从零创建 Docker 镜像（基于 OCI 格式）

更现代的 OCI 镜像格式，采用了 OCI Image Format Specification，其中文件引用使用 blobs/sha256/<hash> 的形式，层和配置存储在 blobs/sha256/ 目录下，并且包含 LayerSources 字段。这种格式在较新的 Docker 版本和 OCI 兼容的镜像存储中更常见。

从零开始手动创建一个可以被 docker load 加载的 Docker 镜像的步骤。我们将构造一个简单的镜像，包含一个 shell 脚本，输出 “Hello from my custom image!”，并确保生成的 tar 文件符合你提供的 manifest.json 结构。

---

从零创建 Docker 镜像（基于 OCI 格式）

我们将创建一个包含单个文件系统层的镜像，运行一个 shell 脚本。最终生成一个 tar 文件，包含 blobs/sha256/ 目录结构和相应的 manifest.json。

步骤 1：准备文件系统层

创建一个简单的文件系统，包含一个可执行的 shell 脚本。

1. 创建工作目录和文件系统结构：

mkdir -p my-image/rootfs/bin
cd my-image

2. 创建一个 shell 脚本：

echo -e '#!/bin/sh\necho "Hello from my custom image!"' > rootfs/bin/hello.sh
chmod +x rootfs/bin/hello.sh

3. 打包文件系统层为 tar 文件：

tar -cvf layer.tar -C rootfs .

4. 计算层的 SHA256 校验值：

sha256sum layer.tar

假设输出为：

e4d7f1b4c3b2a1...  layer.tar

将层文件移动到 blobs/sha256/ 目录：

mkdir -p blobs/sha256
mv layer.tar blobs/sha256/e4d7f1b4c3b2a1...

步骤 2：创建镜像配置文件

创建一个 config.json 文件，描述镜像的运行时配置。需要注意的是，config.json 本身也会被存储为一个 blob，并以 SHA256 校验值命名。

在 my-image 目录下创建 config.json：

{"architecture": "amd64","os": "linux","config": {"Entrypoint": ["/bin/hello.sh"],"Env": ["PATH=/bin"],"WorkingDir": "/"},"rootfs": {"type": "layers","diff_ids": ["sha256:e4d7f1b4c3b2a1..."]},"history": [{"created": "2025-04-19T00:00:00Z","created_by": "Manual creation"}]
}

5. 计算 config.json 的 SHA256 校验值：

sha256sum config.json

假设输出为：

d41617c0b2d95b2...  config.json

将 config.json 移动到 blobs/sha256/ 目录：

mv config.json blobs/sha256/d41617c0b2d95b2...

步骤 3：创建 Manifest 文件

manifest.json 描述镜像的层和配置信息，引用 blobs/sha256/<hash> 路径。

在 my-image 目录下创建 manifest.json：

[{"Config": "blobs/sha256/d41617c0b2d95b2...","RepoTags": ["my-custom-image:latest"],"Layers": ["blobs/sha256/e4d7f1b4c3b2a1..."],"LayerSources": {"sha256:e4d7f1b4c3b2a1...": {"mediaType": "application/vnd.oci.image.layer.v1.tar","size": 1024,"digest": "sha256:e4d7f1b4c3b2a1..."}}}
]

填写 LayerSources 的 size 字段

LayerSources 中的 size 是层文件的大小（字节）。运行以下命令获取 layer.tar 的大小：

ls -l blobs/sha256/e4d7f1b4c3b2a1... | awk '{print $5}'

假设大小为 1024 字节，更新 manifest.json 中的 size 字段。

步骤 4：创建 OCI 布局文件

OCI 镜像需要一个 oci-layout 文件，表明目录符合 OCI 镜像规范。

在 my-image 目录下创建 oci-layout：

{"imageLayoutVersion": "1.0.0"
}

步骤 5：打包镜像

将所有文件打包成一个 tar 文件，符合 Docker/OCI 镜像格式。

在 my-image 目录下运行：

tar -cvf my-image.tar oci-layout blobs/sha256/e4d7f1b4c3b2a1... blobs/sha256/d41617c0b2d95b2... manifest.json

这会生成 my-image.tar，即最终的 Docker 镜像文件。

步骤 6：验证和加载镜像

将 my-image.tar 传输到有 Docker 的环境中，运行：

docker load -i my-image.tar

加载后，检查镜像：

docker images

应该能看到 my-custom-image:latest。

运行镜像：

docker run my-custom-image:latest

预期输出：

Hello from my custom image!

注意事项

1. SHA256 校验值：确保 layer.tar 和 config.json 的 SHA256 值正确，文件名和 manifest.json 中的引用必须一致。
2. 文件权限：确保 hello.sh 有可执行权限（chmod +x）。
3. LayerSources：LayerSources 字段是可选的，但在某些 Docker 版本中需要。如果不需要，可以从 manifest.json 中移除。
4. mediaType：层使用 application/vnd.oci.image.layer.v1.tar，配置使用 application/vnd.oci.image.config.v1+json（Docker 通常会推断）。
5. 依赖问题：此例中，hello.sh 依赖 /bin/sh。如果目标环境没有 /bin/sh，需要将 sh 二进制文件包含在 rootfs 中。
6. 目录结构：确保 blobs/sha256/ 目录和文件路径与 manifest.json 中的引用一致。

扩展：支持多层

如果需要多个层，重复以下步骤：

1. 创建新的文件系统目录，添加或修改文件。
2. 打包成新的 layerN.tar，计算 SHA256 值，移动到 blobs/sha256/<hash>。
3. 更新 config.json 的 rootfs.diff_ids，添加新的 sha256:<hash>。
4. 更新 manifest.json 的 Layers 和 LayerSources，添加新的层引用。

例如，添加第二个层：

mkdir rootfs2
echo "Another file" > rootfs2/another.txt
tar -cvf layer2.tar -C rootfs2 .
sha256sum layer2.tar  # 假设得到 sha256:abcdef...
mv layer2.tar blobs/sha256/abcdef...
ls -l blobs/sha256/abcdef... | awk '{print $5}'  # 获取大小，假设为 2048

更新 config.json：

"rootfs": {"type": "layers","diff_ids": ["sha256:e4d7f1b4c3b2a1...", "sha256:abcdef..."]
}

更新 manifest.json：

"Layers": ["blobs/sha256/e4d7f1b4c3b2a1...", "blobs/sha256/abcdef..."],
"LayerSources": {"sha256:e4d7f1b4c3b2a1...": {"mediaType": "application/vnd.oci.image.layer.v1.tar","size": 1024,"digest": "sha256:e4d7f1b4c3b2a1..."},"sha256:abcdef...": {"mediaType": "application/vnd.oci.image.layer.v1.tar","size": 2048,"digest": "sha256:abcdef..."}
}

重新打包：

tar -cvf my-image.tar oci-layout blobs/sha256/e4d7f1b4c3b2a1... blobs/sha256/d41617c0b2d95b2... blobs/sha256/abcdef... manifest.json

总结

通过以上步骤，你可以完全不依赖 Docker 工具，从零创建一个符合 OCI 规范的 Docker 镜像，匹配你提供的 manifest.json 格式。最终的 my-image.tar 可以通过 docker load 导入并运行。如果你有更复杂的需求（如特定的软件、配置或多架构支持），请提供更多细节，我可以进一步优化！

---