docker的image id和digest
既然你看到这篇文章,你肯定已经用过Docker,并且Pull过镜像,所以下面这条命令你肯定不会陌生
# docker pull registry.aliyuncs.com/jiangjizhong/busybox:latest
latest: Pulling from jiangjizhong/busybox
8ddc19f16526: Pull complete
Digest: sha256:a59906e33509d14c036c8678d687bd4eec81ed7c4b8ce907b888c607f6a1e0e6
Status: Downloaded newer image for registry.aliyuncs.com/jiangjizhong/busybox:latest
有没有注意过输出内容里的Digest,知道它是什么意思吗?
你肯定还用过docker images命令,
# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
registry.aliyuncs.com/jiangjizhong/busybox latest 2b8fd9751c4c 3 weeks ago 1.093 MB
你能说出输出里的IMAGE ID表示的是什么意思吗?
如果你已经知道上面两个问题的答案,现在可以关掉浏览器了,这篇文章的内容对你来说太浅显了。如果你回答不上来,没关系,继续看下去,马上你就搞清楚这些问题。
由于Docker1.10和Registry 2.3对镜像和Manifest格式都有很大的变更,所以下面的内容都是基于Docker1.10+和Registry2.3+,不要留恋老版本,让它随风去吧。
Docker镜像的构成
Docker镜像包含两部分内容:一组有序的层(Layer)和相应的创建容器时要用的参数构成。我们可以分别通过docker history和docker inspect这两个命令查看层和镜像参数。
# docker history registry.aliyuncs.com/jiangjizhong/busybox
IMAGE CREATED CREATED BY SIZE COMMENT
2b8fd9751c4c 3 weeks ago /bin/sh -c #(nop) CMD ["sh"] 0 B
<missing> 3 weeks ago /bin/sh -c #(nop) ADD file:9ca60502d646bdd815 1.093 MB
启动一个容器之后,我们可以看到容器里有一个完整的文件系统,容器里所有的文件都来自构成镜像的层。
每个层里都存放的是相对于上一个层的文件的变更,比如增加了几个文件,修改了几个文件,删除了几个文件等等。Docker通过诸如aufs之类的技术,把所有的层挂载到同一个目录上,形成了我们在容器里看到的完整的目录结构。
把层里所有的文件打包成一个tar,对它计算sha256sum,得到的就是层id(LayerId)
Docker1.10开始,Layer里只包含文件变更,不再包含配置信息,所有的配置信息都属于镜像。
ImageID和Digest
Pull分为两步,第一步是下载Manifest。Manifest里包含了前面所说的配置文件和层列表。我们可以模拟这个过程,下载busybox的Manifest文件看看。
#!/bin/env python
from __future__ import print_function
import requests
import json
auth = requests.get('https://dockerauth.aliyuncs.com/auth?scope=repository%3Ajiangjizhong%2Fbusybox%3Apull&service=registry.aliyuncs.com')
token = json.loads(auth.text)['token']
headers = {
'Authorization': 'Bearer %s' % (token),
'Accept': 'application/vnd.docker.distribution.manifest.list.v2+json',
'Accept': 'application/vnd.docker.distribution.manifest.v1+prettyjws',
'Accept': 'application/json',
'Accept': 'application/vnd.docker.distribution.manifest.v2+json'
}
manifest = requests.get('https://registry.aliyuncs.com/v2/jiangjizhong/busybox/manifests/latest', headers=headers)
print('Docker Content Digest: %s' % manifest.headers['docker-content-digest'])
print(manifest.text, end='')
把上面的代码保存为manifest.py,执行python manifest.py,输出如下
Docker Content Digest: sha256:a59906e33509d14c036c8678d687bd4eec81ed7c4b8ce907b888c607f6a1e0e6
{
"layers": [
{
"mediaType": "application/vnd.docker.image.rootfs.diff.tar.gzip",
"digest": "sha256:8ddc19f16526912237dd8af81971d5e4dd0587907234be2b83e249518d5b673f",
"size": 667590
}
],
"schemaVersion": 2,
"config": {
"mediaType": "application/octet-stream",
"digest": "sha256:2b8fd9751c4c0f5dd266fcae00707e67a2545ef34f9a29354585f93dac906749",
"size": 1459
},
"mediaType": "application/vnd.docker.distribution.manifest.v2+json"
}
我特地输出的响应头的docker-content-digest,它的值是sha256:a59906e33509d14c036c8678d687bd4eec81ed7c4b8ce907b888c607f6a1e0e6,有没有觉得眼熟?没错!本文最开始的Docker Pull输出里的Digest就是这个值。这个值实际上是manifest内容的sha256sum。注意看Manifest内容的config部分,你可以找到一个digest,这个值是不是也很眼熟,它就是docker images输出的镜像ID,镜像的ID是镜像配置文件的sha256sum,我们可以用它继续从Registry上下载镜像配置文件。
