以定制一个 Web 服务器为例子，来讲解镜像是如何构建的。

$ docker run --name webserver -d -p 80:80 nginx
1

直接用浏览器访问的话，我们会看到默认的 Nginx 欢迎页面。

可以使用 docker exec 命令进入容器，修改其内容。

$ docker exec -it webserver bash
root@3729b97e8226:/# echo '
Hello, Docker!
' > /usr/share/nginx/html/index.html
root@3729b97e8226:/# exit
exit
1
2
3
4

再刷新浏览器的话，会发现内容被改变了。

修改了容器的文件，也就是改动了容器的存储层。我们可以通过 docker diff 命令看到具体的改动。

$ docker diff webserver
C /root
A /root/.bash_history
C /run
C /usr
C /usr/share
C /usr/share/nginx
C /usr/share/nginx/html
C /usr/share/nginx/html/index.html
C /var
C /var/cache
C /var/cache/nginx
A /var/cache/nginx/client_temp
A /var/cache/nginx/fastcgi_temp
A /var/cache/nginx/proxy_temp
A /var/cache/nginx/scgi_temp
A /var/cache/nginx/uwsgi_temp
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

现在我们定制好了变化，我们希望能将其保存下来形成镜像。

当我们运行一个容器的时候（如果不使用卷的话），我们做的任何文件修改都会被记录于容器存储层里。而 Docker 提供了一个 docker commit 命令，可以将容器的存储层保存下来成为镜像。换句话说，就是在原有镜像的基础上，再叠加上容器的存储层，并构成新的镜像。以后我们运行这个新镜像的时候，就会拥有原有容器最后的文件变化。

docker commit 的语法格式为：

docker commit [选项] <容器ID或容器名> [<仓库名>[:<标签>]]
1

$ docker commit \
    --author "Tao Wang " \
    --message "修改了默认网页" \
    webserver \
    nginx:v2
sha256:07e33465974800ce65751acc279adc6ed2dc5ed4e0838f8b86f0c87aa1795214
1
2
3
4
5
6

--author 是指定修改的作者，而 --message 则是记录本次修改的内容

我们可以在 docker image ls 中看到这个新定制的镜像：

swn233@LAPTOP-S7CJRRVT:/opt/data/registry$ docker image ls
REPOSITORY              TAG       IMAGE ID       CREATED              SIZE
nginx                   v2        77a483807de9   15 seconds ago       187MB
                      3de5f72214db   About a minute ago   187MB
registry                latest    0ae1560ca86f   6 days ago           25.4MB
ubuntu                  latest    3565a89d9e81   2 weeks ago          77.8MB
nginx                   latest    61395b4c586d   2 weeks ago          187MB
redis                   latest    7c4b517da47d   4 weeks ago          153MB
127.0.0.1:5000/ubuntu   latest    f9a80a55f492   4 months ago         63.2MB
ubuntu                  18.04     f9a80a55f492   4 months ago         63.2MB
swn233/ubuntu           18.04     f9a80a55f492   4 months ago         63.2MB
1
2
3
4
5
6
7
8
9
10
11

可以用 docker history 具体查看镜像内的历史记录，如果比较 nginx:latest 的历史记录，我们会发现新增了我们刚刚提交的这一层。

新的镜像定制好后，我们可以来运行这个镜像。

docker run --name web2 -d -p 81:80 nginx:v2
1

这里我们命名为新的服务为 web2，并且映射到 81 端口。访问 http://localhost:81 看到结果，其内容应该和之前修改后的 webserver 一样。

至此，我们第一次完成了定制镜像，使用的是 docker commit 命令，手动操作给旧的镜像添加了新的一层，形成新的镜像，对镜像多层存储应该有了更直观的感觉。

仔细观察之前的 docker diff webserver 的结果，你会发现除了真正想要修改的 /usr/share/nginx/html/index.html 文件外，由于命令的执行，还有很多文件被改动或添加了。

docker commit 意味着所有对镜像的操作都是黑箱操作，生成的镜像也被称为 黑箱镜像，换句话说，就是除了制作镜像的人知道执行过什么命令、怎么生成的镜像，别人根本无从得知。