Alpine?Distroless?Busybox?到底谁才是容器镜像的瑞士军刀?

最新推荐文章于 2023-07-13 16:21:28 发布
最新推荐文章于 2023-07-13 16:21:28 发布
阅读量366 收藏 2
点赞数 2
文章标签: docker powerdesigner aof gui tkinter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alex_yangchuansheng/article/details/120124353
版权


大多数情况下,我们构建容器镜像时选择的基础镜像无外乎是 busyboxalpinegoogle/distroless 这几种,这几个基础镜像在云原生的世界很吃香,被广泛应用于各个应用的容器化。

那么问题来了,为什么这几个基础镜像如此受欢迎呢?

我们先来看下这几个基础镜像的大小:

????  → podman image ls 
REPOSITORY                 TAG         IMAGE ID      CREATED       SIZE
docker.io/library/alpine   latest      14119a10abf4  6 days ago    5.87 MB
docker.io/library/busybox  latest      42b97d3c2ae9  13 days ago   1.46 MB
gcr.io/distroless/static   latest      e0851a4aa136  51 years ago  3.06 MB

可以看到这些镜像的体积都非常小,几乎可以忽略不计。

Busybox

先启动一个 Busybox 容器进去一探究竟:

这个镜像的大小只有 1.24MB,缺容纳了这么多 GNU 命令,麻雀虽小五脏俱全啊,这到底是怎么做到的?

事实上这一切都要归功于 Multi-Call binary。什么是 Multi-Call binary 呢?

顾名思义,Multi-Call binary 就是多重调用二进制文件,是一个用C语言编写的程序,它允许多次调用来执行二进制文件。它包含了很多函数,每个执行独特动作的函数都可以通过一个名字来调用,这个名字同时也是 Multi-Call binary 的一个符号链接。Multi-Call binary 最好的应用范例便是 Busybox。

Busybox 里面的函数可以通过两种方式来调用:

  • busybox ls

  • ls

例如:

Busybox 容器

很明显,这些不是我们所熟知的 GNU 二进制文件,因为所有的二进制文件都具有相同的属性,比如大小、日期等。这些都不是独立的二进制文件,而是 Multi-Call binary 每个调用函数的别名。这个 Multi-Call binary 就叫 Busybox

遗憾的是,这些 Busybox 命令并不完全等同于 GNU 命令,某些命令的某些参数是无法执行的,相当于阉割版。

Alpine

看完了 Busybox,我们再来看看 Alpine 是怎么做的。

巧了,Alpine 的二进制文件竟然是指向 busybox 二进制文件的,这就很明显了,Alpine 镜像的底层使用了 busybox 二进制文件。除此之外,Alpine 还包含了 apk 包管理器和一些额外的可执行文件,所以 Alpine 镜像的体积才会比 Busybox 大。

Distroless

Distroless 就不用说了,它来自 Google[1]。该镜像几乎就是空的,只包含应用程序及其运行时所需的依赖,不包含软件包管理器、shell 和其他 GNU 二进制文件,当然还包含一些时区配置和部分 ca-certificates。

可以看到这个镜像中既没有 shell 也没有 bash,为了一探究竟,可以先把镜像保存为 tar 包,然后把 rootfs 解压出来:

????  → mkdir image
????  → tar xvf distroless.tar.gz -C image/
16679402dc206c982b5552ab8de7d898547100e5468be29d4f67d393c0eadfdb.tar
e0851a4aa13657fc8dcd01e0e5e08cb817123ccb82e2c604b34f9ec9c1755e3f.json
2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c/layer.tar
2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c/VERSION
2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c/json
manifest.json
repositories

????  → cd image
????  → ls -lh
total 3.0M
-r--r--r--. 1 root root 3.0M Jan  1  1970 16679402dc206c982b5552ab8de7d898547100e5468be29d4f67d393c0eadfdb.tar
drwxr-xr-x. 2 root root   50 Sep  3 17:42 2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c
-r--r--r--. 1 root root  462 Jan  1  1970 e0851a4aa13657fc8dcd01e0e5e08cb817123ccb82e2c604b34f9ec9c1755e3f.json
-r--r--r--. 1 root root  213 Jan  1  1970 manifest.json
-r--r--r--. 1 root root  106 Jan  1  1970 repositories

????  → mkdir rootfs
????  → tar xf 16679402dc206c982b5552ab8de7d898547100e5468be29d4f67d393c0eadfdb.tar -C rootfs

????  → tree rootfs
rootfs
├── bin
├── boot
├── dev
├── etc
│   ├── debian_version
│   ├── default
│   ├── dpkg
│   │   └── origins
│   │       └── debian
│   ├── group
│   ├── host.conf
│   ├── issue
│   ├── issue.net
│   ├── nsswitch.conf
│   ├── os-release
│   ├── passwd
│   ├── profile.d
│   ├── protocols
│   ├── rpc
│   ├── services
│   ├── skel
│   ├── ssl
│   │   └── certs
│   │       └── ca-certificates.crt
│   └── update-motd.d
│       └── 10-uname
├── home
│   └── nonroot
├── lib
├── proc
├── root
├── run
├── sbin
├── sys
├── tmp
├── usr
│   ├── bin
│   ├── games
│   ├── include
│   ├── lib
│   │   └── os-release
│   ├── sbin
│   │   └── tzconfig
│   ├── share
│   │   ├── base-files
│   │   │   ├── dot.bashrc
│   │   │   ├── dot.profile
│   │   │   ├── dot.profile.md5sums
│   │   │   ├── info.dir
│   │   │   ├── motd
│   │   │   ├── profile
│   │   │   ├── profile.md5sums
│   │   │   └── staff-group-for-usr-local
...
...

该镜像只有一层,大小为 3MB,也没有二进制文件,只有一些证书文件和目录。如果向下滚动,还能看到许可证和时区配置。看来 Distroless 采取的是非常极端的手段,直接把不需要的二进制文件全部抛弃了,只留下一个空镜像和部分必需品。

总结

由此看来,这几个基础镜像如此受欢迎的主要原因就是体积小。镜像越小,漏洞就越少,可攻击面也会大幅减少,而且很容易维护。所以大家构建镜像时尽量选择这些镜像作为基础镜像。

引用链接

[1]

Google: https://github.com/GoogleContainerTools/distroless


你可能还喜欢

点击下方图片即可阅读

继 K3s 之后,又来个 K0s...

云原生是一种信仰 ????

关注公众号

后台回复◉k8s◉获取史上最方便快捷的 Kubernetes 高可用部署工具,只需一条命令,连 ssh 都不需要!

点击 "阅读原文" 获取更好的阅读体验!

发现朋友圈变“安静”了吗?

米开朗基杨
关注
Docker 学习总结(76)—— 所有项目的容器化部署的基础镜像都应该选择 alpine 吗?
科技D人生
08-19 488
首先,要了解这个问题的来源,为什么纠结这种事呢。当然原因在于,。就算你随便把一个 Java 服务构建成镜像镜像 Image 大小至少都在 100-200M 左右。这个大小当然还好,但我们做项目基本都是。而且基本上 Docker 的相关教程,一定会讲如何构建空间更小的镜像。使用 Docker 的你,一定也有特别注意到这一点吧。尽量使用适当的方式,构建更小的镜像,这肯定是需要的了。所以问题就来了,基本上很多建议,甚至是。
docker 常用镜像下载: jdk8-alpine3.9
06-01
加载镜像docker load -i jdk8.tar
超给力,一款简单又实用的免费 GitHub 加速神器
easylife206的专栏
08-25 5334
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !今天给大家推荐一个堪称 GitHub 加速神器的开源项目。这个开源项目就是:FastGitHub,它主要解...
BusyBox 支持的命令
热门推荐
好习惯成就伟大
08-03 1万+
/ # busybox BusyBox v1.22.1 (2015-05-08 13:56:24 CST) multi-call binary. BusyBox is copyrighted by many authors between 1998-2012. Licensed under GPLv2. See source distribution for detailed copyright...
使用以语言为中心的容器基础镜像 distroless
折腾技术
10-14 977
关于容器技术,我之前分享不少文章和技巧,包括如何优化镜像,如何更优雅的进行构建封装,以及大量的容器应用实践、使用案例以及维护方式。 本篇文章将介绍一个在许多场景下更有效的方案,来让容器镜像更加小巧。比如我们常用的 Node 应用,使用这个方式将减少至少 800M 磁盘空间。 写在前面 以往构建镜像,我们往往会使用来自 DockerHub 上的基础系统镜像(来自 mirror 的镜像同理)或者一些编程语言维护组织推出的官方镜像,来做为基础镜像,来进行我们自己的容器的二次封装和构建。 虽然这样做可以相对快速和轻
docker进阶(3):通过busyboxAlpine精简Docker镜像
不积跬步,无以至千里
03-28 2000
概述 我们在运行时,通常需要轻量化容器运行,而精简的linux作为容器尽可能降低系统开销,提高资源的利用率。 问题 想要得到一个小而全的镜像 解决方案 在构建自己的镜像时,使用小的基础镜像,如BusyboxAlpine。 如果我们的目标是小而精,那么Busybox是首选。 Busybox busybox没有bash命令,取而代之用了ash,而这样决策,Busybox镜像只有1.24MB,同时busybox也没有包管理,导致我们在安装其它东西时很不方便。 docker run -it busybox /b
Alpine镜像中telnet转移至busybox-extras
09-30
其中一个例子就是telnet命令,它在Alpine Linux 3.7版本之后不再作为基础镜像的一部分,而是被转移到了`busybox-extras`包中。这一变动是为了让基础镜像保持尽可能的小,同时满足不同用户对于额外功能的需求按需安装...
使用 alpine工具 构建 distroless镜像_Shell_代码_下载
06-15
Witchery 是一组工具,可以组合成构建无发行版镜像。它旨在与任何包管理工具一起使用,但目前主要专注于基于 apk 的发行版,例如 Alpine。 它还被设计为易于以完全可组合的方式与任何其他第三方工具一起使用,例如...
shell中cut、sort命令
qq_22143251的博客
09-29 268
1. cut命令 cut命令将行按指定的分隔符分割成多列,它的弱点在于不好处理多个分隔符重复的情况,因此经常结合tr的压缩功能。 /data # cut -h cut: unrecognized option: h BusyBox v1.29.3 (2019-01-24 07:45:07 UTC) multi-call binary. Usage: cut [OPTIONS] [FILE]... Print selected fields from each input FILE to stdout
gcr-io-distroless-stati.rar
12-14
gcr.io/distroless/static:latest,制作k8s.gcr.io/metrics-server/metrics-server:v0.4.1的基础资源
Python-Distroless谷歌内部使用的镜像构建文件
08-11
Distroless 是谷歌内部使用的镜像构建文件,包括 Java 镜像,Node,Python 等镜像构建文件,Distroless 仅仅只包含运行服务所需要的最小镜像,不包含包管理工具,shell 命令行等其他功能。
Get https://gcr.io/v2/: net/http: request canceled while waiting for connection (Client.Timeout exce
trouble is a friend
01-27 5206
gcr.io/distroless/static:nonroot dockerfile中有个gcr.io开头的镜像,原因是被墙了,下载不到,换成docker的就行了 替换的镜像为 katanomi/distroless-static:nonroot
kubernetes 系列教程之部署 BusyBox 容器
凤凰涅槃而生
07-13 3935
BusyBox 是一个轻量级的 Unix 工具集合,它将许多常用的 Unix 工具打包在一个可执行文件中。在 Kubernetes 中,可以使用 BusyBox 容器作为调试工具,快速执行命令或检查容器内部的状态。通过部署 BusyBox 容器并进入交互式终端,你可以方便地在 Kubernetes 集群中执行命令、检查容器状态或进行调试。BusyBox 的轻量级特性使其成为一个理想的调试工具,为你提供了快速、灵活的方式来与容器进行交互。这将打开 BusyBox 容器的终端。可以根据需要执行其他命令和操作。
最小化 Java 镜像的常用技巧
weixin_34032621的博客
01-11 169
背景 随着容器技术的普及,越来越多的应用被容器化。人们使用容器的频率越来越高,但常常忽略一个基本但又非常重要的问题 - 容器镜像的体积。本文将介绍精简容器镜像的必要性并以基于 spring boot 的 java 应用为例描述最小化容器镜像的常用技巧。 精简容器镜像的必要性 精简容器镜像是非常必要的,下面分别从安全性和敏捷性两个角度进行阐释。 安全性 基...
优化docker镜像的几种方法
weixin_45727359的博客
02-10 808
Devops和k8s的火热,越来越多的企业将docker运用到自动化运维中,不管是为了保证开发、测试、生产环境的环境一致性,还是和CI/CD工具的集成度,比如jenkins对docker...
docker基础镜像推荐使用alpinebusybox
文盲青年的博客
03-26 1720
# 依赖的基础镜像 FROM xxx # 添加jar包 ADD xxx CMD xxx 在写dockerfile时,我们FROM可以设置成一个空容器,但是这样我们便不方便管理,没有shell与linux命令。 但是如果我们使用FROM xxx/centos,使用ubuntu,centos等又过重了。 故为了使用shell和linux命令,方便我们进入容器管理与操作,我们的基础镜像可以使用alpinebusybox,这两个比较轻量级,同时可以使用shell与linux命令 ...
k8s一个容器多个镜像_如何使用一个 Dockerfile 文件描述多个镜像
weixin_39541600的博客
01-19 1529
我们知道在 Docker v17.05 版本后就开始支持多阶段构建 (multistage builds)了,使用多阶段构建我们可以加速我们的镜像构建,在一个 Dockerfile 文件中分不同的阶段来处理镜像。例如,如下所示的多阶段构建的 Dockerfile 文件:FROMgolang:1.9-alpineasbuilderRUNapk--no-cacheaddgitW...
BusyBox v1.20.0命令介绍(三)
kunkliu的博客
12-31 2586
  转载地址:http://www.voidcn.com/article/p-vugwbjtm-bru.html 101. openvt – 另起新终端运行 root@android:/ # busybox-smp openvt --help BusyBox v1.20.0 (2012-08-22 21:36:24 CDT) multi-call binary. Usage: open...
如何使用Dockerfile自动化构建Docker镜像
最新发布
06-06
Dockerfile是一个文本文件,它包含了用于自动化构建Docker镜像的指令集合。这些指令告诉Docker从基础镜像开始,如何安装软件、配置环境和复制文件。使用Dockerfile可以让开发者在不同环境中创建一致的软件部署,极大地提升了可移植性和复用性。 以下是使用Dockerfile的基本步骤: 1. **初始化Dockerfile**: 开始Dockerfile时,通常使用`FROM`指令指定基础镜像,如`FROM ubuntu:latest`或`FROM node:14-alpine`。 2. **运行命令(RUN)**: 在这个部分,你可以添加执行的命令,例如安装软件包、设置环境变量或下载文件。 ```bash RUN apt-get update && apt-get install -y nginx ``` 3. **复制文件(COPY)**: 将本地文件复制到镜像中。如果需要创建目录,可以先使用`mkdir`。 ```bash COPY . /app ``` 4. **暴露端口(EXPOSE)**: 如果应用有公开的网络端口,用`EXPOSE 80`声明。 5. **设置工作目录(WORKDIR)**: 指定容器内的默认工作目录。 6. **添加启动命令(CMD/ENTRYPOINT)**: 使用`CMD`设置默认命令,`ENTRYPOINT`更灵活,可以接受参数。 ```bash CMD ["nginx", "-g", "daemon off;"] ``` 7. **构建镜像docker build)**: 在主机上,使用`docker build -t myimage .`命令,其中`-t`指定标签,`.`表示当前目录作为Dockerfile的位置。 构建完成后,你可以使用`docker run`命令运行基于新镜像容器,或者使用`docker push`将镜像推送到Docker Hub或其他仓库,以便其他人也能使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值