如何基于Docker鏡像逆向生成Dockerfile
引言
你是否曾經遇到過一個想要使用的 Docker 鏡像,但卻無法修改以適應你的特定需求?或者你可能發現了一個喜歡的 Docker 鏡像,但想要了解它是如何構建的?在這兩種情況下,將 Docker 鏡像逆向生成一個 Dockerfile 可以使用一些工具來實現。
將 Docker 鏡像轉換為 Dockerfile 意味著獲取現有的 Docker 鏡像,并使用它來創建一個你可以修改和控制的 Dockerfile。
這個過程讓你能夠理解 Docker 鏡像的內部運作方式,進行修改,更新鏡像以在不同平臺上運行,或者根據特定需求對其進行優化。
在這篇博客文章中,我們將通過使用一些開源工具,帶領您逐步解讀 Docker 鏡像并轉換為 Dockerfile 的過程。
使用Dedockify工具實現
圖片
Docker 鏡像就像黑匣子,包含了在鏡像構建過程中執行的一系列指令層。
現在有了 Dedockify,一個使用 Python 腳本的工具,可以幫助重建創建鏡像所使用的 Dockerfile 的近似版本。
Dedockify 的工作原理是利用存儲在每個鏡像層旁邊的元數據。它通過沿著層級樹向后遍歷,收集與每個層相關聯的命令。
這個過程使它能夠重建在鏡像構建過程中執行的命令序列。
然而,有一個問題:如果使用了 COPY 或 ADD 指令,Dedockify 生成的輸出不會完全匹配原始的 Dockerfile。這是因為 Dedockify 無法訪問在執行原始的 docker build 命令時存在的構建上下文。
要使用 Dedockify,可以將其作為一個 Docker 容器運行:
docker run -v /var/run/docker.sock:/var/run/docker.sock dedockify <imageID>參數 <imageID> 是鏡像 ID(可以是縮短形式或完整的鏡像 ID)。
該腳本通過與 Docker API 交互來查詢各個鏡像層的元數據,因此需要訪問 Docker API 套接字。上面顯示的 -v 標志使得在運行腳本的容器內部可以使用 Docker 套接字。
工作原理是什么?
當從 Dockerfile 構建鏡像時,Dockerfile 中的每個指令都會生成一個新的層。您可以使用 docker images 命令和(現在已棄用的)--tree 標志來查看所有的鏡像層。
$ docker images --tree
Warning: '--tree' is deprecated, it will be removed soon. See usage.
└─511136ea3c5a Virtual Size: 0 B Tags: scratch:latest
└─1e8abad02296 Virtual Size: 121.8 MB
└─f106b5d7508a Virtual Size: 121.8 MB
└─0ae4b97648db Virtual Size: 690.2 MB
└─a2df34bb17f4 Virtual Size: 808.3 MB Tags: buildpack-deps:latest
└─86258af941f7 Virtual Size: 808.6 MB
└─1dc22fbdefef Virtual Size: 846.7 MB
└─00227c86ea87 Virtual Size: 863.7 MB
└─564e6df9f1e2 Virtual Size: 1.009 GB
└─55a2d383d743 Virtual Size: 1.009 GB
└─367e535883e4 Virtual Size: 1.154 GB
└─a47bb557ed2a Virtual Size: 1.154 GB
└─0d4496202bc0 Virtual Size: 1.157 GB
└─5db44b586412 Virtual Size: 1.446 GB
└─bef6f00c8d6d Virtual Size: 1.451 GB
└─5f9bee597a47 Virtual Size: 1.451 GB
└─bb98b84e0658 Virtual Size: 1.452 GB
└─6556c531b6c1 Virtual Size: 1.552 GB
└─569e14fd7575 Virtual Size: 1.552 GB
└─fc3a205ba3de Virtual Size: 1.555 GB
└─5fd3b530d269 Virtual Size: 1.555 GB
└─6bdb3289ca8b Virtual Size: 1.555 GB
└─011aa33ba92b Virtual Size: 1.555 GB Tags: ruby:2, ruby:2.1, ruby:2.1.1, ruby:latest這些層中的每一個都是在 Dockerfile 中執行指令的結果。事實上,如果您對這些層中的任何一個執行 docker inspect,您可以看到用于生成該層的指令。
$ docker inspect 011aa33ba92b
[{
. . .
"ContainerConfig": {
"Cmd": [
"/bin/sh",
"-c",
"#(nop) ONBUILD RUN [ ! -e Gemfile ] || bundle install --system"
],
. . .
}]Docker 示例:
以下是一個示例,展示了如何拉取官方的 Docker Ruby 鏡像并生成該鏡像的 Dockerfile。
$ docker pull mrhavens/dedockify
Using default tag: latest
latest: Pulling from dedockify
$ alias dedockify="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm mrhavens/dedockify"
$ dedockify <imageID>
FROM buildpack-deps:latest
RUN useradd -g users user
RUN apt-get update && apt-get install -y bison procps
RUN apt-get update && apt-get install -y ruby
ADD dir:03090a5fdc5feb8b4f1d6a69214c37b5f6d653f5185cddb6bf7fd71e6ded561c in /usr/src/ruby
WORKDIR /usr/src/ruby
RUN chown -R user:users .
USER user
RUN autoconf && ./configure --disable-install-doc
RUN make -j"$(nproc)"
RUN make check
USER root
RUN apt-get purge -y ruby
RUN make install
RUN echo 'gem: --no-rdoc --no-ri' >> /.gemrc
RUN gem install bundler
ONBUILD ADD . /usr/src/app
ONBUILD WORKDIR /usr/src/app
ONBUILD RUN [ ! -e Gemfile ] || bundle install --system使用Dive工具實現
Dive 是一個用于探索 Docker 鏡像、層內容,并發現縮小 Docker/OCI 鏡像大小的方法的工具。
圖片
Dive 是一個用于探索 Docker 鏡像、層內容,并發現可以減小鏡像大小的方法的工具。它提供了對每個層內容的詳細分解,包括文件大小、權限等。特別適用于識別可以刪除以減小鏡像大小的不必要文件或依賴項。
特點:
- 詳細的層內容分解:Dive 提供了對 Docker 或 OCI 鏡像中每個層內容的詳細分解。它顯示每個文件的大小、權限和其他元數據。
- 色彩編碼界面:Dive 使用色彩編碼界面突出顯示不同類型的文件。這使得識別并刪除不必要的文件或依賴項變得容易。
- 交互式探索:Dive 允許您交互式地探索每個層的內容。您可以瀏覽各個層、查看單個文件,并進行更改以優化您的鏡像。
- 優化建議:Dive 提供了優化鏡像的建議。它識別大文件、不必要的依賴項和其他潛在的優化方案。
使用方法:
要使用 Dive,您需要在系統上安裝它,并針對一個 Docker 或 OCI 鏡像運行它:
dive <imageID>例如,要分析官方的 Alpine Linux 鏡像,您可以運行:
dive alpine:latest然后 Dive 將顯示鏡像層的詳細分解,讓您可以探索每個層的內容并識別潛在的優化。
除了像 Dive 這樣的第三方工具外,我們可以立即使用的工具是 docker history。如果我們在示例1鏡像上使用 docker history 命令,我們可以查看在 Dockerfile 中用來創建該鏡像的條目。
docker history nginx因此,我們應該得到以下結果:
IMAGE CREATED CREATED BY SIZE COMMENT
374e0127c1bc 25 minutes ago /bin/sh -c #(nop) COPY file:aa717ff85b39d3ed… 0B
84acff3a5554 25 minutes ago /bin/sh -c #(nop) COPY file:2a949ad55eee33f6… 0B
a9cc49948e40 25 minutes ago /bin/sh -c #(nop) COPY file:e3c862873fa89cbf… 0B請注意,CREATED BY 列中的所有內容都被截斷了。這些是通過 Bourne shell 傳遞的 Dockerfile 指令。這些信息可能對重新創建我們的 Dockerfile 有用,盡管在這里被截斷了,但我們也可以通過使用 --no-trunc 選項來查看所有內容:
$ docker history example1 --no-trunc
IMAGE CREATED CREATED BY SIZE COMMENT
sha256:374e0127c1bc51bca9330c01a9956be163850162f3c9f3be0340bb142bc57d81 29 minutes ago /bin/sh -c #(nop) COPY file:aa717ff85b39d3ed034eed42bc1186230cfca081010d9dde956468decdf8bf20 in / 0B
sha256:84acff3a5554aea9a3a98549286347dd466d46db6aa7c2e13bb77f0012490cef 29 minutes ago /bin/sh -c #(nop) COPY file:2a949ad55eee33f6191c82c4554fe83e069d84e9d9d8802f5584c34e79e5622c in / 0B
sha256:a9cc49948e40d15166b06dab42ea0e388f9905dfdddee7092f9f291d481467fc 29 minutes ago /bin/sh -c #(nop) COPY file:e3c862873fa89cbf2870e2afb7f411d5367d37a4aea01f2620f7314d3370edcc in / 0B雖然這里包含一些有用的數據,但從命令行解析可能會有些挑戰。我們也可以使用 docker inspect。
Dockerfile From Image (dfimage)
類似于 docker history 命令的工作方式,Python 腳本可以使用 Docker 存儲在每個鏡像層旁邊的元數據重新創建(近似地)用于生成鏡像的 Dockerfile。
https://github.com/LanikSJ/dfimage
Python 腳本本身被打包為一個 Docker 鏡像,這樣就可以很容易地使用 Docker run 命令來執行:
docker run -v /var/run/docker.sock:/var/run/docker.sock dfimage ruby:latestruby:latest 參數是鏡像名稱和標簽(可以是縮寫形式或完整的鏡像名稱和標簽)。
由于該腳本與 Docker API 交互以查詢各種鏡像層的元數據,因此它需要訪問 Docker API 套接字。上面顯示的 -v 標志使得 Docker 套接字在運行腳本的容器內可用。
請注意,該腳本僅適用于存在于您本地鏡像倉庫中的鏡像(即您在鍵入 docker images 時看到的內容)。如果要為本地倉庫中不存在的鏡像生成 Dockerfile,則首先需要使用 docker pull 命令拉取該鏡像。
總結
將 Docker 鏡像逆向工程為 Dockerfile,或者稱為“回溯 Docker 鏡像”,是一種有用的技術,可以幫助理解和重新創建鏡像的構建過程。工具如 Dive 和 Dedockify 可以通過分析鏡像層和元數據來生成相應的 Dockerfile,從而提供幫助。
