如果我执行docker inspect {img}，我将获得许多sha256的列表。这些sha分别是什么意思？这是docker inspect ubuntu:16.04中所有shas的列表:
"Id": "sha256:0ef2e08ed3fabfc44002ccb846c4f2416a2135affc3ce39538834059606f32dd""RepoDigests": ["ubuntu@sha256:dd7808d8792c9841d0b460122f1acf0a2dd1f56404f8d1e56298048885e45535"]"ContainerConfig"."Image":"sha256:518b94cfb647aca74cc36f08ddacd5cb61abee3c8cf5cd66b1fadff40c7240eb""Config"."Image":"sha256:518b94cfb647aca74cc36f08ddacd5cb61abee3c8cf5cd66b1fadff40c7240eb""RootFS"."Layers":["sha256:745f5be9952c1a22dd4225ed6c8d7b760fe0d3583efd52f91992463b53f7aea3","sha256:85782553e37a2998422ecb14fb34ac3fda94dbc90c6630d721a3bcc770939946","sha256:29660d0e5bb2bae1d415f5638fa6011ab4063d1c0895e889d51ad365186d1995","sha256:440e02c3dcde277c7426c07c6e240a40b1e53da4a8a0cc22a8cecd4e6f419a98","sha256:56827159aa8b327a1b15c2102040ee87f3ca0bf8285aab00a1286e8af79a4beb"]
这引出了我的第二个问题，我看到人们在构建docker镜像时使用sha作为源:FROM ubuntu@sha256:...。从上面将其从哪个阴影中拉出来？

这些是图像层的摘要。同一张图片可能用不同的名称标记。但是SHA256摘要是您可以引用的唯一且不变的标识符。

如果拉出指定摘要的图像，则可以保证所使用的图像始终相同。

可以在以下文档中找到更多详细信息:Pull an image by digest (immutable identifier)和此处:Understand images, containers, and storage drivers