Docker: 基础镜像

Docker自Docker 0.9版本起不再使用LXC，而是采用内置的执行驱动程序libcontainer（现在被称为runc），通过操作命名空间、控制组、权限、apparmor配置文件、网络接口和防火墙规则等方式以一致且可预测的方式运行，无需依赖LXC或任何其他用户空间软件包。

Docker镜像代表一组文件，将作为容器在其自己的内存、磁盘和用户空间中运行，同时访问主机内核。
这与虚拟机不同，虚拟机不访问主机内核，但通过其虚拟化管理程序包含自己的硬件/软件堆栈。
容器只需在主机上设置限制（磁盘、内存、CPU）。而实际的虚拟机必须构建一个全新的主机。

该Docker镜像（文件组）可以是任何内容，只要满足以下条件：

• 它不依赖于主机库（因为它被隔离在自己的磁盘空间中，它无法访问主机文件，除非挂载卷）
• 它只执行系统调用：请参见 "Docker 中的共享内核是什么意思？"

这意味着一个镜像可以是任何东西：另一个 Linux 发行版，甚至是单个可执行文件。例如，任何使用 go 编译的可执行文件（https://golang.org/）都可以打包在自己的 Docker 镜像中，而不需要任何 Linux 发行版：

FROM scratch
COPY my_go_exe /
ENTRYPOINT /my_go_exe

scratch 是一个“空”镜像，而Go可执行文件是静态链接的，因此它是自包含的，并且仅依赖于对内核的系统调用。

主机操作系统和Docker容器之间共享的主要内容是内核。从不同的发行版/版本运行Docker容器的主要风险在于它们可能依赖于主机系统上不存在的内核功能，例如，如果容器期望比主机安装的内核更新的内核，则会出现问题。
理论上，Linux内核是向后兼容的。只要主机内核比容器内核新，它应该可以工作。
从操作角度来看，每次您开始依赖于不同的基本映像，这是需要监视更新和安全问题的另一个依赖项。标准化一个发行版可减轻您的运营团队在下一个重大漏洞被发现时的工作量。

Docker使用LXC，这是一种操作系统级别的虚拟化方法，可以在控制主机上使用单个Linux内核运行多个隔离的Linux系统（容器）。

您可以将其与计算机上的VM进行比较，在其中启动另一个Linux发行版，它不必与主机操作系统相同。因此，如果您的主机操作系统与容器的基础映像相同，则没有任何影响。

在Docker中，容器是由层构建的。 Dockerfile中的每个步骤（命令）表示一个层，这些层依次应用。第一步是应用基本操作系统层，该层由FROM指示。

因此，为了回答您的奖励问题，您可以查看所使用的容器的Dockerfile（这是DockerHub上的第三个选项卡），并在第一个语句中查看基础映像（操作系统）。