Docker映像打包了应用程序运行所需的应用程序和环境，容器是映像的运行实例。

图像是Docker的包装部分，类似于“源代码”或“程序”。容器是Docker的执行部分，类似于“进程”。

在这个问题中，只提到了“程序”部分，这就是图像。Docker的“运行”部分是容器。当容器运行并进行更改时，就好像进程对自己的源代码进行了更改，并将其保存为新的映像。

Dockerfile类似于生成tarball (Docker映像)的Bash脚本。

Docker容器就像tarball的提取版本。您可以在不同的文件夹(容器)中拥有尽可能多的副本。

映像的实例称为容器。你有一个图像，它是你描述的一组图层。如果启动这个映像，就有了这个映像的运行容器。同一个映像可以有多个正在运行的容器。

你可以用docker images看到你所有的图像，而你可以用docker ps看到你正在运行的容器(你可以用docker ps -a看到所有的容器)。

因此，映像的运行实例就是一个容器。

映像或容器映像是一个包含应用程序代码、应用程序运行时、配置和依赖库的文件。映像基本上是将所有这些包装成一个单一的、安全的不可变单元。使用适当的docker命令构建映像。图像有图像id和图像标签。标签的格式通常为<docker-user-name>/image-name:tag。

当您开始使用映像运行应用程序时，实际上是启动了一个容器。你的容器是一个运行图像的沙盒。Docker软件用于管理映像和容器。

Image是一个安全的包，其中包含应用程序工件、库、配置和应用程序运行时。容器是映像的运行时表示形式。

容器只是一个可执行的二进制文件，由主机操作系统在一组限制下运行，这些限制是由应用程序(例如Docker)预先设置的，该应用程序知道如何告诉操作系统应用哪些限制。

典型的限制是与进程隔离相关的、与安全性相关的(比如使用SELinux保护)和与系统资源相关的(内存、磁盘、CPU和网络)。

直到最近，只有基于unix的系统中的内核支持在严格限制下运行可执行文件的能力。这就是为什么今天大多数容器讨论主要涉及Linux或其他Unix发行版的原因。

Docker是知道如何告诉操作系统(主要是Linux)在什么限制下运行可执行文件的应用程序之一。可执行文件包含在Docker映像中，它只是一个tarfile。该可执行文件通常是Linux发行版用户空间(Ubuntu、CentOS、Debian等)的精简版本，预先配置为在其中运行一个或多个应用程序。

尽管大多数人使用Linux基础文件作为可执行文件，但它可以是任何其他二进制应用程序，只要主机操作系统的内核可以运行它(参见使用scratch创建一个简单的基础映像)。无论Docker镜像中的二进制文件是一个OS用户空间还是一个简单的应用程序，对于OS主机来说，它只是另一个进程，一个被预设的OS边界所控制的包含进程。

其他应用程序，如Docker，可以告诉主机操作系统在进程运行时应用哪些边界，包括LXC、libvirt和systemd。Docker曾经使用这些应用程序间接地与Linux操作系统交互，但现在Docker使用自己的库“libcontainer”直接与Linux交互。

因此容器只是在受限模式下运行的进程，类似于chroot的功能。

在我看来，Docker与其他容器技术的区别在于它的存储库(Docker Hub)和管理工具，这些工具使得使用容器变得非常容易。

参见Docker(软件)。

在编程方面，

图片是源代码。

当编译和构建源代码时，它被称为应用程序。

类似于“当为映像创建实例时”，它被称为“容器”。