Docker 是一種基于容器技術的應用部署工具，主要用于實現應用程序的打包、分發、運行等操作。在 Docker 容器中，操作系統通常是以只讀層的方式進行部署，這樣可以防止應用程序的修改和破壞，同時也有助于保護容器鏡像的安全性。

只讀層實際上是 Docker 容器的一種機制，它將應用程序放置在一個只讀的容器層中，這個層是不可寫入的，任何更改操作都將被存儲在新的容器層中。這種機制可以避免容器內部的數據被其他應用覆蓋，保證數據的安全性。

在 Docker 容器中，默認有兩個存儲層，一個是只讀層，另一個是可寫層。只讀層存儲的是容器鏡像的元數據和文件系統快照，這些內容在運行時不可改變；可寫層用于存儲容器的數據和變化部分，這個層的內容可以被修改。只要容器在運行時發生了任何更改，這些變化就會被寫入到可寫層中，而不會修改鏡像本身。

# 示例代碼
# 創建一個基于 nginx 鏡像的容器，并進行一些修改操作
docker run -d nginx
docker exec -it container_id /bin/sh
echo "hello docker" >/usr/share/nginx/html/index.html
exit
# 查看容器上的文件變化
docker diff container_id
# 將修改后的容器保存為新的鏡像
docker commit container_id new_image_name

使用只讀層機制可以讓 Docker 容器鏡像保持不變，這樣在集成和部署方面更加方便。因為這種機制可以避免在不同的應用程序之間存在沖突，而且可以通過簡單的修改容器鏡像來實現新的應用程序的部署。