Kubernetes实战(七)-反向提取镜像Dockerfile
1 概述
反向生成 Dockerfile总结了下面几个场景 :
-
场景一 : 在日常开发中,可以根据记录找到历史的docker镜像并进行操作,历史记录docker帮我们保存了,但是并没有一个好的方式去查看和保存构建者的Dockerfile文件内容。
-
场景二 : 在做优化镜像时,尽管知道镜像是分层构建,但如果我们想要优化一个镜像的大小和安全性,那么就需要去逐层解析和处理,这个过程就需要知道构建过程也就是Dockerfile是什么样的。
-
场景三 : 排查问题过程中,当我们去使用别人提供的镜像时,因为不了解它的构建步骤和流程,那么可能缺少了一个组件,少配置了一个环境变量,那么在排查问题的时候就需要查看Dockfile分析排查问题了。
2 反向生成Dockerfile内容的工具
2.1 Docker history && nerdctl history命令
2.1.1 docker history
docker history是docker自带的命令工具,一般情况下它可以满足我们查看构建过程的需求,但是有一些不足,它的整个展示的结果是逆序的和我们的Dockerfile是相反的, docker history 命令会还有一个局限性,镜像必须是本地存在的,所以镜像需要提前先 pull 下来。
2.1.1.1 用法
$ docker history [OPTIONS] IMAGE
$ docker history -h
Flag shorthand -h has been deprecated, please use --help
Usage: docker history [OPTIONS] IMAGE
Show the history of an image
Options:
--format string Pretty-print images using a Go template
-H, --human Print sizes and dates in human readable format (default true)
--no-trunc Don't truncate output
-q, --quiet Only show numeric IDs
2.1.1.2 示例
$ docker history nginx:latest
IMAGE CREATED CREATED BY SIZE COMMENT
a6bd71f48f68 13 days ago /bin/sh -c #(nop) CMD ["nginx" "-g" "daemon… 0B
<missing> 13 days ago /bin/sh -c #(nop) STOPSIGNAL SIGQUIT 0B
<missing> 13 days ago /bin/sh -c #(nop) EXPOSE 80 0B
<missing> 13 days ago /bin/sh -c #(nop) ENTRYPOINT ["/docker-entr… 0B
<missing> 13 days ago /bin/sh -c #(nop) COPY file:9e3b2b63db9f8fc7… 4.62kB
<missing> 13 days ago /bin/sh -c #(nop) COPY file:57846632accc8975… 3.02kB
<missing> 13 days ago /bin/sh -c #(nop) COPY file:3b1b9915b7dd898a… 298B
<missing> 13 days ago /bin/sh -c #(nop) COPY file:caec368f5a54f70a… 2.12kB
<missing> 13 days ago /bin/sh -c #(nop) COPY file:01e75c6dd0ce317d… 1.62kB
<missing> 13 days ago /bin/sh -c set -x && groupadd --system -… 112MB
<missing> 13 days ago /bin/sh -c #(nop) ENV PKG_RELEASE=1~bookworm 0B
<missing> 13 days ago /bin/sh -c #(nop) ENV NJS_VERSION=0.8.2 0B
<missing> 13 days ago /bin/sh -c #(nop) ENV NGINX_VERSION=1.25.3 0B
<missing> 13 days ago /bin/sh -c #(nop) LABEL maintainer=NGINX Do… 0B
<missing> 13 days ago /bin/sh -c #(nop) CMD ["bash"] 0B
<missing> 13 days ago /bin/sh -c #(nop) ADD file:d261a6f6921593f1e… 74.8MB
2.1.2 nerdctl history
nerdctl history 和 docker history 的区别在于 :
-
docker history 输出的第一列为 IMAGE
-
nerdctl history 输出的第一列为 SNAPSHOT
nerdctl history也是只可以满足我们查看构建过程的需求,并不是很全面;
用法 :
nerdctl history nginx:latest
如果只是想查看构建的过程,history 参数已经足够了,只是它没能生成一个完整的 Dockerfile;
2.2 dfimage工具
dfimage 只是一个镜像的名称,由 alpine 官方制作的,其实里面运行了一个工具,叫做 Whaler;
Whaler 是一个 Go 程序,旨在将 docker 镜像逆向工程得到创建它的 Dockerfile 中;
它当前执行以下操作
-
1、从镜像生成 Dockerfile
-
2、搜索添加的文件名以查找潜在的机密文件
-
3、提取由 Docker 的 ADD/COPY 指令添加的文件
-
4、它还显示其他信息,例如:打开的端口、运行的用户和环境变量
如果想要个人构建 whaler 镜像,whaler 的 github 项目里面也提供了 Dockerfile,只需要下载好 whaler 的源码包,稍稍修改一下就可以构建了
已经构建好的镜像,也可以直接拿来用
-
pegleg/whaler : https://hub.docker.com/r/pegleg/whaler/tags
-
alpine/dfimage : https://hub.docker.com/r/alpine/dfimage/tags
用法 :
$ alias dfimage="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro alpine/dfimage"
$ alias whaler="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro pegleg/whaler"
$ dfimage nginx:1.16
$ whaler nginx:1.16
Analyzing nginx:1.16
Docker Version: 18.09.7
GraphDriver: overlay2
Environment Variables
|PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
|NGINX_VERSION=1.16.1
|NJS_VERSION=0.3.8
|PKG_RELEASE=1~buster
Open Ports
|80
Image user
|User is root
Potential secrets:
Dockerfile:
CMD ["bash"]
LABEL maintainer=NGINX Docker Maintainers <docker-maint@nginx.com>
ENV NGINX_VERSION=1.16.1
ENV NJS_VERSION=0.3.8
ENV PKG_RELEASE=1~buster
RUN set -x \
&& addgroup --system --gid 101 nginx \
&& adduser --system --disabled-login --ingroup nginx --no-create-home --home /nonexistent --gecos "nginx user" --shell /bin/false --uid 101 nginx \
&& apt-get update \
&& apt-get install --no-install-recommends --no-install-suggests -y gnupg1 ca-certificates \
&& NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62; found=''; for server in ha.pool.sks-keyservers.net hkp://keyserver.ubuntu.com:80 hkp://p80.pool.sks-keyservers.net:80 pgp.mit.edu ; do echo "Fetching GPG key $NGINX_GPGKEY from $server"; apt-key adv --keyserver "$server" --keyserver-options timeout=10 --recv-keys "$NGINX_GPGKEY" \
&& found=yes \
&& break; done; test -z "$found" \
&& echo >&2 "error: failed to fetch GPG key $NGINX_GPGKEY" \
&& exit 1; apt-get remove --purge --auto-remove -y gnupg1 \
&& rm -rf /var/lib/apt/lists/* \
&& dpkgArch="$(dpkg --print-architecture)" \
&& nginxPackages=" nginx=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-xslt=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-geoip=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-image-filter=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-njs=${NGINX_VERSION}.${NJS_VERSION}-${PKG_RELEASE} " \
&& case "$dpkgArch" in amd64|i386) echo "deb https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list \
&& apt-get update ;; *) echo "deb-src https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list \
&& tempDir="$(mktemp -d)" \
&& chmod 777 "$tempDir" \
&& savedAptMark="$(apt-mark showmanual)" \
&& apt-get update \
&& apt-get build-dep -y $nginxPackages \
&& ( cd "$tempDir" \
&& DEB_BUILD_OPTIONS="nocheck parallel=$(nproc)" apt-get source --compile $nginxPackages ) \
&& apt-mark showmanual | xargs apt-mark auto > /dev/null \
&& { [ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; } \
&& ls -lAFh "$tempDir" \
&& ( cd "$tempDir" \
&& dpkg-scanpackages . > Packages ) \
&& grep '^Package: ' "$tempDir/Packages" \
&& echo "deb [ trusted=yes ] file://$tempDir ./" > /etc/apt/sources.list.d/temp.list \
&& apt-get -o Acquire::GzipIndexes=false update ;; esac \
&& apt-get install --no-install-recommends --no-install-suggests -y $nginxPackages gettext-base \
&& apt-get remove --purge --auto-remove -y ca-certificates \
&& rm -rf /var/lib/apt/lists/* /etc/apt/sources.list.d/nginx.list \
&& if [ -n "$tempDir" ]; then apt-get purge -y --auto-remove \
&& rm -rf "$tempDir" /etc/apt/sources.list.d/temp.list; fi
RUN ln -sf /dev/stdout /var/log/nginx/access.log \
&& ln -sf /dev/stderr /var/log/nginx/error.log
EXPOSE 80
STOPSIGNAL SIGTERM
CMD ["nginx" "-g" "daemon off;"]
输出的信息分别为:
-
镜像名称和 tag
-
编译镜像使用的 docker 版本
-
使用的驱动类型
-
镜像的 env 变量
-
镜像放开的端口
-
镜像内的用户