Docker Registry。它是所有仓库（包括共有和私有）以及工作流的中央Registry。

有三个角色，分别是index、registry和registry client

角色1 …… index

index 负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。它使用以下组件维护这些信息：

1. Web UI
2. 元数据存储
3. 认证服务
4. 符号化

角色 2 --Registry

registry是镜像和图表的仓库。然而，它没有一个本地数据库，也不提供用户的身份认证，由S3、云文件和本地文件系统提供数据库支持。此外，它通过Index Auth service的Token方式进行身份认证。Registries可以有不同的类型。现在让我们来分析其中的几中类型：

1. Sponsor Registry：第三方的registry，供客户和Docker社区使用。
2. Mirror Registry：第三方的registry，只让客户使用。
3. Vendor Registry：由发布Docker镜像的供应商提供的registry。
4. Private Registry：通过设有防火墙和额外的安全层的私有实体提供的registry。

角色 3 --Registry Client

Docker充当registry客户端来负责维护推送和拉取的任务，以及客户端的授权。

情景A：用户要获取并下载镜像。所涉及的步骤如下：

1. 用户发送请求到index来下载镜像。
2. index 发出响应，返回三个相关部分信息：
3. 该镜像所处的registry该镜像包括所有层的校验
4. 该镜像包括所有层的校验
5. 以授权为目的的Token > 注意：当请求header里有X-Docker-Token时才会返回Token。而私人仓库需要基本的身份验证，对于公有仓库这一点不是强制性的。
6. 用户通过响应后返回的Token和registry沟通，registry全权负责镜像，它用来存储基本的镜像和继承的层。
7. registry现在要与index证实该token是被授权的。
8. index会发送“true” 或者 “false”给registry，由此判定是否允许用户下载所需要的镜像。