Как докер обрабатывает дайджесты?
Когда я запускаю docker image --inspect
, я вижу в обычном тексте дайджест изображения. Кроме того, локальные образы не имеют дайджеста, пока я не отправлю их в реестр (и, насколько мне известно, если я отправлю образ в разные реестры, у него будут разные дайджесты, но я никогда этого не пробовал).
Я боюсь, что докер может на самом деле использовать эту информацию вместо того, чтобы вычислять хэш каждый раз, когда я использую или извлекаю образ.
Есть ли способ сказать докеру: Эй, я хочу, чтобы ты прямо сейчас перепроверил хэш содержимого изображения. Они точно такие же, как когда я впервые создал образ? Или кто-то манипулировал им когда-либо?
И: действительно ли докер вычисляет этот хэш каждый раз, когда запускается образ (по дайджесту) или, по крайней мере, каждый раз, когда образ извлекается (по дайджесту)?