docker manifest inspect 有什么用：多架构、digest 与清单读取入门

镜像不只是「一个 tarball」，在现代 Registry 协议里，它通常是一组结构化清单：**manifest / manifest list（索引）**指向不同架构或不同 artifact。理解这层结构后，你会更容易解释：

• 为什么同一个 Tag 在不同机器表现不同
• 为什么有时 manifest unknown，但网页上还看得到 Tag（缓存或延迟）
• 为什么安全扫描要对 digest 维度核对

1. manifest list（multi-arch）到底是什么

可以把 manifest list 理解为「目录页」：告诉你这个平台有哪些候选 manifest。客户端会选择最合适的一项继续解析。

2. digest：内容的指纹

digest（例如 sha256）更像内容的指纹：它比 tag 更「硬核」，更适合讨论供应链一致性与可复现构建。

实际工程中常见两条路径：

• 人类可读：tag + registry + namespace
• 机器可对账：digest +（必要时）签名 / SBOM

3. inspect 输出从哪里读「架构」

当你排查「拉到不对架构」的问题时，重点关注清单中的平台字段（概念表述即可）。不要把「镜像能启动」当成架构正确的证据——某些场景下启动失败的报错会非常误导。

4. 权限与 Registry 差异

不同 Registry 对 manifest API 的权限策略不同；inspect 失败时不要默认是自己命令写错，也可能是凭证范围不对。

5. 小结

manifest 相关的排查不适合只靠直觉。inspect 的价值是把镜像从黑盒变成可读结构。把它纳入团队的常规工具箱后，很多 ImagePull 争论会直接消失。