如何使用 docker manifest push 命令推送清单列表

简介

在这个实验中，你将学习如何有效地使用 docker manifest push 命令来管理多架构镜像。我们将从创建一个清单列表（manifest list）开始，该列表允许使用单个镜像名称来引用为不同架构和操作系统构建的镜像。

创建清单列表后，你将练习将其推送到标准镜像仓库，并探索如何推送到不安全的镜像仓库。最后，你将学习如何推送并清除本地清单列表，以确保对 Docker 镜像进行高效管理。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL docker(("Docker")) -.-> docker/ContainerOperationsGroup(["Container Operations"]) docker(("Docker")) -.-> docker/ImageOperationsGroup(["Image Operations"]) docker(("Docker")) -.-> docker/SystemManagementGroup(["System Management"]) docker/ContainerOperationsGroup -.-> docker/run("Run a Container") docker/ContainerOperationsGroup -.-> docker/stop("Stop Container") docker/ContainerOperationsGroup -.-> docker/rm("Remove Container") docker/ContainerOperationsGroup -.-> docker/inspect("Inspect Container") docker/ImageOperationsGroup -.-> docker/pull("Pull Image from Repository") docker/ImageOperationsGroup -.-> docker/tag("Tag an Image") docker/ImageOperationsGroup -.-> docker/push("Push Image to Repository") docker/SystemManagementGroup -.-> docker/login("Log into Docker Registry") subgraph Lab Skills docker/run -.-> lab-555171{{"如何使用 docker manifest push 命令推送清单列表"}} docker/stop -.-> lab-555171{{"如何使用 docker manifest push 命令推送清单列表"}} docker/rm -.-> lab-555171{{"如何使用 docker manifest push 命令推送清单列表"}} docker/inspect -.-> lab-555171{{"如何使用 docker manifest push 命令推送清单列表"}} docker/pull -.-> lab-555171{{"如何使用 docker manifest push 命令推送清单列表"}} docker/tag -.-> lab-555171{{"如何使用 docker manifest push 命令推送清单列表"}} docker/push -.-> lab-555171{{"如何使用 docker manifest push 命令推送清单列表"}} docker/login -.-> lab-555171{{"如何使用 docker manifest push 命令推送清单列表"}} end

创建清单列表

在这一步中，你将学习如何使用 docker manifest create 命令创建一个清单列表（manifest list）。清单列表是一个镜像清单的集合，它允许你使用单个名称来引用不同架构和操作系统的镜像。这在构建多架构镜像时特别有用。

首先，让我们拉取两个不同的镜像，用于创建清单列表。我们将使用适用于 amd64 和 arm64 架构的 alpine 镜像。

docker pull alpine:latest
docker pull arm64v8/alpine:latest

你应该会看到显示镜像正在被拉取的输出。

latest: Pulling from library/alpine
...
Status: Downloaded newer image for alpine:latest
latest: Pulling from arm64v8/alpine
...
Status: Downloaded newer image for arm64v8/alpine:latest

现在，我们将创建一个名为 my-alpine:latest 的清单列表，其中包含我们刚刚拉取的两个镜像。语法为 docker manifest create MANIFEST_LIST IMAGE [IMAGE...]。

docker manifest create my-alpine:latest alpine:latest arm64v8/alpine:latest

如果命令执行成功，你将不会看到任何输出。此命令会创建一个本地清单列表。若要查看清单列表的信息，你可以使用 docker manifest inspect 命令。

docker manifest inspect my-alpine:latest

你应该会看到类似以下的输出，显示清单列表的详细信息，包括 amd64 和 arm64 架构的清单。

{
  "schemaVersion": 2,
  "mediaType": "application/vnd.docker.distribution.manifest.list.v2+json",
  "manifests": [
    {
      "mediaType": "application/vnd.docker.distribution.manifest.v2+json",
      "size": 528,
      "digest": "sha256:...",
      "platform": {
        "architecture": "amd64",
        "os": "linux"
      }
    },
    {
      "mediaType": "application/vnd.docker.distribution.manifest.v2+json",
      "size": 528,
      "digest": "sha256:...",
      "platform": {
        "architecture": "arm64",
        "os": "linux"
      }
    }
  ]
}

这证实了 my-alpine:latest 清单列表已成功创建，并且包含了指定的镜像。

将清单列表推送到镜像仓库

在这一步中，我们将把上一步创建的清单列表（manifest list）推送到 Docker 镜像仓库。默认情况下，docker push 命令用于推送单个镜像。若要推送清单列表，你需要使用 docker manifest push 命令。

在推送之前，我们需要一个镜像仓库来接收推送内容。在这个实验中，我们将使用 Docker Hub。如果你还没有 Docker Hub 账户，可以免费创建一个。你需要在终端中登录 Docker Hub。

docker login

系统会提示你输入 Docker Hub 的用户名和密码。输入你的凭证以完成登录。

Login with your Docker ID to push and pull images, scan them for vulnerabilities, sign and attest to them, and more.
Username: your_docker_username
Password: your_docker_password
Login Succeeded

现在你已经登录，就可以推送清单列表了。推送到 Docker Hub 的格式为 your_docker_username/manifest_list_name:tag。假设你的 Docker Hub 用户名是 your_docker_username，请将 your_docker_username 替换为你实际的 Docker Hub 用户名。

docker manifest push your_docker_username/my-alpine:latest

你应该会看到显示清单列表和相关镜像正在被推送到镜像仓库的输出。

Pushed manifest list your_docker_username/my-alpine:latest

推送完成后，你可以通过访问 Docker Hub 网站或在不同架构上拉取该镜像，来验证清单列表是否已存在于你的 Docker Hub 仓库中。

将清单列表推送到不安全的镜像仓库

在这一步中，我们将探讨如何将清单列表（manifest list）推送到不安全的镜像仓库。不安全的镜像仓库是指不使用 TLS/SSL 证书的仓库，虽然不建议在生产环境中使用，但在测试或内部网络中可能会很有用。

默认情况下，Docker 要求与镜像仓库建立安全连接。若要推送到不安全的镜像仓库，你需要配置 Docker 守护进程，以允许与该特定镜像仓库地址进行不安全连接。

在这个实验中，我们将通过运行一个不使用 TLS 的本地镜像仓库来模拟不安全的镜像仓库。首先，让我们运行一个本地镜像仓库容器。我们将把主机的 5000 端口映射到容器的 5000 端口。

docker run -d -p 5000:5000 --name registry registry:2

你应该会看到类似以下的输出，表明容器正在运行：

Unable to find image 'registry:2' locally
2: Pulling from library/registry
...
Status: Downloaded newer image for registry:2
a1b2c3d4e5f6...

现在，我们需要配置 Docker 守护进程，使其信任位于 localhost:5000 的这个不安全镜像仓库。这需要修改 Docker 守护进程的配置文件。该文件的位置可能会有所不同，但在大多数 Linux 系统上，它位于 /etc/docker/daemon.json。

我们将使用 sudo nano 来编辑这个文件。

sudo nano /etc/docker/daemon.json

如果该文件不存在，你可以创建它。添加或修改 insecure-registries 键，使其包含 localhost:5000。文件内容应如下所示：

{
  "insecure-registries": ["localhost:5000"]
}

保存文件并退出编辑器（在 nano 中按 Ctrl+X，然后按 Y，最后按 Enter）。

修改配置后，你需要重启 Docker 守护进程，以使更改生效。

sudo systemctl restart docker

现在，你可以使用不安全镜像仓库的地址为清单列表打标签并推送它。我们将使用第一步中创建的 my-alpine:latest 清单列表。

docker manifest create localhost:5000/my-alpine:latest alpine:latest arm64v8/alpine:latest
docker manifest push localhost:5000/my-alpine:latest

你应该会看到显示推送成功的输出，即使该镜像仓库是不安全的。

Pushed manifest list localhost:5000/my-alpine:latest

这展示了在配置 Docker 守护进程后，如何将清单列表推送到不安全的镜像仓库。

推送并清除本地清单列表

在这一步中，我们将学习如何推送清单列表（manifest list），并在推送成功后自动删除本地副本。这对于在推送多架构镜像后清理本地环境很有用。

docker manifest push 命令有一个 --purge 标志，它可以在清单列表成功推送到镜像仓库后删除本地的清单列表。

首先，确保我们本地有 my-alpine:latest 清单列表。这是我们在第一步中创建的。你可以检查它以确认其存在。

docker manifest inspect my-alpine:latest

你应该会像之前一样看到清单列表的详细信息。

现在，我们将再次把这个清单列表推送到 Docker Hub，但这次我们将使用 --purge 标志。请记得将 your_docker_username 替换为你实际的 Docker Hub 用户名。

docker manifest push --purge your_docker_username/my-alpine:latest

你应该会看到显示推送正在进行的输出，然后会有一条消息确认清单列表已被清除。

Pushed manifest list your_docker_username/my-alpine:latest
Purged manifest list your_docker_username/my-alpine:latest

命令执行完成后，本地的 my-alpine:latest 清单列表应该不再存在。你可以再次尝试检查它来验证这一点。

docker manifest inspect my-alpine:latest

这次，你应该会看到一条错误消息，表明未找到该清单列表。

no such manifest: my-alpine:latest

这证实了 --purge 标志在将清单列表推送到镜像仓库后成功删除了本地的清单列表。

最后，让我们清理上一步中启动的本地不安全镜像仓库容器。

docker stop registry
docker rm registry

你应该会看到确认容器已停止并被移除的输出。

registry
registry

总结

在这个实验中，我们学习了如何使用 docker manifest 命令来管理多架构镜像。首先，我们拉取了 alpine 镜像的两个不同架构版本。然后，我们使用 docker manifest create 将这些镜像合并为一个清单列表（manifest list），这样我们就可以用一个名称来引用它们。我们使用 docker manifest inspect 验证了清单列表的创建。

随后，我们探讨了如何使用 docker manifest push 将这个清单列表推送到 Docker 镜像仓库。我们还介绍了通过添加 --insecure 标志将清单列表推送到不安全镜像仓库的具体情况。最后，我们学习了如何在使用 docker manifest push 命令推送清单列表的同时，使用 --purge 标志删除本地副本。