首页 > 其他分享 >如何提取指定镜像的 Dockerfile

如何提取指定镜像的 Dockerfile

时间:2023-02-02 18:23:21浏览次数:66  
标签:提取 NGINX -- apt nginx && 镜像 Dockerfile

目录

  • 前期没有归档 Dockerfile
  • 亦或者 Dockerfile 维护不积极,有版本差异?
  • 亦或者别人给的镜像,我不知道是否安全?

so,如何才能从镜像中获取 Dockerfile

  • 当然,这个其实只是一个学习的文章;很多时候,我们从 dockerhub 上面获取镜像的时候,能看到不同 tag 的镜像的构建过程,可是当别人给了一个私有或者他自己构建的镜像,我们并不知道他是否安全,又不好意思直接找别人要 Dockerfile,那么,这篇文章或许可以给你灵光一闪
  • 翻阅了一些资料,目前也只找到了这两种方式

Docker history

docker history 命令会有一个局限性,镜像必须是本地存在的,所以镜像需要提前先 pull 下来,下面操作中出现的镜像本地没有的话,可以换成自己本地已有镜像,或者手动 pull 一下

docker

容器运行时 使用的是 docker 时,可以使用 docker history 命令来获取镜像被创建时的过程

如果镜像本地不存在会报错:Error response from daemon: No such image: xxx

docker history nginx:1.16

但是输出的内容并不完整, CREATED BY 有很多内容都被挡住了

IMAGE          CREATED       CREATED BY                                      SIZE      COMMENT
dfcfd8e9a5d3   2 years ago   /bin/sh -c #(nop)  CMD ["nginx" "-g" "daemon…   0B
<missing>      2 years ago   /bin/sh -c #(nop)  STOPSIGNAL SIGTERM           0B
<missing>      2 years ago   /bin/sh -c #(nop)  EXPOSE 80                    0B
<missing>      2 years ago   /bin/sh -c ln -sf /dev/stdout /var/log/nginx…   22B
<missing>      2 years ago   /bin/sh -c set -x     && addgroup --system -…   57.5MB
<missing>      2 years ago   /bin/sh -c #(nop)  ENV PKG_RELEASE=1~buster     0B
<missing>      2 years ago   /bin/sh -c #(nop)  ENV NJS_VERSION=0.3.8        0B
<missing>      2 years ago   /bin/sh -c #(nop)  ENV NGINX_VERSION=1.16.1     0B
<missing>      2 years ago   /bin/sh -c #(nop)  LABEL maintainer=NGINX Do…   0B
<missing>      2 years ago   /bin/sh -c #(nop)  CMD ["bash"]                 0B
<missing>      2 years ago   /bin/sh -c #(nop) ADD file:9b8be2b52ee0fa31d…   69.2MB

containerd

容器运行时 使用的是 containerd 时,自带的 ctr 命令没有 history 参数可以使用,这个时候,可以安装一个 nerdctl 命令来实现 docker 命令的习惯

关于 nerdctl 的安装,可以看我另一篇博客:containerd 镜像构建工具 -- nerdctl 和 buildkit

docker history 命令一样,镜像是需要本地存在的,不然会报错:FATA[0000] 1 errors: [no such object: xxx]

nerdctl history alpine/dfimage:1.1
  • docker history 的区别在于
    • docker history 输出的第一列为 IMAGE
    • nerdctl history 输出的第一列为 SNAPSHOT
  • 而其他的输出都是一样的,包括 CREATED BY 也是不完整输出
SNAPSHOT                                                                   CREATED        CREATED BY                                       SIZE        COMMENT
<missing>                                                                  2 years ago    /bin/sh -c #(nop)  ENTRYPOINT ["./Whaler"]       0.0 B
sha256:83adc3c3d0f7a262d81eea224265d62381454ea94a2af480e77a57ceb2f3abf2    2 years ago    /bin/sh -c #(nop) COPY file:9cdb17dd7bf71ba8…    14.0 MiB
<missing>                                                                  2 years ago    /bin/sh -c #(nop) WORKDIR /root/                 0.0 B
<missing>                                                                  2 years ago    /bin/sh -c #(nop)  CMD ["/bin/sh"]               0.0 B
sha256:50644c29ef5a27c9a40c393a73ece2479de78325cae7d762ef3cdc19bf42dd0a    2 years ago    /bin/sh -c #(nop) ADD file:c92c248239f8c7b9b…    5.9 MiB

总结

如果只是单纯的查看构建的过程,history 参数已经足够了,只是他没能生成一个 Dockerfile,如果想要修改再构建,就会多一道工时,下面看看 dfimage

dfimage

  • dfimage 只是一个镜像的名称,由 alpine 官方制作的,其实里面运行了一个工具,叫做 Whaler,这个工具的 github 地址

  • Whaler 是一个 Go 程序,旨在将 docker 镜像逆向工程到创建它的 Dockerfile

  • 它当前执行以下操作

    • 镜像生成 Dockerfile
    • 搜索添加的文件名以查找潜在的机密文件
    • 提取由 DockerADD/COPY 指令添加的文件
    • 它还显示其他信息,例如:打开的端口运行的用户环境变量
  • 如果想要自己构建 whaler 镜像,whalergithub 项目里面也提供了 Dockerfile,只需要下载好 whaler 的源码包,稍稍修改一下就可以构建了
  • 已经构建好的镜像,也可以直接拿来用
  • 想自己构建一波的,可以看下面的内容,想快速使用的,可以直接跳到下面的 使用 dfimage 或 whaler

构建 whaler 镜像

wget https://github.com/P3GLEG/Whaler/archive/refs/heads/master.zip
unzip master.zip
vim Dockerfile
FROM golang:1.14.4 AS builder
# 把 golang 的代理换成国内的,不然会 timeoout
ENV GOPROXY=https://goproxy.cn
# 官方这里的 ADD 本地路径直接写了 ./ 所以会有问题,
## 只需要改成解压出来的目录名称就可以了,后面的都可以不做修改
ADD ./Whaler-master /root/whaler_build
WORKDIR /root/whaler_build
RUN export CGO_ENABLED=0 && go build .
RUN cp whaler /root/whaler

FROM alpine:3.12.0
WORKDIR /root/
COPY --from=builder /root/whaler .
ENTRYPOINT ["./whaler"]

构建镜像,这里我用的是 containerd ,如果大家用的是 docker,只需要将 nerdctl 换成 docker 就可以了

nerdctl build -t whaler:latest .

使用 dfimage 或 whaler

  • 无论是 dfimage 还是 whaler ,这个全凭各自的喜好了,使用的方法其实是一致的,都是通过 alias 生成别名来指定使用的镜像,然后带上需要导出 Dockerfile 的镜像名称和 tag 就可以了
  • 如果自己构建的了 whaler 工具的镜像,需要把下面的 alias 命令里面指定的镜像名称和 tag 改成自己构建的镜像名称和 tag

docker 的方式

alias dfimage="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro alpine/dfimage"
alias whaler="docker run -t --rm -v /var/run/docker.sock:/var/run/docker.sock:ro pegleg/whaler"

当我本地有一个 nginx:1.16 镜像,无论是 dfimage 还是 whaler ,结果是一致的,因为镜像内都是使用的 whaler 这个程序

dfimage nginx:1.16
whaler nginx:1.16
  • 输出的信息分别为:
    • 镜像名称和 tag
    • 编译镜像使用的 docker 版本
    • 使用的驱动类型
    • 镜像的 env 变量
    • 镜像放开的端口
    • 镜像内的用户
Analyzing nginx:1.16
Docker Version: 18.09.7
GraphDriver: overlay2
Environment Variables
|PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
|NGINX_VERSION=1.16.1
|NJS_VERSION=0.3.8
|PKG_RELEASE=1~buster

Open Ports
|80

Image user
|User is root

Potential secrets:
Dockerfile:
CMD ["bash"]
LABEL maintainer=NGINX Docker Maintainers <docker-maint@nginx.com>
ENV NGINX_VERSION=1.16.1
ENV NJS_VERSION=0.3.8
ENV PKG_RELEASE=1~buster
RUN set -x  \
        && addgroup --system --gid 101 nginx  \
        && adduser --system --disabled-login --ingroup nginx --no-create-home --home /nonexistent --gecos "nginx user" --shell /bin/false --uid 101 nginx  \
        && apt-get update  \
        && apt-get install --no-install-recommends --no-install-suggests -y gnupg1 ca-certificates  \
        && NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62; found=''; for server in ha.pool.sks-keyservers.net hkp://keyserver.ubuntu.com:80 hkp://p80.pool.sks-keyservers.net:80 pgp.mit.edu ; do echo "Fetching GPG key $NGINX_GPGKEY from $server"; apt-key adv --keyserver "$server" --keyserver-options timeout=10 --recv-keys "$NGINX_GPGKEY"  \
        && found=yes  \
        && break; done; test -z "$found"  \
        && echo >&2 "error: failed to fetch GPG key $NGINX_GPGKEY"  \
        && exit 1; apt-get remove --purge --auto-remove -y gnupg1  \
        && rm -rf /var/lib/apt/lists/*  \
        && dpkgArch="$(dpkg --print-architecture)"  \
        && nginxPackages=" nginx=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-xslt=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-geoip=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-image-filter=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-njs=${NGINX_VERSION}.${NJS_VERSION}-${PKG_RELEASE} "  \
        && case "$dpkgArch" in amd64|i386) echo "deb https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \
        && apt-get update ;; *) echo "deb-src https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \
        && tempDir="$(mktemp -d)"  \
        && chmod 777 "$tempDir"  \
        && savedAptMark="$(apt-mark showmanual)"  \
        && apt-get update  \
        && apt-get build-dep -y $nginxPackages  \
        && ( cd "$tempDir"  \
        && DEB_BUILD_OPTIONS="nocheck parallel=$(nproc)" apt-get source --compile $nginxPackages )  \
        && apt-mark showmanual | xargs apt-mark auto > /dev/null  \
        && { [ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; }  \
        && ls -lAFh "$tempDir"  \
        && ( cd "$tempDir"  \
        && dpkg-scanpackages . > Packages )  \
        && grep '^Package: ' "$tempDir/Packages"  \
        && echo "deb [ trusted=yes ] file://$tempDir ./" > /etc/apt/sources.list.d/temp.list  \
        && apt-get -o Acquire::GzipIndexes=false update ;; esac  \
        && apt-get install --no-install-recommends --no-install-suggests -y $nginxPackages gettext-base  \
        && apt-get remove --purge --auto-remove -y ca-certificates  \
        && rm -rf /var/lib/apt/lists/* /etc/apt/sources.list.d/nginx.list  \
        && if [ -n "$tempDir" ]; then apt-get purge -y --auto-remove  \
        && rm -rf "$tempDir" /etc/apt/sources.list.d/temp.list; fi
RUN ln -sf /dev/stdout /var/log/nginx/access.log  \
        && ln -sf /dev/stderr /var/log/nginx/error.log
EXPOSE 80
STOPSIGNAL SIGTERM
CMD ["nginx" "-g" "daemon off;"]

Dockerfile:

CMD ["bash"]
LABEL maintainer=NGINX Docker Maintainers <docker-maint@nginx.com>
ENV NGINX_VERSION=1.16.1
ENV NJS_VERSION=0.3.8
ENV PKG_RELEASE=1~buster
RUN set -x  \
        && addgroup --system --gid 101 nginx  \
        && adduser --system --disabled-login --ingroup nginx --no-create-home --home /nonexistent --gecos "nginx user" --shell /bin/false --uid 101 nginx  \
        && apt-get update  \
        && apt-get install --no-install-recommends --no-install-suggests -y gnupg1 ca-certificates  \
        && NGINX_GPGKEY=573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62; found=''; for server in ha.pool.sks-keyservers.net hkp://keyserver.ubuntu.com:80 hkp://p80.pool.sks-keyservers.net:80 pgp.mit.edu ; do echo "Fetching GPG key $NGINX_GPGKEY from $server"; apt-key adv --keyserver "$server" --keyserver-options timeout=10 --recv-keys "$NGINX_GPGKEY"  \
        && found=yes  \
        && break; done; test -z "$found"  \
        && echo >&2 "error: failed to fetch GPG key $NGINX_GPGKEY"  \
        && exit 1; apt-get remove --purge --auto-remove -y gnupg1  \
        && rm -rf /var/lib/apt/lists/*  \
        && dpkgArch="$(dpkg --print-architecture)"  \
        && nginxPackages=" nginx=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-xslt=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-geoip=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-image-filter=${NGINX_VERSION}-${PKG_RELEASE} nginx-module-njs=${NGINX_VERSION}.${NJS_VERSION}-${PKG_RELEASE} "  \
        && case "$dpkgArch" in amd64|i386) echo "deb https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \
        && apt-get update ;; *) echo "deb-src https://nginx.org/packages/debian/ buster nginx" >> /etc/apt/sources.list.d/nginx.list  \
        && tempDir="$(mktemp -d)"  \
        && chmod 777 "$tempDir"  \
        && savedAptMark="$(apt-mark showmanual)"  \
        && apt-get update  \
        && apt-get build-dep -y $nginxPackages  \
        && ( cd "$tempDir"  \
        && DEB_BUILD_OPTIONS="nocheck parallel=$(nproc)" apt-get source --compile $nginxPackages )  \
        && apt-mark showmanual | xargs apt-mark auto > /dev/null  \
        && { [ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; }  \
        && ls -lAFh "$tempDir"  \
        && ( cd "$tempDir"  \
        && dpkg-scanpackages . > Packages )  \
        && grep '^Package: ' "$tempDir/Packages"  \
        && echo "deb [ trusted=yes ] file://$tempDir ./" > /etc/apt/sources.list.d/temp.list  \
        && apt-get -o Acquire::GzipIndexes=false update ;; esac  \
        && apt-get install --no-install-recommends --no-install-suggests -y $nginxPackages gettext-base  \
        && apt-get remove --purge --auto-remove -y ca-certificates  \
        && rm -rf /var/lib/apt/lists/* /etc/apt/sources.list.d/nginx.list  \
        && if [ -n "$tempDir" ]; then apt-get purge -y --auto-remove  \
        && rm -rf "$tempDir" /etc/apt/sources.list.d/temp.list; fi
RUN ln -sf /dev/stdout /var/log/nginx/access.log  \
        && ln -sf /dev/stderr /var/log/nginx/error.log
EXPOSE 80
STOPSIGNAL SIGTERM
CMD ["nginx" "-g" "daemon off;"]

containerd 的方式

  • 目前这个工具还不支持 containerd ,目前只支持 docker
  • 直接编译后,使用 二进制 文件运行的时候,会有如下的报错:
    • Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?

标签:提取,NGINX,--,apt,nginx,&&,镜像,Dockerfile
From: https://www.cnblogs.com/chen2ha/p/17086951.html

相关文章

  • containerd 镜像构建工具 -- nerdctl 和 buildkit
    目录自我介绍nerdctl精简版使用方法配置nerdctl参数自动补齐nerdctl命令验证nerdctl完整版使用方法nerdcrtl构建镜像自我介绍kubernetes在1.24版本之后就要抛......
  • [mysql]定制封装MySQL的docker镜像
    前言基于MySQL的原版镜像做一些个性化配置修改,封装/etc/my.cnf文件到镜像中,并且支持通过环境变量修改innodb_buffer_pool_size、server_id以及自动配置innodb_read_io_thr......
  • maven settings.xml 配置 镜像仓库
    <?xmlversion="1.0"encoding="UTF-8"?><settingsxmlns="http://maven.apache.org/SETTINGS/1.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:sch......
  • 【Docker容器使用:镜像,容器,映射】
    获取镜像使用dockerpull命令来载入镜像启动容器参数说明:-i:交互式操作。-t:终端。ubuntu:ubuntu镜像。/bin/bash:放在镜像名后的是命令,这里我们希望有个交互式Shell,因......
  • 【Docker镜像使用:场景,命令,架构】
    一.简介Docker是一个开源的应用容器引擎,基于 ​​Go语言​​ 并遵从Apache2.0协议开源。Docker可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,......
  • centos7制作自启动镜像
    一个合格的镜像是会可以不用他人操心自己安装的为了工作方便,自备一个centos7的自启动iso1.挂载iso,并拷贝文件mount/dev/sr0/mntmkdir/mkosmount/dev/sdb/mkos......
  • 地理信息技术GIS学习(7):水文分析-河网提取及流域划分
    arcmap的水文分析可以建立地表水的运动模型,分析水流从哪里产生、流向何处,再现水流的流动过程。该工具可以实现水流方向提取、水流长度、河流网络生成、流域分隔等功能。......
  • Hive提取小时内,分组排名前3的sql
    表的结构是这样的,时间的范围我是提取了几个小时内的数据createtable`alibaba.user_bea`(user_idbigint,item_idbigint,cate_idbigint,timesstring......
  • docker镜像压缩导入导出
    docker镜像导出导入导出导入可以用save-load,或者export-import,这里以save-load为例将容器打成镜像dockercommit-a'用户名'-c'描述'mynginx:v0.0.1导出:docker......
  • 基于KubeSphere在K8S发布微服务ruoyi----9.可视化Pipeline:3构建镜像
      先在nacos创建dev命令空间    这3个配置文件有mysql连接信息,需修改IP,端口,密码     上一阶段编译好了之后,先检查一下某个微服务下有没生成targ......