【学习笔记】Docker 客户端是如何拉取镜像的?

这两年Docker折腾的多,近期学习了下docker的拉取原理,记录一下。

Docker 客户端拉取镜像的过程可以分为几个主要阶段,它遵循 Docker Registry HTTP API V2 的规范来与镜像仓库(如 Docker Hub、Harbor、私有 Registry)进行通信。

✅ Docker 拉取镜像 的五个步骤:

步骤 描述
1. 解析镜像名 解析镜像名确定 Registry、仓库、Tag
2. 鉴权 鉴权获取 token(如需)
3. 获取 Manifest 获取 Manifest 读取镜像层次结构
4. 拉取 Layers 拉取 Layers 下载每一层 blob
5. 本地合并 本地合并解压层并构建本地镜像

国内拉取镜像困难时,推荐这篇文章:Docker镜像加速指南:手把手教你配置国内优质镜像源

Docker 拉取镜像流程详细解析

🧭 一、基本概念

  • 镜像命名格式[registry]/[namespace]/[repository]:[tag]
    • • 示例:docker.io/library/nginx:latest
  • 镜像组成:由多个层(layer)组成,每一层是一个只读的 tar blob 文件。

📥 二、拉取镜像的完整流程

1️⃣ 解析镜像地址

Docker 客户端会分析输入的镜像名,拆解为:

  • Registry(默认为 docker.io
  • Repository(如 nginx
  • Tag(如 latest
  • 若未指定 registry,默认使用 Docker Hub

2️⃣ 获取认证信息(可选)

  • 针对私有仓库或已登录账号场景,Docker 客户端会尝试使用凭证(token 或 basic auth)进行身份认证

3️⃣ 请求镜像的 Manifest(清单)

Docker 客户端通过以下 HTTP 请求获取 manifest:

GET https://<registry>/v2/<repository>/manifests/<tag>
Accept: application/vnd.docker.distribution.manifest.v2+json
Authorization: Bearer <token>
  • Manifest 描述镜像包含的层(layer)、对应的 digest、大小等元数据

4️⃣ 仓库响应 Manifest

仓库返回 JSON 格式的 manifest(精简示例):

{
  "schemaVersion":2,
"mediaType":"application/vnd.docker.distribution.manifest.v2+json",
"layers":[
    {
      "mediaType":"application/vnd.docker.image.rootfs.diff.tar.gzip",
      "size":2816979,
      "digest":"sha256:abc123..."
    },
    ...
]
}

5️⃣ 客户端检查本地已有层

Docker 会比对 digest(sha256)与本地缓存,跳过已存在的层,仅下载缺失层

6️⃣ 并发下载镜像层(Blob)

每个镜像层通过以下 URL 请求拉取:

GET https://<registry>/v2/<repository>/blobs/<digest>
Authorization: Bearer <token>
  • 此步骤通常并发执行以提升拉取速度

7️⃣ 解压和合并镜像层

  • 拉取的 layer 为压缩的 tar 文件,Docker 会解压并按顺序叠加,构建最终文件系统

8️⃣ 生成本地镜像

  • Docker 根据 manifest 内容生成本地镜像元数据(config、history、layer 关系)
  • 镜像保存至本地镜像缓存,可通过 docker images 查看

🔒 安全补充:Registry 鉴权机制

  1. 首次请求时,Registry 返回 401 Unauthorized,并附带认证 URL
  2. Docker 客户端访问认证服务器(如 Docker Hub Token Server)获取 token
  3. 后续请求附带 Authorization: Bearer <token>

🧪 示例:拉取 nginx 镜像时的 HTTP 请求顺序

  1. GET /v2/ → 检查 API 支持情况
  2. GET /v2/library/nginx/manifests/latest
  3. GET /v2/library/nginx/blobs/<digest-1>
  4. GET /v2/library/nginx/blobs/<digest-2>
  5. ...
  6. 解压并组合成完整镜像

✅ 总结

步骤 描述
1. 解析镜像名确定 Registry、仓库、Tag
2. 鉴权获取 token(如需)
3. 获取 Manifest 读取镜像层次结构
4. 拉取 Layers 下载每一层 blob
5. 本地合并解压层并构建本地镜像

引用链接

[1] 2025 Docker/DockerHub 国内镜像源/加速列表: 国内镜像源

posted @ 2025-09-06 16:37  源码舞动  阅读(47)  评论(0)    收藏  举报