Docker的Pull Digest和Image ID

docker的image id和digest

既然你看到这篇文章，你肯定已经用过Docker，并且Pull过镜像，所以下面这条命令你肯定不会陌生

# docker pull registry.aliyuncs.com/jiangjizhong/busybox:latest

latest: Pulling from jiangjizhong/busybox

8ddc19f16526: Pull complete

Digest: sha256:a59906e33509d14c036c8678d687bd4eec81ed7c4b8ce907b888c607f6a1e0e6

Status: Downloaded newer image for registry.aliyuncs.com/jiangjizhong/busybox:latest 

有没有注意过输出内容里的Digest，知道它是什么意思吗？

你肯定还用过docker images命令，

# docker images

REPOSITORY TAG IMAGE ID CREATED SIZE

registry.aliyuncs.com/jiangjizhong/busybox latest 2b8fd9751c4c 3 weeks ago 1.093 MB

你能说出输出里的IMAGE ID表示的是什么意思吗？

如果你已经知道上面两个问题的答案，现在可以关掉浏览器了，这篇文章的内容对你来说太浅显了。如果你回答不上来，没关系，继续看下去，马上你就搞清楚这些问题。

由于Docker1.10和Registry 2.3对镜像和Manifest格式都有很大的变更，所以下面的内容都是基于Docker1.10+和Registry2.3+，不要留恋老版本，让它随风去吧。

Docker镜像的构成

Docker镜像包含两部分内容：一组有序的层(Layer)和相应的创建容器时要用的参数构成。我们可以分别通过docker history和docker inspect这两个命令查看层和镜像参数。

# docker history registry.aliyuncs.com/jiangjizhong/busybox

IMAGE CREATED CREATED BY SIZE COMMENT

2b8fd9751c4c 3 weeks ago /bin/sh -c #(nop) CMD ["sh"] 0 B

 missing 3 weeks ago /bin/sh -c #(nop) ADD file:9ca60502d646bdd815 1.093 MB

启动一个容器之后，我们可以看到容器里有一个完整的文件系统，容器里所有的文件都来自构成镜像的层。

每个层里都存放的是相对于上一个层的文件的变更，比如增加了几个文件，修改了几个文件，删除了几个文件等等。Docker通过诸如aufs之类的技术，把所有的层挂载到同一个目录上，形成了我们在容器里看到的完整的目录结构。

把层里所有的文件打包成一个tar，对它计算sha256sum，得到的就是层id(LayerId)

Docker1.10开始，Layer里只包含文件变更，不再包含配置信息，所有的配置信息都属于镜像。

ImageID和Digest

Pull分为两步，第一步是下载Manifest。Manifest里包含了前面所说的配置文件和层列表。我们可以模拟这个过程，下载busybox的Manifest文件看看。

#!/bin/env python

from __future__ import print_function

import requests

import json

auth = requests.get(https://dockerauth.aliyuncs.com/auth?scope=repository%3Ajiangjizhong%2Fbusybox%3Apull service=registry.aliyuncs.com)

token = json.loads(auth.text)[token]

headers = {

 Authorization: Bearer %s % (token),

 Accept: application/vnd.docker.distribution.manifest.list.v2+json,

 Accept: application/vnd.docker.distribution.manifest.v1+prettyjws,

 Accept: application/json,

 Accept: application/vnd.docker.distribution.manifest.v2+json

manifest = requests.get(https://registry.aliyuncs.com/v2/jiangjizhong/busybox/manifests/latest, headers=headers)

print(Docker Content Digest: %s % manifest.headers[docker-content-digest])

print(manifest.text, end=)

把上面的代码保存为manifest.py，执行python manifest.py，输出如下

Docker Content Digest: sha256:a59906e33509d14c036c8678d687bd4eec81ed7c4b8ce907b888c607f6a1e0e6

 "layers": [

 "mediaType": "application/vnd.docker.image.rootfs.diff.tar.gzip",

 "digest": "sha256:8ddc19f16526912237dd8af81971d5e4dd0587907234be2b83e249518d5b673f",

 "size": 667590

 "schemaVersion": 2,

 "config": {

 "mediaType": "application/octet-stream",

 "digest": "sha256:2b8fd9751c4c0f5dd266fcae00707e67a2545ef34f9a29354585f93dac906749",

 "size": 1459

 "mediaType": "application/vnd.docker.distribution.manifest.v2+json"

我特地输出的响应头的docker-content-digest，它的值是sha256:a59906e33509d14c036c8678d687bd4eec81ed7c4b8ce907b888c607f6a1e0e6，有没有觉得眼熟？没错！本文最开始的Docker Pull输出里的Digest就是这个值。这个值实际上是manifest内容的sha256sum。注意看Manifest内容的config部分，你可以找到一个digest，这个值是不是也很眼熟，它就是docker images输出的镜像ID，镜像的ID是镜像配置文件的sha256sum，我们可以用它继续从Registry上下载镜像配置文件。

Docker 镜像（image）& 容器（container） 什么是 Docker 镜像（image）? 镜像由多个层组成，每层叠加之后，从外部看来就如一个独立的对象； 镜像内部是一个精简的操作系统（OS），同时还包含应用运行所必须的文件和依赖包； 镜像可以运行一个或多个容器，同时镜像也可以停止某个容器的运行，并从中创建新的镜像；【镜像（iamge）的分类】...
太公 姜继忠，阿里云高级技术专家，负责阿里云容器服务和容器Hub等产品。目前关注容器相关技术。