Image vs conteneur, Dockerfile, images légères (multi-stage, cache), sécurité et exploitation : l'essentiel pour des conteneurs propres, du poste au déploiement.
Une image est un empilement de couches en lecture seule (mises en cache). Chaque conteneur ajoute par-dessus une fine couche inscriptible qui lui est propre.
Les couches d'image sont partagées et mises en cache : c'est pourquoi l'ordre du Dockerfile compte (dépendances avant code) et pourquoi 10 conteneurs d'une même image restent légers. Seule la couche inscriptible est propre à chaque conteneur — et elle disparaît à sa suppression (d'où les volumes pour les données).
Six questions pour vérifier que les réflexes Docker sont bien acquis.