利用 ‘OverlayFS’：解析 Docker 镜像层级结构的内核实现原理 - 智猿学院-前后端，数据库，人工智能，云计算等领域前沿技术讲座

各位技术同仁，下午好！

今天，我们将深入探讨一个在现代容器技术栈中至关重要的组件：OverlayFS。我们将聚焦于它如何作为 Docker 镜像层级结构的内核实现原理，揭示其精妙之处。作为一名编程专家，我相信大家对 Docker 的便捷性已深有体会，但其背后支撑的核心机制，特别是文件系统层面的魔法，往往隐藏在表象之下。

Docker 镜像：容器世界的构建基石

首先，让我们快速回顾一下 Docker 镜像。Docker 镜像是容器的静态蓝图，它包含了运行一个应用所需的所有文件、库、环境变量和配置。其核心特性是“分层（Layering）”和“不变性（Immutability）”。

每个 Docker 镜像都由一系列只读层（read-only layers）构成。这些层是堆叠在一起的，每一层都代表了对前一层文件系统的一次修改。例如，一个基础镜像可能包含操作系统核心文件，在其之上，可以添加一个安装了 Python 的层，再在其之上，添加一个包含应用代码的层。这种分层结构带来了显著的好处：

效率高：当多个镜像共享相同的基础层时，这些层只需在磁盘上存储一份。
构建速度快：在 Dockerfile 中，每条指令通常会创建一个新的层。如果一个层的内容没有改变，它就可以被缓存，从而加速后续构建。
分发便捷：只需分发发生变化的层，而不是整个镜像，减少了网络传输量。

然而，这种分层结构如何在底层文件系统层面被高效且透明地实现呢？这就是 OverlayFS 登场的地方。

OverlayFS：Linux 内核的联合文件系统

OverlayFS 是一种联合文件系统（Union File System），它允许你将多个文件系统或目录（称为“层”）堆叠在一起，形成一个单一的、统一的视图。用户和应用程序看到的只是这个合并后的文件系统，而无需关心底层数据的实际存储位置。

OverlayFS 的设计目标是简单、高效，并且被集成到 Linux 内核主线中，这使其成为 Docker 等容器运行时选择它的重要原因。它解决了在多个文件系统之间进行文件操作时可能遇到的复杂性，尤其是在需要写时复制（Copy-on-Write, CoW）语义的场景下。

一个 OverlayFS 挂载点通常涉及以下四个关键目录：

lowerdir (底层目录)：一个或多个只读目录，它们构成了文件系统的基础层。当存在多个 lowerdir 时，它们按照从右到左的顺序（从最底层到最顶层）进行堆叠。
upperdir (上层目录)：一个可写的目录，所有对 OverlayFS 挂载点的修改（创建、修改、删除文件等）都将首先发生在这里。
workdir (工作目录)：一个空的、临时的目录，OverlayFS 在执行某些文件操作（如原子地创建或修改文件）时会使用它。它必须位于与 upperdir 相同的底层文件系统上。
merged (合并目录)：这是用户和应用程序实际看到的联合文件系统视图。它包含了 lowerdir 和 upperdir 的合并内容。

其核心思想是，当一个文件在 lowerdir 和 upperdir 中都存在时，upperdir 中的文件会“覆盖” lowerdir 中的同名文件。如果文件只存在于 lowerdir，则在 merged 视图中可见；如果文件只存在于 upperdir，同样在 merged 视图中可见。

OverlayFS 工作原理深度剖析

理解 OverlayFS 的工作原理，需要从文件系统的基本操作入手。

1. 读取操作

当用户或应用程序尝试读取 merged 目录中的一个文件时，OverlayFS 的内核模块会按照以下逻辑进行查找：

首先在 upperdir 中查找：如果文件存在于 upperdir 中，则直接从 upperdir 中读取。
如果 upperdir 中不存在，则在 lowerdir 中查找：如果文件存在于 lowerdir 中（可能是多个 lowerdir 中的任何一个，从上到下查找第一个匹配的），则从 lowerdir 中读取。

这种查找顺序确保了上层目录的内容优先，从而实现了覆盖（shadowing）的效果。

2. 写入操作 (写时复制 – Copy-on-Write, CoW)

这是 OverlayFS 最核心且最精妙的机制之一。当对 merged 目录中的文件进行修改时，OverlayFS 会遵循以下步骤：

如果文件在 upperdir 中已存在：直接在 upperdir 中修改该文件。
如果文件只在 lowerdir 中存在（但在 upperdir 中不存在）：
1. OverlayFS 会将该文件从 lowerdir 复制到 upperdir。这个复制操作是原子性的，通常会利用 workdir 作为临时存储。
2. 复制完成后，对文件的修改将在 upperdir 中的副本上进行。
3. merged 视图现在会优先显示 upperdir 中的这个新副本，而 lowerdir 中的原始文件保持不变。

这个过程就是所谓的“写时复制”。它保证了 lowerdir 的不变性，同时提供了 merged 视图的可写性。

3. 新建文件或目录

当在 merged 目录中创建一个新文件或目录时，它会直接在 upperdir 中创建。这非常直观，因为新内容是首次引入的，自然属于可写层。

4. 删除文件或目录

删除操作在 OverlayFS 中处理得比较特殊，以维护 lowerdir 的只读特性：

删除 upperdir 中的文件/目录：直接从 upperdir 中删除。
删除只存在于 lowerdir 中的文件：OverlayFS 不会真正删除 lowerdir 中的文件，因为它是只读的。相反，它会在 upperdir 中创建一个特殊的“白障文件”（whiteout file）。
- 白障文件：通常是一个空文件，以.wh.作为前缀。例如，删除 /merged/foo.txt（它存在于 lowerdir 中），OverlayFS 会在 upperdir 中创建 .wh.foo.txt。
- 当 merged 视图被访问时，OverlayFS 会识别这个白障文件，并“隐藏” lowerdir 中对应的 foo.txt。
删除只存在于 lowerdir 中的目录：类似地，它会在 upperdir 中创建一个“不透明目录”（opaque directory）。
- 不透明目录：通常是一个空目录，其扩展属性（xattr）中包含 overlay.opaque 标记。当一个目录被标记为不透明时，OverlayFS 会忽略 lowerdir 中所有同名目录的内容，即使 lowerdir 中该目录包含文件。这有效地“删除”了 lowerdir 中目录下的所有内容，而无需为每个文件创建白障文件。

这些机制确保了 lowerdir 的完整性和不变性，同时为 merged 视图提供了完整的读写语义。

Docker 如何利用 OverlayFS 构建镜像与运行容器

现在，让我们把这些 OverlayFS 的概念映射到 Docker 的实际操作中。Docker 默认（或推荐）使用 overlay2 存储驱动，它利用了 OverlayFS 的多层 lowerdir 能力，使其与 Docker 的分层镜像结构完美契合。

1. 镜像构建过程与层级映射

当您编写一个 Dockerfile 并执行 docker build 命令时，Docker 会对每一条指令进行解析和执行。

例如，考虑一个简化的 Dockerfile：

FROM alpine:3.18
RUN apk add --no-cache nginx
COPY index.html /usr/share/nginx/html/
CMD ["nginx", "-g", "daemon off;"]

FROM alpine:3.18：Docker 首先获取 alpine:3.18 基础镜像的所有只读层。这些层将成为最终容器的 lowerdir。Docker 会将这些层解压到 /var/lib/docker/overlay2/<layer_id>/diff 目录中。
RUN apk add --no-cache nginx：
- Docker 会创建一个临时的可写层，作为当前的 upperdir。
- 它将 alpine:3.18 的所有层作为 lowerdir 挂载。
- 然后，在这个临时的 merged 视图中执行 apk add nginx 命令。所有由 nginx 安装产生的新文件和修改都会写入这个临时的 upperdir。
- 命令执行完毕后，Docker 会将这个临时的 upperdir 固化为一个新的只读镜像层。这个新层会有一个唯一的 ID，并被存储在 /var/lib/docker/overlay2/<new_layer_id>/diff。
COPY index.html /usr/share/nginx/html/：
- 类似地，Docker 会再次创建一个新的临时可写层作为 upperdir。
- 它将之前所有已固化的层（包括 alpine 层和 nginx 层）作为 lowerdir 堆叠起来。
- 将 index.html 复制到 merged 视图中的 /usr/share/nginx/html/。这个新文件将写入当前的临时 upperdir。
- 命令执行完毕后，这个 upperdir 再次被固化为一个只读镜像层。

最终，一个 Docker 镜像就是由一系列只读的 OverlayFS 层堆叠而成的。这些层存储在宿主机的 /var/lib/docker/overlay2 目录下，每个层都有自己的唯一 ID。

2. 容器运行时与可写层

当您从一个 Docker 镜像启动一个容器时，例如 docker run -it my_image bash：

Docker 会将镜像的所有只读层作为 OverlayFS 的 lowerdir 堆叠起来。
Docker 会为这个新容器创建一个新的、空的目录，作为 OverlayFS 的 upperdir。这个目录通常位于 /var/lib/docker/overlay2/<container_id>/diff。
Docker 还会为这个容器创建一个 workdir，通常在 /var/lib/docker/overlay2/<container_id>/work。
最后，Docker 会使用 mount 命令将这些目录联合挂载，形成容器的根文件系统。容器内部看到的就是这个 merged 视图，路径通常是 /var/lib/docker/overlay2/<container_id>/merged。

容器内部的文件操作：

读取文件：如果文件存在于只读镜像层（lowerdir），则直接从那里读取。
修改文件：如果修改一个只读层中的文件，由于写时复制（CoW）机制，该文件会被复制到容器的可写层（upperdir），然后在 upperdir 中进行修改。原始文件在 lowerdir 中保持不变。
新建文件/目录：所有新创建的文件和目录都直接写入容器的可写层（upperdir）。
删除文件/目录：如果删除只读层中的文件，会在 upperdir 中创建白障文件。如果删除只读层中的目录，会在 upperdir 中创建不透明目录。

容器生命周期：

当容器停止并被删除时，其对应的 upperdir 和 workdir 也会被删除。这意味着所有在容器运行时产生的数据（如果未挂载数据卷）都会丢失。
镜像的只读层则保持不变，可供其他容器或镜像使用。

这种设计完美实现了容器的“用后即焚”（ephemeral）特性，并确保了镜像的不可变性。

实践案例：手动模拟 OverlayFS

为了更好地理解 OverlayFS 的工作原理，我们可以在 Linux 环境下手动模拟一个 OverlayFS 挂载点。

首先，创建一些目录作为我们的层：

mkdir -p /tmp/overlay_test/{lower1,lower2,upper,work,merged}

# 创建底层目录 lower1 (最底层)
echo "This is from lower1" > /tmp/overlay_test/lower1/file_a.txt
echo "Common content" > /tmp/overlay_test/lower1/common_file.txt
mkdir /tmp/overlay_test/lower1/dir_l1
echo "l1 only" > /tmp/overlay_test/lower1/dir_l1/l1_file.txt
echo "nested common" > /tmp/overlay_test/lower1/dir_common/nested_file.txt

# 创建底层目录 lower2 (在 lower1 之上)
echo "This is from lower2, overriding file_a" > /tmp/overlay_test/lower2/file_a.txt
echo "Common content from lower2" > /tmp/overlay_test/lower2/common_file.txt # 覆盖 lower1 的 common_file.txt
echo "This is from lower2" > /tmp/overlay_test/lower2/file_b.txt
mkdir /tmp/overlay_test/lower2/dir_l2
echo "l2 only" > /tmp/overlay_test/lower2/dir_l2/l2_file.txt
echo "nested common from l2" > /tmp/overlay_test/lower2/dir_common/nested_file.txt # 覆盖 lower1 的 nested_file.txt

现在，执行 mount 命令来创建 OverlayFS 挂载点。注意 lowerdir 参数，多个目录之间用冒号 : 分隔，从右到左表示从最底层到最顶层。

sudo mount -t overlay overlay 
  -o lowerdir=/tmp/overlay_test/lower2:/tmp/overlay_test/lower1,upperdir=/tmp/overlay_test/upper,workdir=/tmp/overlay_test/work 
  /tmp/overlay_test/merged

检查合并后的视图：

ls -F /tmp/overlay_test/merged/

预期输出可能类似：

common_file.txt  dir_common/  dir_l1/  dir_l2/  file_a.txt  file_b.txt

cat /tmp/overlay_test/merged/file_a.txt

输出：This is from lower2, overriding file_a (来自 lower2，因为它在上层)

cat /tmp/overlay_test/merged/common_file.txt

输出：Common content from lower2 (来自 lower2)

cat /tmp/overlay_test/merged/file_b.txt

输出：This is from lower2 (只存在于 lower2)

cat /tmp/overlay_test/merged/dir_l1/l1_file.txt

输出：l1 only (只存在于 lower1)

cat /tmp/overlay_test/merged/dir_common/nested_file.txt

输出：nested common from l2 (来自 lower2)

执行写入操作，观察 CoW 机制：

修改 file_b.txt (只在 lower2 中)：
```
echo "Modified in merged" > /tmp/overlay_test/merged/file_b.txt
```
现在检查 upper 目录：
```
ls /tmp/overlay_test/upper/
```
输出：file_b.txt (文件被复制到了 upper)
```
cat /tmp/overlay_test/upper/file_b.txt
```
输出：Modified in merged

原始 lower2 中的 file_b.txt 未受影响：
```
cat /tmp/overlay_test/lower2/file_b.txt
```
输出：This is from lower2

创建新文件：

echo "New file in merged" > /tmp/overlay_test/merged/new_file.txt

新文件直接出现在 upper 目录：

ls /tmp/overlay_test/upper/

输出：file_b.txt new_file.txt

删除 file_a.txt (来自 lower2)：
```
rm /tmp/overlay_test/merged/file_a.txt
```
检查 upper 目录：
```
ls -a /tmp/overlay_test/upper/
```
输出：. .. .wh.file_a.txt file_b.txt new_file.txt (.wh.file_a.txt 是白障文件)

现在 merged 视图中 file_a.txt 已消失：
```
ls /tmp/overlay_test/merged/
```
预期输出中不再有 file_a.txt
删除 dir_l1 (只在 lower1 中)：
```
rmdir /tmp/overlay_test/merged/dir_l1
```
或者如果目录不为空，需要 rm -rf /tmp/overlay_test/merged/dir_l1。
假设我们删除了它，检查 upper 目录：
```
ls -a /tmp/overlay_test/upper/
```
输出：. .. .wh.dir_l1 .wh.file_a.txt file_b.txt new_file.txt (如果 rmdir 成功，会创建 .wh.dir_l1，如果 rm -rf 包含文件，会创建 .wh.dir_l1 标记为不透明)

更准确地，如果删除一个非空目录 (rm -rf dir_l1)，OverlayFS 会在 upperdir 中创建 dir_l1 目录，并设置其 overlay.opaque 扩展属性，使其成为一个不透明目录。
```
mkdir /tmp/overlay_test/merged/test_dir
rm -rf /tmp/overlay_test/merged/test_dir # 删除upperdir中的一个目录
# 此时upperdir中test_dir被删除
```
如果删除 lowerdir 中的一个目录，且该目录内有文件，OverlayFS 会在 upperdir 中创建同名空目录，并设置 xattr 标记 overlay.opaque。
```
# 假设 dir_l1 有文件
sudo rm -rf /tmp/overlay_test/merged/dir_l1
# 查看 upperdir
ls -F /tmp/overlay_test/upper/
# 可能会看到 dir_l1/，并且其 xattr 会有 overlay.opaque
sudo getfattr -n overlay.opaque /tmp/overlay_test/upper/dir_l1
```
输出：
```
getfattr: Removing leading '/' from absolute path names
# file: tmp/overlay_test/upper/dir_l1
overlay.opaque="y"
```

这个手动实验清晰地展示了 OverlayFS 如何通过 upperdir、lowerdir 和 workdir 协同工作，实现了分层存储和写时复制的语义。

最后，卸载 OverlayFS 挂载点：

sudo umount /tmp/overlay_test/merged

Docker 内部 OverlayFS 结构一览

在 Docker 宿主机上，我们可以通过检查 /var/lib/docker 目录来观察 OverlayFS 的实际应用。对于 overlay2 存储驱动，其结构大致如下：

/var/lib/docker/
├── containers/             # 存储运行中容器的配置和状态
├── image/                  # 存储镜像元数据（如 graphdb）
│   └── overlay2/
│       ├── distribution/
│       ├── imagedb/
│       └── layerdb/        # 存储镜像层元数据
├── overlay2/               # OverlayFS 存储驱动的核心目录
│   ├── <layer_id>/         # 每个镜像层或容器可写层对应一个目录
│   │   ├── diff/           # 实际的文件内容 (lowerdir 或 upperdir)
│   │   ├── link           # 链接到 diff 目录的 ID
│   │   ├── lower          # 存储其下层目录的 ID 列表 (用于 lowerdir)
│   │   └── work/           # 工作目录 (用于容器的 workdir)
│   ├── l/                  # 存储所有 diff 目录的短链接，方便管理
│   └── ...
├── plugins/
├── buildkit/
├── volumes/                # 存储数据卷
└── ...

让我们以一个运行中的容器为例，查看其文件系统挂载点。

首先，启动一个 Nginx 容器：

docker run -d --name mynginx nginx:latest

然后，找到该容器的 merged 目录。容器的 ID 可以通过 docker ps 获取。

CONTAINER_ID=$(docker ps -aqf "name=mynginx")
CONTAINER_ROOTFS_PATH=$(docker inspect --format='{{.GraphDriver.Data.MergedDir}}' $CONTAINER_ID)
echo $CONTAINER_ROOTFS_PATH

输出可能类似：
/var/lib/docker/overlay2/c3d1e...a3b2b/merged

现在，我们可以使用 findmnt 或 mount 命令来查看这个挂载点的详细信息：

findmnt -n -o SOURCE,TARGET,FSTYPE,OPTIONS $CONTAINER_ROOTFS_PATH

或者

mount | grep "overlay on $CONTAINER_ROOTFS_PATH"

输出示例（可能因系统和 Docker 版本略有不同）：

overlay /var/lib/docker/overlay2/c3d1e...a3b2b/merged overlay 
  rw,relatime,lowerdir=/var/lib/docker/overlay2/l/L5Q...X6X:/var/lib/docker/overlay2/l/5K4...N8L:/var/lib/docker/overlay2/l/S2A...T7W, 
  upperdir=/var/lib/docker/overlay2/c3d1e...a3b2b/diff, 
  workdir=/var/lib/docker/overlay2/c3d1e...a3b2b/work

从这个输出中，我们可以清晰地看到：

SOURCE：overlay，表示这是一个 OverlayFS 文件系统。
TARGET：容器的 merged 目录。
FSTYPE：overlay。
OPTIONS：
- rw：可读写。
- lowerdir：列出了多个目录，它们是 Nginx 镜像的所有只读层。这些目录实际上是 /var/lib/docker/overlay2/l/ 下的短链接，指向实际的 diff 目录。它们从右到左（从最底层到最顶层）堆叠。
- upperdir：指向容器的可写层，即 /var/lib/docker/overlay2/<container_id>/diff。
- workdir：指向容器的工作目录，即 /var/lib/docker/overlay2/<container_id>/work。

这个 mount 命令的输出是 Docker 内部 OverlayFS 机制最直接的证据。

文件操作的内核行为与 VFS

OverlayFS 的所有文件操作最终都会通过 Linux 内核的虚拟文件系统（VFS）层进行处理。VFS 提供了一个抽象层，使得上层应用程序可以以统一的方式访问各种底层文件系统（如 ext4, XFS, Btrfs, OverlayFS 等）。

当一个文件操作（如 open(), read(), write(), unlink(), mkdir() 等）发生在 OverlayFS 挂载点时，VFS 会将请求转发给 OverlayFS 的具体实现。OverlayFS 模块会根据其内部逻辑（如前所述的查找、CoW、白障等）来决定如何处理。

Inode 和 Dentry 缓存：

Inode (Index Node)：文件系统中的一个数据结构，存储了文件或目录的所有元数据，如权限、所有者、时间戳、数据块指针等。每个文件和目录都有一个唯一的 inode。
Dentry (Directory Entry)：表示文件系统路径中的一个组件（文件名）。它将文件名映射到 inode。Dentry 缓存（dcache）和 inode 缓存（icache）是 VFS 层的关键组件，用于提高文件查找和访问的性能。

在 OverlayFS 中，由于 merged 视图是多个底层目录的组合，同一个逻辑文件在不同的层可能对应不同的物理 inode。OverlayFS 必须巧妙地管理这些 inode 和 dentry，以确保 merged 视图的一致性和正确性。

当文件从 lowerdir 复制到 upperdir 时，它会获得一个新的 inode。
OverlayFS 维护着从 merged 视图的 dentry 到其对应的 upperdir 或 lowerdir 中实际文件 dentry 的映射。
删除操作中的白障文件和不透明目录，都是 OverlayFS 在 upperdir 中创建特殊的 dentry 或 xattr 标记，以影响 VFS 对 lowerdir 内容的可见性。

这种精细的内核级操作，使得 OverlayFS 能够以极高的效率和透明度，实现复杂的文件系统合并逻辑。

OverlayFS 与其他存储驱动的比较

在 Docker 早期，曾支持多种存储驱动，包括 Aufs, Device Mapper, Btrfs, ZFS, 以及 vfs。OverlayFS 逐渐成为主流，原因如下：

特性/驱动	OverlayFS	Aufs	Device Mapper	Btrfs/ZFS	VFS
类型	联合文件系统（CoW）	联合文件系统（CoW）	块级CoW（基于LVM/thin provisioning）	文件系统级CoW（原生支持）	普通文件系统（无分层，无CoW）
内核集成	Linux 内核主线（自 3.18）	非主线，需要额外补丁（逐渐废弃）	内核主线（块设备管理）	内核主线（独立文件系统）	内核主线（通用文件系统接口）
性能	较好，尤其是 `overlay2`	较好，但在某些场景下有性能问题	良好，但有额外的块设备管理开销	良好，但资源开销可能较高	最简单，但无分层优势
CoW 机制	文件级 CoW（复制到 `upperdir`）	文件级 CoW	块级 CoW（复制数据块）	文件级/块级 CoW	无
多层支持	优秀 (`lowerdir` 可接受多层)	优秀	通过快照链实现	通过快照实现	无
存储效率	高（共享只读层）	高	良好（共享数据块）	良好（共享数据块）	低（每个副本完整存储）
复杂性	相对简单	中等	较高（需要LVM配置）	较高（需要设置和维护）	最简单
推荐场景	绝大多数 Docker 部署	早期 Docker 部署（现已不推荐）	需要独立块设备管理和高级存储功能的场景	需要高级数据管理、校验、快照的场景	不适合生产环境 Docker（用于开发测试）

为何 OverlayFS 成为首选？

内核主线支持：OverlayFS 被集成到 Linux 内核主线中，这意味着它得到了持续的维护和改进，兼容性好，且无需安装额外的内核模块。Aufs 虽然功能强大，但因未被主线内核接受，导致其维护和兼容性问题。
简单与高效：相比 Device Mapper 等块级存储驱动，OverlayFS 作为文件级联合文件系统，其概念和实现更为直观。它的文件级 CoW 机制通常比块级 CoW 具有更低的开销，尤其是在小文件操作频繁的场景下。
多层支持：overlay2 驱动能够很好地利用 OverlayFS 的多层 lowerdir 功能，与 Docker 的分层镜像结构完美映射，提高了层级操作的效率。
稳定性：经过多年的发展和在生产环境中的广泛应用，OverlayFS 已经非常稳定和成熟。

性能考量与优化

尽管 OverlayFS 带来了巨大的便利性，但在某些场景下，其性能特性也需要注意：

写时复制（CoW）开销：当大量文件需要被首次修改时，CoW 操作会引入文件复制的开销。对于大型文件，这可能意味着显著的 I/O 延迟。频繁修改只读层中的大文件会降低性能。
- 优化建议：尽量将容器的可变数据存储在数据卷（volume）中，数据卷直接挂载到宿主机文件系统，绕过 OverlayFS 的 CoW 机制。
文件查找路径：当文件存在于较深的 lowerdir 中时，OverlayFS 需要遍历多个层才能找到文件，这可能略微增加文件查找的延迟。
Inode 耗尽：在 upperdir 中创建大量的白障文件或不透明目录，或者复制大量文件到 upperdir，都可能导致底层文件系统（通常是 ext4 或 XFS）的 inode 耗尽。虽然现代文件系统通常有足够的 inode，但在极端情况下仍需注意。
- 优化建议：定期清理不再使用的容器和镜像，释放 inode 资源。
文件系统选择：OverlayFS 本身只是一个叠加层，其底层 upperdir、workdir 和 lowerdir 所在的物理文件系统性能至关重要。通常，XFS 和 ext4 是被推荐的选择。

OverlayFS 的高级特性与演进

overlay2 驱动：这是 Docker 推荐的 OverlayFS 驱动版本。相较于最初的 overlay 驱动，overlay2 能够更高效地处理多层 lowerdir。它通过在 /var/lib/docker/overlay2/l/ 目录下创建硬链接来管理 lowerdir 列表，避免了过长的 mount 命令参数，并提高了某些操作的效率。
多层 lowerdir：OverlayFS 允许指定任意数量的 lowerdir，这完美契合了 Docker 镜像的多层结构。内核会按照从右到左的顺序（最底层到最顶层）来堆叠这些 lowerdir。
redirect_dir (目录重定向)：这是一个高级特性，允许在 upperdir 中创建特殊的目录，使得对 merged 视图中该目录的访问被重定向到 lowerdir 中的另一个目录。这在某些特定场景下可以优化性能或简化管理，但 Docker 通常不直接使用此特性。

OverlayFS 的持续演进，使其在性能、稳定性和功能上不断完善，确保了它在容器生态系统中的核心地位。

总结与展望

OverlayFS 作为 Linux 内核的联合文件系统，以其精巧的写时复制机制和分层管理能力，完美支撑了 Docker 镜像的层级结构和容器的轻量级特性。它在内核层面实现了多层文件系统的无缝合并，提供了高效的资源利用和灵活的容器运行时环境。理解 OverlayFS 的内核实现原理，不仅能加深我们对 Docker 工作方式的认知，也为我们解决容器化应用中的存储和性能问题提供了重要的指导。随着容器技术的不断发展，OverlayFS 及其后续的演进将继续在云计算和 DevOps 领域扮演不可或缺的角色。

谢谢大家！