Kubernetes实战(七)-反向提取镜像Dockerfile

1 概述

反向生成 Dockerfile总结了下面几个场景 :

• 场景一 : 在日常开发中,可以根据记录找到历史的docker镜像并进行操作，历史记录docker帮我们保存了，但是并没有一个好的方式去查看和保存构建者的Dockerfile文件内容。

• 场景二 : 在做优化镜像时，尽管知道镜像是分层构建，但如果我们想要优化一个镜像的大小和安全性，那么就需要去逐层解析和处理，这个过程就需要知道构建过程也就是Dockerfile是什么样的。

• 场景三 : 排查问题过程中,当我们去使用别人提供的镜像时，因为不了解它的构建步骤和流程，那么可能缺少了一个组件，少配置了一个环境变量，那么在排查问题的时候就需要查看Dockfile分析排查问题了。

2 反向生成Dockerfile内容的工具

2.1 Docker history && nerdctl history命令

2.1.1 docker history

docker history是docker自带的命令工具，一般情况下它可以满足我们查看构建过程的需求，但是有一些不足，它的整个展示的结果是逆序的和我们的Dockerfile是相反的, docker history 命令会还有一个局限性，镜像必须是本地存在的，所以镜像需要提前先 pull 下来。

2.1.1.1 用法

$ docker history [OPTIONS] IMAGE

$ docker history -h
Flag shorthand -h has been deprecated, please use --help

Usage: docker history [OPTIONS] IMAGE

Show the history of an image

Options:
      --format string   Pretty-print images using a Go template
  -H, --human           Print sizes and dates in human readable format (default true)
      --no-trunc        Don't truncate output
  -q, --quiet           Only show numeric IDs

2.1.1.2 示例

$ docker history nginx:latest
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
a6bd71f48f68        13 days ago         /bin/sh -c #(nop)  CMD ["nginx" "-g" "daemon...   0B
<missing>           13 days ago         /bin/sh -c #(nop)  STOPSIGNAL SIGQUIT           0B
<missing>           13 days ago         /bin/sh -c #(nop)  EXPOSE 80                    0B
<missing>           13 days ago         /bin/sh -c #(nop)  ENTRYPOINT ["/docker-entr...   0B
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:9e3b2b63db9f8fc7...   4.62kB
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:57846632accc8975...   3.02kB
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:3b1b9915b7dd898a...   298B
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:caec368f5a54f70a...   2.12kB
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:01e75c6dd0ce317d...   1.62kB
<missing>           13 days ago         /bin/sh -c set -x     && groupadd --system -...   112MB
<missing>           13 days ago         /bin/sh -c #(nop)  ENV PKG_RELEASE=1~bookworm   0B
<missing>           13 days ago         /bin/sh -c #(nop)  ENV NJS_VERSION=0.8.2        0B
<missing>           13 days ago         /bin/sh -c #(nop)  ENV NGINX_VERSION=1.25.3     0B
<missing>           13 days ago         /bin/sh -c #(nop)  LABEL maintainer=NGINX Do...   0B
<missing>           13 days ago         /bin/sh -c #(nop)  CMD ["bash"]                 0B
<missing>           13 days ago         /bin/sh -c #(nop) ADD file:d261a6f6921593f1e...   74.8MB

2.1.2 nerdctl history

nerdctl history 和 docker history 的区别在于 :

• docker history 输出的第一列为 IMAGE

• nerdctl history 输出的第一列为 SNAPSHOT

nerdctl history也是只可以满足我们查看构建过程的需求，并不是很全面；

用法 :

nerdctl history nginx:latest

如果只是想查看构建的过程，history 参数已经足够了，只是它没能生成一个完整的 Dockerfile；

2.2 dfimage工具

dfimage 只是一个镜像的名称，由 alpine 官方制作的，其实里面运行了一个工具，叫做 Whaler；

Whaler 是一个 Go 程序，旨在将 docker 镜像逆向工程得到创建它的 Dockerfile 中；

它当前执行以下操作

• 1、从镜像生成 Dockerfile

• 2、搜索添加的文件名以查找潜在的机密文件

• 3、提取由 Docker 的 ADD/COPY 指令添加的文件

• 4、它还显示其他信息，例如：打开的端口、运行的用户和环境变量

如果想要个人构建 whaler 镜像，whaler 的 github 项目里面也提供了 Dockerfile，只需要下载好 whaler 的源码包，稍稍修改一下就可以构建了

已经构建好的镜像，也可以直接拿来用

• pegleg/whaler : https://hub.docker.com/r/pegleg/whaler/tags

• alpine/dfimage : https://hub.docker.com/r/alpine/dfimage/tags

用法 :

$ alias dfimage="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro alpine/dfimage"
$ alias whaler="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro pegleg/whaler"

$ dfimage nginx:1.16
$ whaler nginx:1.16

Analyzing nginx:1.16
Docker Version: 18.09.7
GraphDriver: overlay2
Environment Variables
|PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
|NGINX_VERSION=1.16.1
|NJS_VERSION=0.3.8
|PKG_RELEASE=1~buster

Open Ports
|80

Image user
|User is root

Potential secrets:
Dockerfile:
CMD ["bash"]
LABEL maintainer=NGINX Docker Maintainers <docker-maint@nginx.com>
ENV NGINX_VERSION=1.16.1
ENV NJS_VERSION=0.3.8
ENV PKG_RELEASE=1~buster
RUN set -x  \
        && addgroup --system --gid 101 nginx  \
        && adduser --system --disabled-login --ingroup nginx --no-create-home --home /nonexistent --gecos "nginx user" --shell /bin/false --uid 101 nginx  \
        && apt-get update  \
        && apt-get install --no-install-recommends --no-install-suggests -y gnupg1 ca-certificates  \
        && NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62; found=''; for server in ha.pool.sks-keyservers.net hkp://keyserver.ubuntu.com:80 hkp://p80.pool.sks-keyservers.net:80 pgp.mit.edu ; do echo "Fetching GPG key $NGINX_GPGKEY from $server"; apt-key adv --keyserver "$server" --keyserver-options timeout=10 --recv-keys "$NGINX_GPGKEY"  \
        && found=yes  \
        && break; done; test -z "$found"  \
        && echo >&2 "error: failed to fetch GPG key $NGINX_GPGKEY"  \
        && exit 1; apt-get remove --purge --auto-remove -y gnupg1  \
        && rm -rf /var/lib/apt/lists/*  \
        && dpkgArch="$(dpkg --print-architecture)"  \
        && nginxPackages=" nginx=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-xslt=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-geoip=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-image-filter=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-njs=${NGINX_VERSION}.${NJS_VERSION}-${PKG_RELEASE} "  \
        && case "$dpkgArch" in amd64|i386) echo "deb https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \
        && apt-get update ;; *) echo "deb-src https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \
        && tempDir="$(mktemp -d)"  \
        && chmod 777 "$tempDir"  \
        && savedAptMark="$(apt-mark showmanual)"  \
        && apt-get update  \
        && apt-get build-dep -y $nginxPackages  \
        && ( cd "$tempDir"  \
        && DEB_BUILD_OPTIONS="nocheck parallel=$(nproc)" apt-get source --compile $nginxPackages )  \
        && apt-mark showmanual | xargs apt-mark auto > /dev/null  \
        && { [ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; }  \
        && ls -lAFh "$tempDir"  \
        && ( cd "$tempDir"  \
        && dpkg-scanpackages . > Packages )  \
        && grep '^Package: ' "$tempDir/Packages"  \
        && echo "deb [ trusted=yes ] file://$tempDir ./" > /etc/apt/sources.list.d/temp.list  \
        && apt-get -o Acquire::GzipIndexes=false update ;; esac  \
        && apt-get install --no-install-recommends --no-install-suggests -y $nginxPackages gettext-base  \
        && apt-get remove --purge --auto-remove -y ca-certificates  \
        && rm -rf /var/lib/apt/lists/* /etc/apt/sources.list.d/nginx.list  \
        && if [ -n "$tempDir" ]; then apt-get purge -y --auto-remove  \
        && rm -rf "$tempDir" /etc/apt/sources.list.d/temp.list; fi
RUN ln -sf /dev/stdout /var/log/nginx/access.log  \
        && ln -sf /dev/stderr /var/log/nginx/error.log
EXPOSE 80
STOPSIGNAL SIGTERM
CMD ["nginx" "-g" "daemon off;"]

输出的信息分别为：

• 镜像名称和 tag

• 编译镜像使用的 docker 版本

• 使用的驱动类型

• 镜像的 env 变量

• 镜像放开的端口

• 镜像内的用户