Docker 客户端拉取镜像的过程可以分为几个主要阶段，它遵循 Docker Registry HTTP API V2 的规范来与镜像仓库（如 Docker Hub、Harbor、私有 Registry）进行通信。

✅ Docker 拉取镜像 的五个步骤：

Docker 拉取镜像流程详细解析

🧭 一、基本概念

• • 镜像命名格式：[registry]/[namespace]/[repository]:[tag]

• • 示例：docker.io/library/nginx:latest

• • 镜像组成：由多个层（layer）组成，每一层是一个只读的 tar blob 文件。

📥 二、拉取镜像的完整流程

1️⃣ 解析镜像地址

Docker 客户端会分析输入的镜像名，拆解为：

• • Registry（默认为 docker.io）
• • Repository（如 nginx）
• • Tag（如 latest）
• • 若未指定 registry，默认使用 Docker Hub

2️⃣ 获取认证信息（可选）

• • 针对私有仓库或已登录账号场景，Docker 客户端会尝试使用凭证（token 或 basic auth）进行身份认证

3️⃣ 请求镜像的 Manifest（清单）

Docker 客户端通过以下 HTTP 请求获取 manifest：

GET https://<registry>/v2/<repository>/manifests/<tag>
Accept: application/vnd.docker.distribution.manifest.v2+json
Authorization: Bearer <token>

• • Manifest 描述镜像包含的层（layer）、对应的 digest、大小等元数据

4️⃣ 仓库响应 Manifest

仓库返回 JSON 格式的 manifest（精简示例）：

{
  "schemaVersion":2,
"mediaType":"application/vnd.docker.distribution.manifest.v2+json",
"layers":[
    {
      "mediaType":"application/vnd.docker.image.rootfs.diff.tar.gzip",
      "size":2816979,
      "digest":"sha256:abc123..."
    },
    ...
]
}

5️⃣ 客户端检查本地已有层

Docker 会比对 digest（sha256）与本地缓存，跳过已存在的层，仅下载缺失层

6️⃣ 并发下载镜像层（Blob）

每个镜像层通过以下 URL 请求拉取：

GET https://<registry>/v2/<repository>/blobs/<digest>
Authorization: Bearer <token>

• • 此步骤通常并发执行以提升拉取速度

7️⃣ 解压和合并镜像层

• • 拉取的 layer 为压缩的 tar 文件，Docker 会解压并按顺序叠加，构建最终文件系统

8️⃣ 生成本地镜像

• • Docker 根据 manifest 内容生成本地镜像元数据（config、history、layer 关系）
• • 镜像保存至本地镜像缓存，可通过 docker images 查看

🔒 安全补充：Registry 鉴权机制

1. 1. 首次请求时，Registry 返回 401 Unauthorized，并附带认证 URL
2. 2. Docker 客户端访问认证服务器（如 Docker Hub Token Server）获取 token
3. 3. 后续请求附带 Authorization: Bearer

🧪 示例：拉取 nginx 镜像时的 HTTP 请求顺序

1. 1. GET /v2/ → 检查 API 支持情况
2. 2. GET /v2/library/nginx/manifests/latest
3. 3. GET /v2/library/nginx/blobs/
4. 4. GET /v2/library/nginx/blobs/
5. 5. ...
6. 6. 解压并组合成完整镜像

✅ 总结