1 概述：

1.1 历史概要

2016年，Docker制定了镜像规范v2，并在Docker 1.10中实现了这个规范。镜像规范v2分为Schema 1和Schema 2。
Schema 1主要兼容使用v1规范的Docker客户端（从2017年2月起，镜像规范v1不再被Registry支持），如Docker 1.9及之前的客户端。
Schema 2主要实现了两个功能：支持多体系架构的镜像和可通过内容寻址的镜像，其中最大的改进就是根据内容的SHA256摘要生成ID，只要内容相同，ID就是一样的，可用于区分相同的层文件（即可内容寻址）。
OCI在2017年7月发布了OCI镜像规范1.0。因为Docker v2的镜像规范已经成为事实上的标准，OCI镜像规范实质上是以Docker镜像规范v2为基础制定的，因此二者在绝大多数情况下是兼容或相似的。如Docker镜像规范中的镜像索引（imageindex）和OCI镜像规范中的清单索引（manifest index）是等价的。

1.2 OCI规范概要

OCI镜像规范是以Docker镜像规范v2为基础制定的，它定义了镜像的主要格式及内容，此规范主要用于镜像仓库服务存放镜像、分发镜像等场景。

OCI 定义的镜像包括4个部分：
a、镜像索引（Image Index）
镜像索引不是必需的，如果存在，则指明了一组支持不同架构平台的相关镜像（例如arm和amd，linux和windows）。用户无须指定操作系统和平台，就可完全依赖客户端获取正确版本的镜像。
b、清单（Manifest）
清单是JSON格式的描述文件，列出了镜像的配置和层文件。
c、配置（Configuration）
配置是JSON格式的描述文件，说明了镜像运行的参数。在本地，配置的摘要是作为本地镜像的标识。
d、层文件（Layers）
层文件则是镜像的内容，即镜像包含的文件，一般是二进制数据文件格式（Blob）。一个镜像可以有一个或多个层文件。

镜像的4个部分之间是通过摘要（digest）来相互引用（reference）的。镜像各部分的关系如图1-13所示。

1.3 镜像存储思想概要

镜像存储的本质还是分层存储，但是本地存储和远程镜像仓库的存储，是不完全一样的。
远程镜像仓库存储的镜像是压缩文件，问什么？
远程镜像仓库存储的核心是方便镜像快速分发（上传和拉取）和大量存储，所以在实现上是，依据镜像层来独立[ 压缩 ]和存储，然后使用镜像清单（manifest）包含所有的层，通过镜像摘要（digest）和Tag关联起来。从下图的registry服务的数据目录中可见，镜像层确实是压缩文件。

远程镜像仓库存储的镜像是源文件（非压缩），问什么？
镜像在本地存储的核心是快速加载和启动容器，容器在启动时需要将镜像层按照顺序堆叠作为容器的运行环境，并且本地不需要大量存储所有镜像（用什么就存储什么），因此镜像在本地存储中使用非压缩形式存放更利于启动容器。

2 镜像细节

2.1 远程存储的镜像

在镜像仓库上存储容器镜像的简化结构如图1-11所示，主要由三部分组成：清单文件（manifest）、镜像文件（configuration）和层文件（layers）。在镜像清单文件（manifest）中存放了配置文件（configuration）的摘要和层文件（layers）的摘要，这些摘要（或者叫哈希值、指纹等等）都是通过文件内容计算而来的（因此叫作内容寻址）。
镜像摘要是依据镜像清单文件的内容计算SHA256哈希值而来的。镜像摘要不是镜像ID。镜像摘要可取代tag来在registry中搜索特定的镜像，因为tag最终要映射到一个镜像摘要。
内容寻址的好处是，除了可以唯一标识不同的文件，还可以在传输过程中通过摘要做文件校验。在文件下载完成后，计算所下载文件的摘要值，然后与下载时的摘要标识进行对比，如果二者一致，即可判断下载的文件是正确的。需要指出的是，由于文件在镜像仓库端是以压缩形式存放的，所以摘要值也是基于压缩文件计算而来的。

2.2 本地存储的镜像

在本地存储中，使用配置文件的摘要作为本地镜像的标识，主要是因为本地镜像存放的文件都是非压缩的文件，而镜像仓库存放的是压缩文件，因此层文件在本地和镜像仓库中有不同的摘要值。因为压缩文件的内容会受到压缩算法等因素的影响，所以同样内容的层无法保证压缩后摘要的唯一性，而镜像清单文件包含压缩层文件的摘要，因此通过镜像清单文件的摘要（即镜像摘要）无法在本地确定镜像的唯一性。配置文件则不同，其中包含的层信息是未压缩的摘要值，因此相同镜像的各层内容必然相同，配置文件的摘要值是唯一确定的，因此可以作为本地镜像的标志。

2.3 拉取镜像的主要过程

（1）向镜像仓库请求镜像的[ 清单文件manifest ]。
（2）获取镜像ID，查看镜像ID是否在本地存在。
（3）若不存在，则下载[ 配置文件config ]（config文件中含有每个未压缩层文件的摘要DIFF_ID）。
（4）检查层文件是否在本地存在，若不存在，则从镜像仓库中拉取每一层的[ 压缩文件 ]。
（5）拉取层时，使用镜像清单中[ 压缩层文件的摘要 ]作为内容寻址下载。
（6）下载完一层的文件后，解压并按照摘要校验。
（7）当所有层文件都拉取完毕时，镜像就下载完成了。

2.4 镜像索引

OCI镜像索引支持不同的操作系统及体系结构平台，其核心思想是将在不同操作系统中生成的[ 一组镜像 ]合并为[ 一个镜像索引 ]存储在镜像仓库服务中，如此一来，客户端无须关心具体操作系统的类型而使用统一的镜像名称来拉取镜像。以DockerHub中的Redis镜像索引为例，客户端程序可以在不同的操作系统平台上执行[ docker pull redis ]命令拉取Redis镜像，无须在命令中显式指定镜像的操作系统。

镜像索引怎么在镜像仓库服务中创建呢？不使用buildx的手工推送多arch镜像的一个例子如下：

3 小结

镜像在远程仓库和在本地，存储方式有些许不同，因为情景不一样。镜像索引是将多个CPU架构的镜像组成看起的"一个"。