一、问题背景与现象描述

在使用 Docker 构建镜像时，开发者常通过 Dockerfile 中的 FROM 指令引用一个基础镜像。当该基础镜像是本地已构建的自定义镜像（如 my-base-image:latest）时，尽管已执行 docker build -t my-base-image:latest . 并成功生成镜像，但在后续构建中仍可能遇到如下错误：

pull access denied for my-base-image, repository does not exist or may require 'docker login'
manifest unknown

此类错误误导性较强，容易让人误以为需要登录或远程仓库不存在该镜像，而实际上问题出在本地镜像识别机制上。

二、常见原因分析（由浅入深）

1. 镜像未正确打标签：构建时未使用 -t 参数指定名称和标签，导致镜像仅以随机 ID 存在。
2. 标签拼写错误：Docker 对镜像名区分大小写，My-Base-Image 与 my-base-image 被视为不同镜像。
3. 构建上下文隔离：多阶段构建或 CI/CD 环境中，不同构建任务运行在独立环境中，无法共享本地镜像缓存。
4. BuildKit 默认行为变更：启用 BuildKit 后端（DOCKER_BUILDKIT=1）时，默认优先尝试从远程注册表拉取镜像，即使本地存在同名镜像也不会自动回退。
5. 镜像存储驱动或命名空间隔离：在某些容器运行时（如 rootless 模式）下，用户命名空间可能导致镜像不可见。

三、诊断流程图

graph TD
    A[开始: 执行 docker build] --> B{提示 pull access denied?}
    B -- 是 --> C[运行 docker images]
    C --> D{是否存在目标镜像?}
    D -- 否 --> E[检查构建命令是否带 -t 标签]
    D -- 是 --> F[确认标签完全匹配]
    F --> G{使用 BuildKit? DOCKER_BUILDKIT=1}
    G -- 是 --> H[临时设置 DOCKER_BUILDKIT=0 测试]
    G -- 否 --> I[检查 daemon 是否重启过导致缓存丢失]
    H --> J[若成功，则为 BuildKit 行为差异]
    E --> K[重新构建并正确标记]
    K --> L[再次尝试 FROM 引用]
    L --> M[问题解决]
    J --> M
    I --> M
    

四、解决方案汇总

五、代码示例：验证 BuildKit 差异行为

以下脚本可用于对比两种构建后端的行为差异：

# Step 1: 构建基础镜像
docker build -t my-base-image:latest - < /base.txt
EOF

# Step 2: 创建引用它的 Dockerfile
cat > Dockerfile.app <<EOF
FROM my-base-image:latest
RUN cat /base.txt
CMD ["echo", "done"]
EOF

# Step 3: 使用传统构建器（应成功）
echo "[*] Testing with legacy builder..."
DOCKER_BUILDKIT=0 docker build -f Dockerfile.app .

# Step 4: 使用 BuildKit 构建器（可能失败）
echo "[*] Testing with BuildKit..."
DOCKER_BUILDKIT=1 docker build -f Dockerfile.app .