如何对Docker Image进行审查

最新推荐文章于 2024-06-06 10:01:17 发布
最新推荐文章于 2024-06-06 10:01:17 发布
阅读量307 收藏
点赞数
文章标签: 运维
原文链接:https://juejin.im/post/5d0ad89c518825282e2c3e7d
版权

本文节选自我的博客文章:构建可靠、安全、最小化的 Docker 镜像: 原理与实践.

正如Code Review一样,代码审查可以大大提升企业项目的质量。容器镜像同样作为开发人员或是运维人员的产出物,对其进行审查也是必要的。

虽然我们可以通过docker命令结合文件系统浏览的方式进行容器镜像的审查,但其过程需要人工参与,很难做到自动化,更别提将镜像审查集成到CI过程中了。但一个好的工具可以帮我们做到这点。

向大家推荐一个非常棒的开源项目dive,具体安装请参考其项目页。它不但可以方便我们查询具体镜像层的详细信息,还可以作为CI持续集成过程中的镜像审查之用。使用它可以大大提升我们审查镜像的速度,并且可以将这个过程做成自动化。

该项目的具体动态操作图示如下:

如果作为镜像审查之后,可以进行如下命令操作:

$: CI=true dive <image-id>
Fetching image... (this can take a while with large images)
Parsing image...
Analyzing image...
  efficiency: 95.0863 %
  wastedBytes: 671109 bytes (671 kB)
  userWastedPercent: 8.2274 %
Run CI Validations...
  Using default CI config
  PASS: highestUserWastedPercent
  SKIP: highestWastedBytes: rule disabled
  PASS: lowestEfficiency
复制代码

从输出信息可以得到很多有用的信息,集成到CI过程也就非常容易了。 dive本身就提供了.dive-ci作为项目的CI配置:

rules:
  # If the efficiency is measured below X%, mark as failed.
  # Expressed as a percentage between 0-1.
  lowestEfficiency: 0.95

  # If the amount of wasted space is at least X or larger than X, mark as failed.
  # Expressed in B, KB, MB, and GB.
  highestWastedBytes: 20MB

  # If the amount of wasted space makes up for X% or more of the image, mark as failed.
  # Note: the base image layer is NOT included in the total image size.
  # Expressed as a percentage between 0-1; fails if the threshold is met or crossed.
  highestUserWastedPercent: 0.20
复制代码

集成到CI中,增加以下命令即可:

$: CI=true dive <image-id> 
复制代码

镜像审查和代码审查类似,是一件开始抵制,开始后就欲罢不能的事。这件事宜早不宜迟,对于企业与个人而言均百利而无一害。

转载于:https://juejin.im/post/5d0ad89c518825282e2c3e7d

weixin_33804990
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
optimized-python-docker:针对Docker优化的Python 3.x映像
05-09
它体积小,速度快且经过严格审查。 注意:对于一些较常见的非纯python模块构建失败,有一些解决方法,但是通常涉及很多问题,我没有时间和意愿去尝试。 细长图像类似于ubuntu图像。 他们使用Debian 8基础,而不是...
dnscrypt-server-docker:一个用于非审查,非日志记录,支持DNSSEC且已启用DNSCrypt的DNS解析程序的Docker映像
02-02
dnscrypt-server-docker:一个用于非审查,非日志记录,支持DNSSEC且已启用DNSCrypt的DNS解析程序的Docker映像
docker image、container、Dockerfile常用命令筛选汇总
呆萌的代Ma
10-05 1914
文章目录1.Image 命令查看全部images删除指定的image运行镜像2.Container 命令显示正在运行的docker删除容器复制本地内容到docker容器内部保存容器的修改检查容器信息进入容器内部并打开命令行3.Dockerfile !!且学且总结~~~ 1.Image 命令 查看全部images docker images 删除指定的image docker rmi image的id 运行镜像 docker run repository名称 # 运行一个images -d # 作为守护进
Docker镜像筛选与提取命令解析
最新发布
Leon_Jinhai_Sun的博客
06-06 291
Docker镜像筛选与提取命令解析
Docker: 如何通过关键字过滤查找Docker镜像
十年运维开发经验的王义杰在此分享自己的知识和经验
04-20 582
通过有效使用命令,我们可以轻松管理和操作大规模的镜像库。这种精确的过滤技术特别适合于在复杂的开发和运维环境中快速定位资源,确保我们可以高效地处理和部署所需的Docker镜像。希望这些示例能帮助大家更好地掌握并应用 Docker 的强大过滤功能。
docker
from top to bottom
12-02 1033
docker images:查看镜像 docker search image_name:查看镜像是否存在 docker pull image_name:从docker_Hub中拉取镜像 docker run centos /bin.echo "hello world!":docker 在指定的centos镜像中运行一个容器,如果镜像不存在则会从镜像仓库Docker Hub下载公共镜像 docker run -it centos /bin/bash:-i表示允许对容器内的标准输入进行交互,-t在新容器
docker 进入容器 内部
fwk19840301的博客
06-04 1932
jupyterlab-minimalist-image:适用于Python,JupterLab,Numpy,Pandas,Matplotlib和scikit-learn的轻量级Docker映像
05-15
它可以在本地安全使用,但除非其他人有机会进行审查,否则还不能用于生产。 问题 为数据科学设置本地环境很麻烦。 在环境和依赖项管理之间,开始任何工作之前,可能需要花费大量时间进行配置。 集装箱化的好处 创建...
石建松-混合云下的DevOps在vivo互联网的探索落地.pdf
08-23
- **Docker Image**:容器化技术,通过Docker打包应用,确保环境一致性。 - **CI/CD**:持续集成和持续部署,实现快速、频繁且可靠的软件发布。 - **FTP/SSH**:文件传输协议和安全外壳协议,用于远程文件操作和...
gitlab-runner一整套配置
03-04
以下是对"gitlab-runner一整套配置"的详细解释,以及如何结合GitLab 11.1版本实现持续集成和部署。 1. **安装GitLab Runner**: 在开始之前,确保你的系统已经安装了GitLab和Docker(因为许多runner会基于Docker...
docker images 命令详解
redrose2100的博客
09-23 8408
本文详细介绍了docker images命令的参数以及使用实例。
docker 删除 占用 image
心生于物而死于物
12-23 164
停止所有的container,这样才能够删除其中的images: docker stop $(docker ps -a -q) 如果想要删除所有container的话再加一个指令: docker rm $(docker ps -a -q) .查看当前有些什么images docker images .删除images,通过image的id来指定删...
linux shell如何判断docker镜像或容器是否存在?
Dontla的博客
06-09 8379
判断某个镜像是否存在 判断某个容器是否存在 参考文章:bash - 如何检查本地是否存在带有特定标签的Docker镜像?
docker镜像优化小手段
weixin_33862993的博客
02-18 271
2019独角兽企业重金招聘Python工程师标准>>> ...
【shell】docker images 拿到ID
肥宅Sean
03-04 1559
简述 对于docker中的镜像,有时候为了方便处理,我们需要找到特定的tag之后,再做处理。 方法 通过grep进行筛选行 再通过awk '{print $3}' 得到第三列(也就是IMAGE ID,唯一标识符)对应的列,之后再做处理就简单多列。 ...
Shell 获取Docker容器主机名
拥有必珍惜
05-21 4424
docker inspect -f '{{.Config.Hostname}}' 容器名
Shell判断Docker是否运行一个容器
jonssonyan
07-09 6675
#!/bin/bash if [[ -n $(docker ps -q -f "name=^myMySQL$") ]];then echo "has install mysql" else echo "not install mysql" fi 参数解释 -n 检测字符串长度是否不为 0,不为 0 返回 true docker ps -q -f "name=^myMySQL$" 正常运行的且容器别名完全匹配myMySQL的容器ID ...
docker image build
09-05
如果使用Docker Image Build和Dockerfile制作Docker Image,可以按照以下步骤进行操作: 1. 首先,需要在hub.docker.com或cloud.docker.com注册一个账号,并使用`docker login`命令进行登录。 2. 然后,使用`docker ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值