Kubernetes实战(七)-反向提取镜像Dockerfile

1 概述

反向生成 Dockerfile总结了下面几个场景 :

  • 场景一 : 在日常开发中,可以根据记录找到历史的docker镜像并进行操作,历史记录docker帮我们保存了,但是并没有一个好的方式去查看和保存构建者的Dockerfile文件内容。

  • 场景二 : 在做优化镜像时,尽管知道镜像是分层构建,但如果我们想要优化一个镜像的大小和安全性,那么就需要去逐层解析和处理,这个过程就需要知道构建过程也就是Dockerfile是什么样的。

  • 场景三 : 排查问题过程中,当我们去使用别人提供的镜像时,因为不了解它的构建步骤和流程,那么可能缺少了一个组件,少配置了一个环境变量,那么在排查问题的时候就需要查看Dockfile分析排查问题了。

2 反向生成Dockerfile内容的工具

2.1 Docker history && nerdctl history命令

2.1.1 docker history

docker history是docker自带的命令工具,一般情况下它可以满足我们查看构建过程的需求,但是有一些不足,它的整个展示的结果是逆序的和我们的Dockerfile是相反的, docker history 命令会还有一个局限性,镜像必须是本地存在的,所以镜像需要提前先 pull 下来。

2.1.1.1 用法
$ docker history [OPTIONS] IMAGE$ docker history -h
Flag shorthand -h has been deprecated, please use --helpUsage: docker history [OPTIONS] IMAGEShow the history of an imageOptions:--format string   Pretty-print images using a Go template-H, --human           Print sizes and dates in human readable format (default true)--no-trunc        Don't truncate output-q, --quiet           Only show numeric IDs
2.1.1.2 示例
$ docker history nginx:latest
IMAGE               CREATED             CREATED BY                                      SIZE                COMMENT
a6bd71f48f68        13 days ago         /bin/sh -c #(nop)  CMD ["nginx" "-g" "daemon…   0B
<missing>           13 days ago         /bin/sh -c #(nop)  STOPSIGNAL SIGQUIT           0B
<missing>           13 days ago         /bin/sh -c #(nop)  EXPOSE 80                    0B
<missing>           13 days ago         /bin/sh -c #(nop)  ENTRYPOINT ["/docker-entr…   0B
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:9e3b2b63db9f8fc7…   4.62kB
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:57846632accc8975…   3.02kB
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:3b1b9915b7dd898a…   298B
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:caec368f5a54f70a…   2.12kB
<missing>           13 days ago         /bin/sh -c #(nop) COPY file:01e75c6dd0ce317d…   1.62kB
<missing>           13 days ago         /bin/sh -c set -x     && groupadd --system -…   112MB
<missing>           13 days ago         /bin/sh -c #(nop)  ENV PKG_RELEASE=1~bookworm   0B
<missing>           13 days ago         /bin/sh -c #(nop)  ENV NJS_VERSION=0.8.2        0B
<missing>           13 days ago         /bin/sh -c #(nop)  ENV NGINX_VERSION=1.25.3     0B
<missing>           13 days ago         /bin/sh -c #(nop)  LABEL maintainer=NGINX Do…   0B
<missing>           13 days ago         /bin/sh -c #(nop)  CMD ["bash"]                 0B
<missing>           13 days ago         /bin/sh -c #(nop) ADD file:d261a6f6921593f1e…   74.8MB

2.1.2 nerdctl history

nerdctl history 和 docker history 的区别在于 :

  • docker history 输出的第一列为 IMAGE

  • nerdctl history 输出的第一列为 SNAPSHOT

nerdctl history也是只可以满足我们查看构建过程的需求,并不是很全面;

用法 :

nerdctl history nginx:latest

如果只是想查看构建的过程,history 参数已经足够了,只是它没能生成一个完整的 Dockerfile;

2.2 dfimage工具

dfimage 只是一个镜像的名称,由 alpine 官方制作的,其实里面运行了一个工具,叫做 Whaler;

Whaler 是一个 Go 程序,旨在将 docker 镜像逆向工程得到创建它的 Dockerfile 中;

它当前执行以下操作

  • 1、从镜像生成 Dockerfile

  • 2、搜索添加的文件名以查找潜在的机密文件

  • 3、提取由 Docker 的 ADD/COPY 指令添加的文件

  • 4、它还显示其他信息,例如:打开的端口、运行的用户和环境变量

如果想要个人构建 whaler 镜像,whaler 的 github 项目里面也提供了 Dockerfile,只需要下载好 whaler 的源码包,稍稍修改一下就可以构建了

已经构建好的镜像,也可以直接拿来用

  • pegleg/whaler : https://hub.docker.com/r/pegleg/whaler/tags

  • alpine/dfimage : https://hub.docker.com/r/alpine/dfimage/tags

用法 :

$ alias dfimage="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro alpine/dfimage"
$ alias whaler="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro pegleg/whaler"$ dfimage nginx:1.16
$ whaler nginx:1.16Analyzing nginx:1.16
Docker Version: 18.09.7
GraphDriver: overlay2
Environment Variables
|PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
|NGINX_VERSION=1.16.1
|NJS_VERSION=0.3.8
|PKG_RELEASE=1~busterOpen Ports
|80Image user
|User is rootPotential secrets:
Dockerfile:
CMD ["bash"]
LABEL maintainer=NGINX Docker Maintainers <docker-maint@nginx.com>
ENV NGINX_VERSION=1.16.1
ENV NJS_VERSION=0.3.8
ENV PKG_RELEASE=1~buster
RUN set -x  \&& addgroup --system --gid 101 nginx  \&& adduser --system --disabled-login --ingroup nginx --no-create-home --home /nonexistent --gecos "nginx user" --shell /bin/false --uid 101 nginx  \&& apt-get update  \&& apt-get install --no-install-recommends --no-install-suggests -y gnupg1 ca-certificates  \&& NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62; found=''; for server in ha.pool.sks-keyservers.net hkp://keyserver.ubuntu.com:80 hkp://p80.pool.sks-keyservers.net:80 pgp.mit.edu ; do echo "Fetching GPG key $NGINX_GPGKEY from $server"; apt-key adv --keyserver "$server" --keyserver-options timeout=10 --recv-keys "$NGINX_GPGKEY"  \&& found=yes  \&& break; done; test -z "$found"  \&& echo >&2 "error: failed to fetch GPG key $NGINX_GPGKEY"  \&& exit 1; apt-get remove --purge --auto-remove -y gnupg1  \&& rm -rf /var/lib/apt/lists/*  \&& dpkgArch="$(dpkg --print-architecture)"  \&& nginxPackages=" nginx=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-xslt=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-geoip=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-image-filter=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-njs=${NGINX_VERSION}.${NJS_VERSION}-${PKG_RELEASE} "  \&& case "$dpkgArch" in amd64|i386) echo "deb https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \&& apt-get update ;; *) echo "deb-src https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \&& tempDir="$(mktemp -d)"  \&& chmod 777 "$tempDir"  \&& savedAptMark="$(apt-mark showmanual)"  \&& apt-get update  \&& apt-get build-dep -y $nginxPackages  \&& ( cd "$tempDir"  \&& DEB_BUILD_OPTIONS="nocheck parallel=$(nproc)" apt-get source --compile $nginxPackages )  \&& apt-mark showmanual | xargs apt-mark auto > /dev/null  \&& { [ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; }  \&& ls -lAFh "$tempDir"  \&& ( cd "$tempDir"  \&& dpkg-scanpackages . > Packages )  \&& grep '^Package: ' "$tempDir/Packages"  \&& echo "deb [ trusted=yes ] file://$tempDir ./" > /etc/apt/sources.list.d/temp.list  \&& apt-get -o Acquire::GzipIndexes=false update ;; esac  \&& apt-get install --no-install-recommends --no-install-suggests -y $nginxPackages gettext-base  \&& apt-get remove --purge --auto-remove -y ca-certificates  \&& rm -rf /var/lib/apt/lists/* /etc/apt/sources.list.d/nginx.list  \&& if [ -n "$tempDir" ]; then apt-get purge -y --auto-remove  \&& rm -rf "$tempDir" /etc/apt/sources.list.d/temp.list; fi
RUN ln -sf /dev/stdout /var/log/nginx/access.log  \&& ln -sf /dev/stderr /var/log/nginx/error.log
EXPOSE 80
STOPSIGNAL SIGTERM
CMD ["nginx" "-g" "daemon off;"]

输出的信息分别为:

  • 镜像名称和 tag

  • 编译镜像使用的 docker 版本

  • 使用的驱动类型

  • 镜像的 env 变量

  • 镜像放开的端口

  • 镜像内的用户

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/196448.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

安美数字酒店宽带运营系统 SQL注入漏洞复现

0x01 产品简介 HiBOS酒店宽带运营系统隶属于安美世纪(北京)科技有限公司开发的一套酒店宽带管理系统。 0x02 漏洞概述 安美数字酒店宽带运营系统 online_status.php、language.php等接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库权限,进一步利用可…

快手视频如何去掉水印?三个简单好用视频去水印方法

快手视频如何去掉水印&#xff1f;尽管新兴的短视频平台如春笋般涌现&#xff0c;吸引了众多观众在业余时间浏览和分享视频&#xff0c;快手作为当下主流短视频之一&#xff0c;许多自媒体创作者也常常会下载一些热门的视频素材进行二次编辑。然而&#xff0c;他们都可能会面临…

【超详细教程】基于html+js实现轮播图

轮播图是现代网页设计中常见的元素之一&#xff0c;它能够展示多张图片或内容&#xff0c;在有限的空间内循环播放&#xff0c;提升网页的视觉效果和用户体验。下面将以一个简单的网页轮播图为例&#xff0c;说明如何基于HTML和JavaScript实现。 ​ 1、R5Ai智能助手 chatgpt国…

揭开 Java on Azure 开发工具未来6个月路线图的神秘面纱

作者&#xff1a;Jialuo Gan - Program Manager, Developer Division at Microsoft 排版&#xff1a;Alan Wang 大家好&#xff0c;欢迎来到 Java on Azure 工具十月份更新。在本次更新中&#xff0c;我们将分享未来几个月在 Java on Azure 开发工具方面的投资路线图。此外&…

JVM==>图解字节码指令

一&#xff0c;原始代码 我们来看一下执行这段代码的具体流程 那执行这段代码中 JVM就会把已经编译好的.class文件加载到内存中&#xff0c;交给CPU运行 1&#xff09;常量池载入运行时常量池 我们发现 10 并没有被存入常量池中&#xff0c; 这是因为short范围以内的数字不会…

如何有效进行测试执行进度计划

测试执行通常都是处于软件测试生命周期的关键路径上&#xff0c;它不仅在测试过程中占有重要的地位&#xff0c;并且也会花费大量的测试时间。针对测试执行而进行的计划&#xff0c;即测试执行进度计划&#xff0c;是进行测试执行进度控制的基础。在进行测试执行进度计划制订的…

Web APIs—介绍、获取DOM对象、操作元素内容、综合案例—年会抽奖案例、操作元素属性、间歇函数、综合案例—轮播图定时器版

版本说明 当前版本号[20231204]。 版本修改说明20231204初版 目录 文章目录 版本说明目录复习变量声明 Web APIs - 第1天笔记介绍概念DOM 树DOM 节点document 获取DOM对象案例— 控制台依次输出3个li的DOM对象 操作元素内容综合案例——年会抽奖案例操作元素属性常用属性修改…

【以太网物理层】DM9161A

&#x1f6a9; WRITE IN FRONT &#x1f6a9; &#x1f50e; 介绍&#xff1a;"謓泽"正在路上朝着"攻城狮"方向"前进四" &#x1f50e;&#x1f3c5; 荣誉&#xff1a;2021|2022年度博客之星物联网与嵌入式开发TOP5|TOP4、2021|2222年获评百大…

我有才知识付费平台搭建,一分钟搭建你的专属知识服务平台

一站式线上线下课程传播 丰富的内容展示形式&#xff0c;满足用户不同层次的学习需求&#xff0c;提高流量转化 支持音频、视频、电子书、图文、动态等多模式课程展示形式&#xff0c;同时还支持免费、VIP会员、独立付费等多种服务方式&#xff0c;满足不同渠道场景推广&…

前端入口教程_web01

web标准 记得看&#xff01; html&#xff1a;表示整个页面 head&#xff1a; titile&#xff1a; body&#xff1a; 常用标签 1.标题标签 2.段落标签 3.换行标签 4.文本格式化标签 5. 和 标签 6.图像标签 相对路径–用来插自己本地的图片 #### 绝对路径–用来插网上找的图…

【短文】用ssh连接服务器时,怎么指定账户名

2023年12月4日&#xff0c;周一晚上 要在 SSH 连接中指定账户名&#xff0c;可以使用以下命令格式&#xff1a; ssh usernameserver_ip 其中&#xff0c;username 是要连接的服务器上的账户名&#xff0c;server_ip是服务器的 IP 地址或主机名。 例如&#xff0c;如果要使用…

天池XGBoost,重写柱状图代码

天池XGBoost 地址 重写柱状图代码&#xff1a;我没考虑复杂度&#xff0c;只考虑直观理解 原文统计地点是否降雨来画柱状图实在是太麻烦了&#xff0c;我重写了一下。最麻烦的就是数据处理。我的思路是&#xff1a; 首先取下雨的全部数据data[data[RainTomorrow] Yes] 然后…

SQL Server 数据库,创建数据表(使用T-SQL语句)

2.3表的基本概念 表是包含数据库中所有数据的数据库对象。数据在表中的组织方式与在电子表格中相似&#xff0c;都是 按行和列的格式组织的&#xff0c;每行代表一条唯一的记录&#xff0c;每列代表记录中的一个字段.例如&#xff0c;在包含公 司员工信息的表中&#xff0c;每行…

Radix Tree用法

目录 一、radix tree定义二、radix tree操作参考资料 一、radix tree定义 对于长整型数据的映射&#xff0c;如何解决Hash冲突和Hash表大小的设计是一个很头疼的问题。 radix树就是针对这种稀疏的长整型数据查找&#xff0c;能快速且节省空间地完成映射。借助于Radix树&#x…

数组实现循环队列(增设队列大小size)

目录 一、前言 1.如何实现循环&#xff1f; 2.如何判断队列为空&#xff1f; 3.如何判断队列为满&#xff1f; 二、循环队列的结构定义 三、循环队列的创建及其初始化 四、入队 五、出队 六、取队头元素 七、取队尾元素 八、循环队列判空 九、循环队列判满 十、循环…

虾皮数据分析网站:了解Shopee市场趋势与优化运营的利器

在如今的电商时代&#xff0c;越来越多的人选择在虾皮购物&#xff08;Shopee&#xff09;平台上开设自己的店铺。然而&#xff0c;要在这个竞争激烈的市场中脱颖而出并取得成功&#xff0c;并不是一件容易的事情。为了更好地了解市场趋势、优化产品和店铺运营&#xff0c;了解…

Java面试题(每天10题)-------连载(40)

目录 Mysql篇 1、表中有大字段X&#xff08;例如&#xff1a;text类型&#xff09;&#xff0c;且字段X不会经常更新&#xff0c;将该字段拆成子表好处是什么&#xff1f; 2、Mysql中InnoDB引擎的行锁是通过加载什么上完成的&#xff1f; 3、Mysql中控制内存分配的全局参数…

功能需求与程序的关系

确定程序的输入和输出&#xff1a;根据功能需求&#xff0c;确定程序的输入数据和输出结果。这有助于我们明确程序的功能和实现方式。设计程序的算法和逻辑&#xff1a;根据功能需求&#xff0c;设计程序的算法和逻辑。这包括确定程序的数据结构、流程控制和算法实现等方面。划…

使用GDBdeug调试QNX程序

使用GDBdeug调试QNX程序 远程调试 启动GDB&#xff0c;比如我的host是x86_64平台&#xff0c;因此&#xff1a; ./qnx/qos223/host/linux/x86_64/usr/bin/x86_64-pc-nto-qnx7.1.0-gdb 连接远程设备&#xff0c;比如雷达&#xff1a; target qnx 172.168.1.10:8000 设置远程工…

​ 华大基因发布《2023年全球地中海贫血认知现状报告》

在地中海沿岸地区、非洲、中东、东南亚和中国南部&#xff0c;一种名为地中海贫血&#xff08;以下简称“地贫”&#xff09;的遗传性血红蛋白疾病十分高发&#xff0c;已成为严重危害公共健康和社会稳定的重大问题。近日&#xff0c;华大基因发布《2023年全球地中海贫血认知现…