存，它们共享父进程的物理空间，当父子进程中有更改相应段的行为发生时，再为子进程相应的段分配物理空间。 vfork函数调用时连内核连子进程的虚拟地址空间结构也不创建了，直接共享了父进程的虚拟空间，当然了，这种做法就顺水推舟的共享了父进程的物理空间。



## 高级多层统一文件系统 AUFS

AUFS（全称：advanced multi-layered unification filesystem**，**高级多层统一文件系统）用于为Linux文件系统实现联合挂载。AUFS完全重写了早期的UnionFS 1.x，其主要目的是为了可靠性和性能，并且引入了一些新的功能，比如可写分支的负载均衡。AUFS的一些实现已经被纳入UnionFS 2.x 版本。同UnionFS类似，它能够将不同类型的文件系统透明地层叠在一起，实现一个高效的分层文件系统。说白了AUFS就是能将不同的目录挂载到某一目录下，并将各个源目录下的内容联合到目标目录下，这里每个源目录对应aufsAUFS一层，用户在目标目录读写时，感觉不到此目录是联合而来的。早期的Docker就是使用了AUFS作为第一种存储驱动。从Linux对AUFS支持版本可以看出，最新的内核已经支持到了AUFS 5， http://aufs.sourceforge.net/ 

## Docker如何使用AUFS

首先得看一下Docker的镜像层，每一个Docker image 都是由一系列只读镜像层(image layer)组成的。镜像层的内容都存储在 Docker hosts filesystem 的/var/lib/docker/aufs/diff 目录下。而/var/lib/docker/aufs/layers 目录，则存储着镜像层如何堆叠这些镜像的元数据，可以近似看成是镜像层之间的依赖关系！

我在我的Ubuntu16.04上安装了Docker1.11.2，执行`ls /var/lib/docker/aufs/diff/` 发现无任何文件

![mark](https://img.zouchanglin.cn///20200222/ypIBCnk76TJB.png)

拉取镜像后，可以看到在docker pull中的结果显示ubuntu:l5.04 镜像一共有4个layer ，在执行命令的结果中也有4个对应的存储文件目录。自从Docker1.10 之后，diff目录下的存储镜像layer文件夹不再与镜像ID相同。

![mark](https://img.zouchanglin.cn///20200222/R06Qa8TXi1wx.png)

所以说，/var/lib/docker/aufs/layers 目录，则存储着镜像层如何堆叠这些镜像的元数据，可以近似看成是镜像层之间的依赖关系！

接下来，以ubuntu:l5.04 镜像为基础镜像，创建一个名为changed-ubuntu 的镜像。这个镜像只是在镜像的/tmp文件夹中添加一个写了"Hello world"的文件。可以使用下面的DockerFile来实现。

![mark](https://img.zouchanglin.cn///20200222/OTY8NNdSqshc.png)

使用如下命令，可以清楚地查看到changed-ubuntu 镜像使用了哪些image layer

![mark](https://img.zouchanglin.cn///20200222/n7SyW4OVCipM.png)

从输出中可以看到83f8696997cf image layer 位于最上层，只有12B 的大小，由`/bin/sh -c echo "Hello World" > /tmp/newfile`命令创建

也就是说，changed-ubuntu镜像只占用了12B的磁盘空间，这也证明了AUFS是如何高效使用磁盘空间的。而下面的四层image layer ，则是共享地构成ubuntu:15.04镜像的4个image layer 。"missing" 标记的layer，是自Docker1.10 之后，一个镜像的image layer 的image history 数据都存储在一个文件中导致的，这是Docker官方认为的正常行为，可以看到新的镜像层需要之前的四层来构建：

![mark](https://img.zouchanglin.cn///20200222/yekLCzMD1Nrl.png)

进一步探查/var/lib/docker/aufs/diff/f973657917d003daa420129cc1f1d802e2d31e34429d1ded178fa988d94f9182 文件夹，发现其中存储了一个/tmp/newfile文件，文件中只有一行"Hello world"，至此我们完整地分析出了image layer和AUFS是如何通过共享文件和文件夹来实现镜像存储的。

![mark](https://img.zouchanglin.cn///20200222/zIkBKM8chDdP.png)

![mark](https://img.zouchanglin.cn///20200222/UnRUjkUFCPQr.png)



## container layer与AUFS

Docker使用AUFS的COW技术来实现image layer共享和减少磁盘空间占用。COW意味着一旦某个文件只有很小的部分有改动， AUFS也需要复制整个文件。这种设计会对容器性能产生一定的影响，尤其是在待复制的文件很大，或者位于很多image layer下方，又或者AUFS需要深度搜索目录结构树的时候。不过也不用过度担心，对于一个容器而言，每个image layer最多只需要复制一次。后续的改动都会在第一次拷贝的container layer上进行。

启动一个container的时候，Docker 会为其创建一个read-only的init layer，用来存储与这个容器内环境相关的内容：Docker还会为其创建一个read-write的layer来执行所有写操作。

container layer的mount目录也是/var/lib/docker/aufs/mnt。container的元数据和配置文件都存放在/var/lib/docker/containers/<container-id＞目录中。container 的read-write layer存储在/var/lib/docker/aufs/diff/目录下。即使容器停止，这个可读写层仍然存在，因而重启容器不会丢失数据，只有当一个容器被删除的时候，这个可读写层才会一起删除。

接下来，仍然用实验来证明上面的结论。首先查询到现有的容器数目为0 ，而且在/var/lib/docker/containers目录下也没有查到任何数据。最后，查看一下系统的aufs mount 情况，发现只有一个config文件。

![mark](https://img.zouchanglin.cn///20200222/aNAWg2wNOhLE.png)

如上图，我们启动了一个changed-ubuntu容器，查看/var/lib/docker/aufs/diff目录发现，下面多了2个文件夹，fe0d1e8647d74a0f0a6eaf381ba135502be61e8eb323f31767e48fda4042fb01-init是Docker为容器创建的read-only的init layer，而fe0d1e8647d74a0f0a6eaf381ba135502be61e8eb323f31767e48fda4042fb01则是Docker为容器创建的read-write layer

在/var/lib/docker/containers目录下多了一个与containerid 相同的文件夹，存放着容器的metadata和config文件

![mark](https://img.zouchanglin.cn///20200222/TJqCTqIeYWNe.png)

接下来从系统AUFS来看mount的情况，在/sys/fs/aufs/目录下多了一个si_dca9c25b7188665e文件夹，执行如下命令

![mark](https://img.zouchanglin.cn///20200222/ViikQ0kluArs.png)

可以清楚地看到这就是刚刚创建的容器的layer权限， 只有最上面的fe0d1e8647d74a0f0a6eaf381ba135502be61e8eb323f31767e48fda4042fb01 layer是read-write权限

说一下AUFS如何为container删除一个文件。如果要删除file1时，AUFS会在container的read-write层生成一个.wh.file1的文件来隐藏所有read-only层的file1文件。至此，我们己清楚地描述和验证了Docker是如何使用AUFS来管理container layer的