Kubernetes实战(七)-反向提取镜像Dockerfile

1 概述

反向生成 Dockerfile总结了下面几个场景 :

  • 场景一 : 在日常开发中,可以根据记录找到历史的docker镜像并进行操作,历史记录docker帮我们保存了,但是并没有一个好的方式去查看和保存构建者的Dockerfile文件内容。

  • 场景二 : 在做优化镜像时,尽管知道镜像是分层构建,但如果我们想要优化一个镜像的大小和安全性,那么就需要去逐层解析和处理,这个过程就需要知道构建过程也就是Dockerfile是什么样的。

  • 场景三 : 排查问题过程中,当我们去使用别人提供的镜像时,因为不了解它的构建步骤和流程,那么可能缺少了一个组件,少配置了一个环境变量,那么在排查问题的时候就需要查看Dockfile分析排查问题了。

2 反向生成Dockerfile内容的工具

2.1 Docker history && nerdctl history命令

2.1.1 docker history

docker history是docker自带的命令工具,一般情况下它可以满足我们查看构建过程的需求,但是有一些不足,它的整个展示的结果是逆序的和我们的Dockerfile是相反的, docker history 命令会还有一个局限性,镜像必须是本地存在的,所以镜像需要提前先 pull 下来。

2.1.1.1 用法
$ docker history [OPTIONS] IMAGE

$ docker history -h
Flag shorthand -h has been deprecated, please use --help

Usage: docker history [OPTIONS] IMAGE

Show the history of an image

Options:
      --format string   Pretty-print images using a Go template
  -H, --human           Print sizes and dates in human readable format (default true)
      --no-trunc        Don't truncate output
  -q, --quiet           Only show numeric IDs
2.1.1.2 示例
$ docker history nginx:latest
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
a6bd71f48f68        13 days ago         /bin/sh -c #(nop)  CMD ["nginx" "-g" "daemon...   0B
<missing>           13 days ago         /bin/sh -c #(nop)  STOPSIGNAL SIGQUIT           0B
<missing>           13 days ago         /bin/sh -c #(nop)  EXPOSE 80                    0B
<missing>           13 days ago         /bin/sh -c #(nop)  ENTRYPOINT ["/docker-entr...   0B
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:9e3b2b63db9f8fc7...   4.62kB
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:57846632accc8975...   3.02kB
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:3b1b9915b7dd898a...   298B
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:caec368f5a54f70a...   2.12kB
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:01e75c6dd0ce317d...   1.62kB
<missing>           13 days ago         /bin/sh -c set -x     && groupadd --system -...   112MB
<missing>           13 days ago         /bin/sh -c #(nop)  ENV PKG_RELEASE=1~bookworm   0B
<missing>           13 days ago         /bin/sh -c #(nop)  ENV NJS_VERSION=0.8.2        0B
<missing>           13 days ago         /bin/sh -c #(nop)  ENV NGINX_VERSION=1.25.3     0B
<missing>           13 days ago         /bin/sh -c #(nop)  LABEL maintainer=NGINX Do...   0B
<missing>           13 days ago         /bin/sh -c #(nop)  CMD ["bash"]                 0B
<missing>           13 days ago         /bin/sh -c #(nop) ADD file:d261a6f6921593f1e...   74.8MB

2.1.2 nerdctl history

nerdctl history 和 docker history 的区别在于 :

  • docker history 输出的第一列为 IMAGE

  • nerdctl history 输出的第一列为 SNAPSHOT

nerdctl history也是只可以满足我们查看构建过程的需求,并不是很全面;

用法 :

nerdctl history nginx:latest

如果只是想查看构建的过程,history 参数已经足够了,只是它没能生成一个完整的 Dockerfile;

2.2 dfimage工具

dfimage 只是一个镜像的名称,由 alpine 官方制作的,其实里面运行了一个工具,叫做 Whaler;

Whaler 是一个 Go 程序,旨在将 docker 镜像逆向工程得到创建它的 Dockerfile 中;

它当前执行以下操作

  • 1、从镜像生成 Dockerfile

  • 2、搜索添加的文件名以查找潜在的机密文件

  • 3、提取由 Docker 的 ADD/COPY 指令添加的文件

  • 4、它还显示其他信息,例如:打开的端口、运行的用户和环境变量

如果想要个人构建 whaler 镜像,whaler 的 github 项目里面也提供了 Dockerfile,只需要下载好 whaler 的源码包,稍稍修改一下就可以构建了

已经构建好的镜像,也可以直接拿来用

用法 :

$ alias dfimage="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro alpine/dfimage"
$ alias whaler="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro pegleg/whaler"

$ dfimage nginx:1.16
$ whaler nginx:1.16

Analyzing nginx:1.16
Docker Version: 18.09.7
GraphDriver: overlay2
Environment Variables
|PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
|NGINX_VERSION=1.16.1
|NJS_VERSION=0.3.8
|PKG_RELEASE=1~buster

Open Ports
|80

Image user
|User is root

Potential secrets:
Dockerfile:
CMD ["bash"]
LABEL maintainer=NGINX Docker Maintainers <docker-maint@nginx.com>
ENV NGINX_VERSION=1.16.1
ENV NJS_VERSION=0.3.8
ENV PKG_RELEASE=1~buster
RUN set -x  \
        && addgroup --system --gid 101 nginx  \
        && adduser --system --disabled-login --ingroup nginx --no-create-home --home /nonexistent --gecos "nginx user" --shell /bin/false --uid 101 nginx  \
        && apt-get update  \
        && apt-get install --no-install-recommends --no-install-suggests -y gnupg1 ca-certificates  \
        && NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62; found=''; for server in ha.pool.sks-keyservers.net hkp://keyserver.ubuntu.com:80 hkp://p80.pool.sks-keyservers.net:80 pgp.mit.edu ; do echo "Fetching GPG key $NGINX_GPGKEY from $server"; apt-key adv --keyserver "$server" --keyserver-options timeout=10 --recv-keys "$NGINX_GPGKEY"  \
        && found=yes  \
        && break; done; test -z "$found"  \
        && echo >&2 "error: failed to fetch GPG key $NGINX_GPGKEY"  \
        && exit 1; apt-get remove --purge --auto-remove -y gnupg1  \
        && rm -rf /var/lib/apt/lists/*  \
        && dpkgArch="$(dpkg --print-architecture)"  \
        && nginxPackages=" nginx=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-xslt=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-geoip=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-image-filter=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-njs=${NGINX_VERSION}.${NJS_VERSION}-${PKG_RELEASE} "  \
        && case "$dpkgArch" in amd64|i386) echo "deb https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \
        && apt-get update ;; *) echo "deb-src https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \
        && tempDir="$(mktemp -d)"  \
        && chmod 777 "$tempDir"  \
        && savedAptMark="$(apt-mark showmanual)"  \
        && apt-get update  \
        && apt-get build-dep -y $nginxPackages  \
        && ( cd "$tempDir"  \
        && DEB_BUILD_OPTIONS="nocheck parallel=$(nproc)" apt-get source --compile $nginxPackages )  \
        && apt-mark showmanual | xargs apt-mark auto > /dev/null  \
        && { [ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; }  \
        && ls -lAFh "$tempDir"  \
        && ( cd "$tempDir"  \
        && dpkg-scanpackages . > Packages )  \
        && grep '^Package: ' "$tempDir/Packages"  \
        && echo "deb [ trusted=yes ] file://$tempDir ./" > /etc/apt/sources.list.d/temp.list  \
        && apt-get -o Acquire::GzipIndexes=false update ;; esac  \
        && apt-get install --no-install-recommends --no-install-suggests -y $nginxPackages gettext-base  \
        && apt-get remove --purge --auto-remove -y ca-certificates  \
        && rm -rf /var/lib/apt/lists/* /etc/apt/sources.list.d/nginx.list  \
        && if [ -n "$tempDir" ]; then apt-get purge -y --auto-remove  \
        && rm -rf "$tempDir" /etc/apt/sources.list.d/temp.list; fi
RUN ln -sf /dev/stdout /var/log/nginx/access.log  \
        && ln -sf /dev/stderr /var/log/nginx/error.log
EXPOSE 80
STOPSIGNAL SIGTERM
CMD ["nginx" "-g" "daemon off;"]

输出的信息分别为:

  • 镜像名称和 tag

  • 编译镜像使用的 docker 版本

  • 使用的驱动类型

  • 镜像的 env 变量

  • 镜像放开的端口

  • 镜像内的用户

相关推荐
昌sit!13 分钟前
K8S node节点没有相应的pod镜像运行故障处理办法
云原生·容器·kubernetes
A ?Charis3 小时前
Gitlab-runner running on Kubernetes - hostAliases
容器·kubernetes·gitlab
wclass-zhengge3 小时前
Docker篇(Docker Compose)
运维·docker·容器
茶馆大橘4 小时前
微服务系列五:避免雪崩问题的限流、隔离、熔断措施
java·jmeter·spring cloud·微服务·云原生·架构·sentinel
北漂IT民工_程序员_ZG4 小时前
k8s集群安装(minikube)
云原生·容器·kubernetes
coding侠客4 小时前
揭秘!微服务架构下,Apollo 配置中心凭啥扮演关键角色?
微服务·云原生·架构
梦魇梦狸º7 小时前
腾讯轻量云服务器docker拉取不到镜像的问题:拉取超时
docker·容器·github
南猿北者9 小时前
docker镜像仓库常用命令
运维·docker·容器
2301_8061313610 小时前
Kubernetes的基本构建块和最小可调度单元pod-0
云原生·容器·kubernetes
SilentCodeY11 小时前
containerd配置私有仓库registry
容器·kubernetes·containerd·镜像·crictl