Kaniko构建镜像

最新推荐文章于 2024-06-26 09:34:47 发布
最新推荐文章于 2024-06-26 09:34:47 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: 容器 文章标签: docker java python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34288630/article/details/118999339
版权

一、前言

最近公司重构devops相关的一系列平台,对于流水线中用容器方式交付的产品越来越多,为了更加安全的方式来构建容器镜像,采用Kaniko构建。

在了解如何用Kaniko构建镜像之前,我们先了解一下几种构建镜像的方式。

二、docker构建镜像

docker构建镜像是常用的方法,在具备构建容器镜像所需要的两个要素(Dockerfile和上下文)的前提下,用下命令就能构建一个容器镜像出来。

docker build -t your_registry/your_repository:tag .

然后用 docker push 将镜像推送到镜像仓库

 docker push your_registry/your_repository:tag

三、容器内构建镜像

现在DevOps 的CI/CD环境大多数都会运行在容器内,镜像的构成也是在容器内完成的。这时候,通常用以下两种方式来完成容器内构建镜像的工作:

第一:挂载宿主机的socket文件到容器内部
docker run -it -v /var/run/docker.sock:/var/run/docker.sock -v /tmp/kaniko:/tmp/kaniko docker

然后在容器内部用 docker build 构建镜像

$ docker build -t dllhb/kaniko-test:v0.1 .
Sending build context to Docker daemon  5.632kB
Step 1/4 : FROM alpine:latest
latest: Pulling from library/alpine
89d9c30c1d48: Already exists
Digest: sha256:c19173c5ada610a5989151111163d28a67368362762534d8a8121ce95cf2bd5a
Status: Downloaded newer image for alpine:latest
 ---> 965ea09ff2eb
Step 2/4 : MAINTAINER <devops008@sina.com xiaomage> 
 ---> Running in 8a2b1dc13d6b
Removing intermediate container 8a2b1dc13d6b 
 ---> bd535532278d
Step 3/4 : RUN apk add busybox-extras curl
 ---> Running in fc254ad3d088
fetch http://dl-cdn.alpinelinux.org/alpine/v3.10/main/x86_64/APKINDEX.tar.gz
fetch http://dl-cdn.alpinelinux.org/alpine/v3.10/community/x86_64/APKINDEX.tar.gz
(1/5) Installing busybox-extras (1.30.1-r3)
Executing busybox-extras-1.30.1-r3.post-install
(2/5) Installing ca-certificates (20190108-r0)
(3/5) Installing nghttp2-libs (1.39.2-r0)
(4/5) Installing libcurl (7.66.0-r0)
(5/5) Installing curl (7.66.0-r0)
Executing busybox-1.30.1-r2.trigger
Executing ca-certificates-20190108-r0.trigger
OK: 7 MiB in 19 packages
Removing intermediate container fc254ad3d088
 ---> 1bbe81600a67
Step 4/4 : CMD ["echo","Hello DevOps"]
 ---> Running in 4b92a6a4b37e
Removing intermediate container 4b92a6a4b37e
 ---> de712b8cd7e5
Successfully built de712b8cd7e5
Successfully tagged dllhb/kaniko-test:v0.1

由于docker依赖于 docker daemon 进程, docker daemon 进程是一个 Unixsocket 连接,且 /var/run/docker.sock 文件是root权限,

$ ls -ltr /var/run/docker.sock
lrwxr-xr-x 1 root  daemon 69 Nov 26 15:13 /var/run/docker.sock

说明只有root权限才能访问 docker daemon 进程,在 docker daemon 无法暴露或者用户没有权限获取 docker daemon 进程的前提下,用 docker build 来构建镜像就变的非常困难了。

可能我们会想,docker build镜像无非就是需要docker命令能运行成功,只要在容器里面安装一个docker不就成功了吗?这也就是下面讲的第二种方法。

第二:dind(docker-in-docker)

这种方式不需要挂载宿主机的socket文件,但是需要以 --privileged 权限来以dind镜像创建一个容器:

$ docker run --rm -it --privileged docker:18.06-dind

然后在容器里面构建容器镜像并推送至远端仓库。

dind能够满足构建容器镜像的需求,但是从上面的命令看,有一个参数:–privileged 。意味这这个容器具有一些特权,他可能会看到宿主机上的一些设备,而且能够执行mount命令。

dind还有很多问题,只是方便docker开发人员来测试docker,所以官方也说running Docker inside Docker is generally not recommended。具体的可以看看这篇博文: https://jpetazzo.github.io/20…
上述两种方法,都能满足在容器内构建容器镜像且推送镜像至远端仓库的需求,但是从security角度来讲,需要root 权限(第一种方式),提供特权(第二种方式) 都使得风险增大,在Kubernetes 多租户的场景下,这种风险是不能接受的。那是否有一种不需要特殊权限,还能快速构建容器镜像的方法呢?答案就是下面将的Kaniko。

四、Kaniko介绍

Kaniko是谷歌开源的一款用来构建容器镜像的工具。与docker不同,Kaniko 并不依赖于Docker daemon进程,完全是在用户空间根据Dockerfile的内容逐行执行命令来构建镜像,这就使得在一些无法获取 docker daemon 进程的环境下也能够构建镜像,比如在标准的Kubernetes Cluster上。
在这里插入图片描述
aniko 以容器镜像的方式来运行的,同时需要三个参数: Dockerfile,上下文,以及远端镜像仓库的地址。

Kaniko会先提取基础镜像(Dockerfile FROM 之后的镜像)的文件系统,然后根据Dockerfile中所描述的,一条条执行命令,每一条命令执行完以后会在用户空间下面创建一个snapshot,并与存储与内存中的上一个状态进行比对,如果有变化,就将新的修改生成一个镜像层添加在基础镜像上,并且将相关的修改信息写入镜像元数据中。等所有命令执行完,kaniko会将最终镜像推送到指定的远端镜像仓库。

4.1、Kaniko Demo

这里选择的是 https://github.com/traefik/whoami 项目和https://github.com/peishunwu/kaniko项目用来测试
。访问该服务之后,接口会返回访

对项目的要求是,通过 Dockerfile 能够直接编译得到镜像。一共有两个验证点:

能够构建镜像
构建的镜像能够运行

4.2、在 Docker 上运行 Kaniko

生成推送镜像的凭证
以下说明:
YOUR_USERNAME(我的dockerhub账户)
YOUR_PASSWORD(我的dockerhub账户密码)

export AUTH=$(echo -n YOUR_USERNAME:YOUR_PASSWORD | base64 )

cat > config.json <<-EOF
{
	"auths": {
		"https://index.docker.io/v1/": {
			"auth": "${AUTH}"
		}
	}
}
EOF

构建镜像

docker run \
  --interactive -v `pwd`/config.json:/kaniko/.docker/config.json gcr.io/kaniko-project/executor:latest \
  --context git://github.com/traefik/whoami \
  --dockerfile Dockerfile \
  --destination=peishunwu/kaniko-demo:v1

参数说明:

  • context, 构建需要的上下文。支持多种格式,S3、本地目录、标准输入、Git 仓库等
  • dockerfile, Dockerfile 路径
  • destination, 构建后推送的镜像地址

其中–destination=peishunwu/kaniko-demo:v1
peishunwu/kaniko-demo:我的dockerhub的仓库
在这里插入图片描述
在生产环境,可以配置缓存,用于加速镜像构建。

查看日志
执行上一步的命令之后,可以看到如下输出:
在这里插入图片描述
在这里插入图片描述

如果没有问题会正常退出!

查看构建镜像是否落盘本地

docker images|grep kaniko-demo

在这里插入图片描述

执行完命令,没有任何输出,符合预期。构建之后的镜像,直接被推送到了远程 Registry。

DockerHub 查看镜像
在 DockerHub 页面可以查看到推送的镜像:
在这里插入图片描述

使用刚才上传到dockerhub镜像,创建容器
执行命令:

docker run -d -p 8011:80 peishunwu/kaniko-demo:v1

在这里插入图片描述
验证服务是否正常:

curl localhost:8011

Hostname: 6dd22f1e4100
IP: 127.0.0.1
IP: 172.17.0.2
RemoteAddr: 172.17.0.1:40940
GET / HTTP/1.1
Host: localhost:8011
User-Agent: curl/7.29.0
Accept: */*

在这里插入图片描述

五、在 Kubernetes 上运行 Kaniko

待测试验证,后续添加

奈斯菟咪踢呦
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
自定义一个kaniko镜像
zxy199288的博客
09-26 337
工具与资源中心 帮助开发者更加高效的工作,提供围绕开发者全生命周期的工具与资源 背景 kaniko是一款方便我们从K8S内部构建docker容器的工具,以前我们在CI过程中,使用的是docker-in-docker技术,这种技术最主要的缺陷就是当一台机器上同时运行多个docker build流水线时,会出现阻塞的情况,因为这一批流水线用的是宿主机上的同一个docker进程。 基于这种情况,我们在droneCI流水线中换用了kaniko来进行docker镜像的创建。 遇到的难题 kaniko是基于scrat
如何基于Jenkins构建Docker镜像
08-25
主要介绍了基于Jenkins构建Docker镜像,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
容器镜像构建工具kaniko介绍及基本使用(GoogleContainerTools/kaniko
学亮编程手记
07-14 5482
GoogleContainerTools/kaniko是什么?gcr.io/kaniko-project/executor:latestgcr.io/kaniko-project/executor:debug - 包含 shell参考专注于在 Kubernetes 构建镜像 dockerhub https://github.com/GoogleContainerTools/kaniko/issues/1209 参数 Additional Flags FAQ 性能问题 https://github
kubernetes【工具】kaniko【1】【介绍】-无特权构建镜像
爱死亡机器人
12-01 2528
什么是kaniko kaniko 是一种在容器或 Kubernetes 集群内从 Dockerfile 构建容器镜像的工具。 kaniko 不依赖于 Docker 守护进程,而是完全在用户空间中执行 Dockerfile 中的每个命令。这使得在无法轻松或安全地运行 Docker 守护程序的环境中构建容器镜像成为可能,例如标准的 Kubernetes 集群。 镜像:gcr.io/kaniko-project/executor. 我们不建议在另一个映像中运行 kaniko 执行程序二进制文件,因为它可能不起作.
Kaniko镜像构建器:让Docker容器构建更高效安全
最新发布
gitblog_00020的博客
06-26 442
Kaniko镜像构建器:让Docker容器构建更高效安全 项目地址:https://gitcode.com/aevea/action-kaniko 在持续集成和持续部署(CI/CD)的领域中,Docker镜像构建是一项核心任务。Kaniko是由GoogleContainerTools开发的一个强大的工具,它让你无需依赖Docker守护进程即可构建镜像。现在,这个功能被封装到了一个便捷的GitHu...
使用kaniko摆脱Docker在K8S中构建容器镜像
weixin_41989934的博客
11-28 890
github 项目地址 :kaniko 是一种在容器或 Kubernetes 集群内从 Dockerfile 构建容器镜像的工具。kaniko 不依赖于 Docker 守护进程,而是完全在用户空间中执行 Dockerfile 中的每个命令。这使得在无法轻松或安全地运行 Docker 守护程序的环境中构建容器镜像成为可能,例如标准的 Kubernetes 集群。
DockeFile构建镜像和发布镜像DockerHub和阿里云
从头再来的博客
03-20 308
DockeFile构建镜像和发布镜像DockerHub和阿里云DockerFileDockerFile构建过程DockerFile的指令实战测试实战Tomcat镜像发布镜像小结 DockerFile dockerfile 是用来构建docker 镜像的文件!命令参数脚本! 构建步骤: 编写一个dockerfile文件 docker build 构建成为一个镜像 docker run 运行镜像 docker push 发布镜像DockerHub,阿里云镜像仓库) 官方是怎么做的: 很多官方的镜像
如何使用Kaniko在 Kubernetes 集群中构建容器镜像
因上努力,果上随缘。但行好事,莫问前程。
10-19 909
Github地址:https://github.com/GoogleContainerTools/kanikoKaniko 是Google开源的一款在 Kubernetes 用来构建容器镜像的工具,它是一个从 Dockerfile 构建容器镜像的工具,就像 Docker 一样,但主要区别在于 Kaniko 可以在容器内运行,这意味着它可以在 Kubernetes 集群内运行。不需要特权模式,也不需要公开任何套接字。不需要在我们集群的节点上运行 Docker,因此我们使用哪个容器引擎来运行容器并不重要。
Dockerfile构建镜像案例
01-20
FROM centos #FROM 是指明来自哪个基镜像 MAINTAINER authorname #MAINTAINER 是维护者的意思,要填上作者名和邮箱地址 COPY /home/file1 /usr/local/new_name #将主机home目录下的file1文件拷贝到镜像的/usr/...
如何基于Dockerfile构建tomcat镜像
09-29
主要介绍了如何基于Dockerfile构建tomcat镜像,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
docker使用Dockerfile构建镜像的方法
09-30
主要介绍了docker使用Dockerfile构建镜像的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker构建镜像
04-21
Dockerfile文件
Kaniko在containerd中无特权快速构建并推送容器镜像
一个标题
08-24 984
containerd上基于dockerfile无特权构建镜像打包工具kaniko
kaniko-在k8s集群中构建容器镜像
weixin_38320674的博客
07-28 4331
微信公众号搜索 DevOps和k8s全栈技术 ,即可关注公众号,也可扫描文章最后的二维码关注公众号,每天会分享技术文章供大家阅读参考哈~前言通常情况下,我们在使用dockerfile构建...
利用Kaniko构建容器镜像
Docker的专栏
09-13 2142
本系列文章一共6篇,本文是该系列的第4篇文章,前3篇文章如下:《未来我们如何构建容器镜像?》《利用Podman和Buildah构建容器镜像》《利用Img构建容器镜像》本期我们来聊一聊一个...
Kubernetes 构建容器镜像 kaniko
qq_37377136的博客
11-25 1189
Github kaniko简介 kaniko 是从容器或 Kubernetes 集群内部的Dockerfile构建容器映像的工具。 kaniko 不依赖 Docker守护程序,而是完全在用户空间中执行 Dockerfile 中的每个命令。这样就可以在无法轻松或安全地运行Docker守护程序的环境(例如标准Kubernetes集群)中构建容器映像。 一、入门测试实验 kaniko 入门教程 一、先决条件 1、Kubernetes集群 2、映像仓库 二、准备本地安装目录 1、SSH进入集群,并创建一个本地
kaniko官方文档 - Build Images In Kubernetes
学亮编程手记
06-30 879
kaniko is a tool to build container images from a Dockerfile, inside a container or Kubernetes cluster.kaniko doesn’t depend on a Docker daemon and executes each command within a Dockerfile completely in userspace. This enables building container images in
kaniko镜像构建工具
IT
03-02 4015
kaniko 参考: https://github.com/GoogleContainerTools/kaniko/blob/master/docs/tutorial.md kaniko 是 Google 开源的一个工具,旨在帮助开发人员从容器或 Kubernetes 集群内的 Dockerfile 构建容器镜像。 示例 创建示例dockerfile mkdir /data/kaniko &amp...
5大最新云原生镜像构建工具全解析,3个来自Google,你了解几个?
alauda_andy的博客
05-25 381
1云原生大背景下的镜像构建 在分享开始,我想先跟大家简单聊一下云原生,可能不会详细展开,而是带领大家了解一下云原生对镜像构建方面的影响。 第一,在接触云原生相关的技术时,无论是要解决开发、测试环境的问题,还是解决日常开发、测试等相关的操作和流程,我们经常都会谈到持续集成。持续集成首先要做代码的集成,不同的feature一起交付,使用持续集成的理念尽快把代码合并,保证代码没有冲突,这是持续集成最简单的一些理念。 在持续集成之后,要考虑做哪些业务的验证。验证之外,还需要有一些安全相关的策略。比如,在开发过程中是
jenkins kaniko
08-18
Jenkins Kaniko是一种常用的构建工具,主要用于容器化应用的构建和部署。Jenkins是一种开源的持续集成和持续交付工具,而Kaniko是由Google开发的一个用于构建Docker镜像的工具。 当使用Jenkins进行容器化应用构建时,传统的方式是在Jenkins服务器上安装Docker,并在构建过程中通过Docker命令构建镜像。然而,这种方式存在一些问题,比如构建过程中可能会涉及到敏感信息的安全性问题,以及Docker容器环境的依赖性等。为了解决这些问题,Kaniko应运而生。 Jenkins Kaniko通过在Jenkins服务器上直接执行构建步骤,而不需要依赖Docker守护进程,从而提供了更好的隔离性和安全性。它使用了容器内的用户权限,并利用了Linux的命名空间和cgroups等技术,可在无需特权的情况下进行镜像构建。这样一来,在构建过程中不会涉及到敏感信息的暴露,并且能够避免Docker环境的依赖性问题。 使用Jenkins Kaniko,我们可以方便地在Jenkins中配置构建任务,并将构建结果生成的镜像推送到私有或公共的镜像仓库,以便后续的部署和使用。同时,Kaniko还支持使用Dockerfile来定义构建过程,可以像传统的Docker构建一样,进行多阶段构建和参数化等操作。 总而言之,Jenkins Kaniko是一种高效且安全的容器化应用构建工具,可以帮助我们更好地利用Jenkins进行持续集成和持续交付。它通过避免依赖Docker守护进程,提供了更好的隔离性和安全性,同时也支持使用Dockerfile进行构建,使构建过程更加灵活和可控。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值