"Distroless"容器镜像
"Distroless"镜像只包含您的应用程序及其运行时依赖项。它们不包含包管理器、shell或任何您在标准Linux发行版中预期找到的其他程序。
自2023年3月起,Distroless镜像使用OCI清单,如果您看到引用application/vnd.oci.image.manifest.v1+json或application/vnd.oci.image.index.v1+json的错误,请将您的容器工具(docker、jib等)更新至最新版本。
为什么我应该使用distroless镜像?
将运行时容器中的内容严格限制在应用程序所必需的范围内是Google和其他长期在生产环境中使用容器的科技巨头采用的最佳实践。这可以改善扫描器(如CVE)的信噪比,并减少建立仅限于您所需内容的出处证明的负担。
Distroless镜像非常小。最小的distroless镜像gcr.io/distroless/static-debian11大约为2 MiB。这大约是alpine(~5 MiB)大小的50%,不到debian(124 MiB)大小的2%。
如何使用distroless镜像?
这些镜像使用bazel构建,但也可以通过其他Docker镜像构建工具使用。
有哪些可用的镜像?
以下是目前由distroless项目发布和更新的镜像(有关支持时间线,请参阅支持政策)
Debian 12
| 镜像 | 标签 | 架构后缀 |
|---|---|---|
| gcr.io/distroless/static-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/base-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/base-nossl-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/cc-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/python3-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64 |
| gcr.io/distroless/java-base-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/java17-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/nodejs18-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/nodejs20-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/nodejs22-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
Debian 11
| 镜像 | 标签 | 架构后缀 |
|---|---|---|
| gcr.io/distroless/static-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/base-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/base-nossl-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/cc-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/python3-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64 |
| gcr.io/distroless/java-base-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/java11-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/java17-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/nodejs18-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64 |
| gcr.io/distroless/nodejs20-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64 |
这些镜像引用了包含所有支持架构引用的镜像索引。可以通过在标签上添加额外的架构后缀直接引用特定架构的镜像,如gcr.io/distroless/static-debian11:latest-amd64
任何其他标签均被视为已弃用,不再更新
如何验证distroless镜像?
所有distroless镜像都由cosign签名。我们建议在构建镜像之前验证您使用的任何distroless镜像。
无密钥
Distroless镜像使用cosign以无密钥模式签名,这是从2023年11月开始唯一支持的机制。您可以使用以下命令验证任何distroless镜像的无密钥签名:
cosign verify $IMAGE_NAME --certificate-oidc-issuer https://accounts.google.com --certificate-identity keyless@distroless.iam.gserviceaccount.com
密钥(已弃用)
使用distroless密钥进行验证已被弃用,推荐使用无密钥方式。这些签名事件不会上传到透明日志。您可以使用distroless公钥验证任何distroless镜像:
2023年11月之后构建的镜像将无法使用cosign.pub进行验证,请使用无密钥签名验证
cat cosign.pub
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZzVzkb8A+DbgDpaJId/bOmV8n7Q
OqxYbK0Iro6GzSmOzxkn+N2AKawLyXi84WSwJQBK//psATakCgAQKkNTAA==
-----END PUBLIC KEY-----
cosign verify --key cosign.pub $IMAGE_NAME --insecure-ignore-tlog
入口点
请注意,默认情况下distroless镜像不包含shell。这意味着在定义Dockerfile的ENTRYPOINT命令时,必须以vector形式指定,以避免容器运行时添加shell前缀。
这样可以:
ENTRYPOINT ["myapp"]
但这样不行:
ENTRYPOINT "myapp"
出于同样的原因,如果将入口点设置为空向量,CMD命令应该以vector形式指定(见下面的示例)。请注意,默认情况下,static、base和cc镜像的入口点为空向量。包含特定语言运行时的镜像有特定的默认设置(参见:java、nodejs、python3)。
Docker
Docker多阶段构建使得使用distroless镜像变得简单。按照以下步骤开始:
-
为您的应用程序栈选择正确的基础镜像。我们在
gcr.io上发布以下distroless基础镜像:- gcr.io/distroless/static-debian12
- gcr.io/distroless/static-debian11
- gcr.io/distroless/base-nossl-debian12
- gcr.io/distroless/base-nossl-debian11
- gcr.io/distroless/base-debian12
- gcr.io/distroless/base-debian11
- gcr.io/distroless/java11-debian11
- gcr.io/distroless/java17-debian12
- gcr.io/distroless/java17-debian11
- gcr.io/distroless/cc-debian12
- gcr.io/distroless/cc-debian11
- gcr.io/distroless/nodejs18-debian12
- gcr.io/distroless/nodejs18-debian11
- gcr.io/distroless/nodejs20-debian12
- gcr.io/distroless/nodejs20-debian11
- gcr.io/distroless/nodejs22-debian12
- gcr.io/distroless/nodejs22-debian11
- gcr.io/distroless/python3-debian12
-
以下镜像也发布在
gcr.io上,但被视为实验性的,不建议在生产环境中使用: -
编写多阶段Dockerfile。 注意:这需要Docker 17.05或更高版本。
基本思想是您将有一个阶段来构建应用程序制品,并将它们插入到运行时的distroless镜像中。如果您想了解更多,请参阅多阶段构建文档。
Docker示例
这里有一个简单的Go语言示例:
# 首先构建应用程序 FROM golang:1.18 as build WORKDIR /go/src/app COPY . . RUN go mod download RUN CGO_ENABLED=0 go build -o /go/bin/app # 现在将它复制到我们的基础镜像中。 FROM gcr.io/distroless/static-debian11 COPY /go/bin/app / CMD ["/app"]
您可以在这里找到其他示例:
要运行任何示例,请进入相应语言的目录并运行
docker build -t myapp .
docker run -t myapp
要运行Node.js Express应用node-express并暴露容器的端口:
npm install # 安装express及其传递依赖
docker build -t myexpressapp . # 正常的构建命令
docker run -p 3000:3000 -t myexpressapp
这应该会将Express应用暴露到您的localhost:3000
Bazel
有关如何使用bazel生成容器镜像的完整文档,请参阅bazel-contrib/rules_oci仓库。
有关如何使用基于go的debian包管理器(当前)生成bazel配置的文档和示例,请参阅./debian_package_manager 有关如何使用bazel包管理器规则(本仓库未使用)的文档和示例,请参阅./package_manager
本仓库中的示例可以在examples目录中找到。
使用Bazel的示例
我们在/examples目录中有一些如何运行一些常见应用程序堆栈的示例。 请参阅以下内容:
请�参阅以下内容,了解如何在镜像中完成一些常见任务的示例:
有关这些镜像如何构建和发布的更多信息,请参阅此处。
基本操作系统
Distroless镜像基于Debian 11 (bullseye)和Debian 12 (bookworm)。镜像明确标记有Debian版本后缀(例如-debian11)。指定不带发行版的镜像目前会选择-debian11镜像,但在未来会更改为更新版本的Debian。明确引用发行版可能会很有用,以防止在发布下一个Debian版本时构建中断。
操作系统更新以修复安全问题和CVE
Distroless跟踪上游Debian发布,使用Github actions在有更新时自动生成拉取请求。
调试镜像
Distroless镜像是最小的,缺乏shell访问。每种语言的:debug镜像集提供了一个busybox shell用于进入。
例如:
cd examples/python3/
编辑Dockerfile以将最终镜像更改为:debug:
FROM gcr.io/distroless/python3-debian12:debug COPY . /app WORKDIR /app CMD ["hello.py", "/etc"]
然后构建并使用shell入口点启动:
$ docker build -t my_debug_image .
$ docker run --entrypoint=sh -ti my_debug_image
/app # ls
BUILD Dockerfile hello.py
注意:如果您使用的镜像已经有标签,例如
gcr.io/distroless/java17-debian11:nonroot,请使用标签debug-<existing tag>代替,例如gcr.io/distroless/java17-debian11:debug-nonroot。
注意:ldd未安装在基础镜像中,因为它是一个shell脚本,您可以复制它或下载它。
谁在使用Distroless?
- Kubernetes, 从v1.15开始
- Knative
- Tekton
- Teleport
如果您的项目使用Distroless,请发送PR来添加您的项目!
社区讨论
编辑推荐精选
扣子-AI办公
职场AI,就用扣子
AI办公助手,复杂任务高效处理。办公效率低?扣子空间AI助手支持播客生成、PPT制作、网页开发及报告写作,覆盖科研、商业、舆情等领域的专家Agent 7x24小时响应,生活工作无缝切换,提升50%效率!
堆友
多风格AI绘画神器
堆友平台由阿里巴巴设计团队创建,作为一款AI驱动的设计工具,专为设计师提供一站式增长服务。功能覆盖海量3D素材、AI绘画、实时渲染以及专业抠图,显著提升设计品质和效率。平台不仅提供工具,还是一个促进创意交流和个人发展的空间,界面友好,适合所有级别的设计师和创意工作者。
码上飞
零代码AI应用开发平台
零代码AI应用开发平台,用户只需一句话简单��描述需求,AI能自动生成小程序、APP或H5网页应用,无需编写代码。
Vora
免费创建高清无水印Sora视频
Vora是一个免费创建高清无水印Sora视频的AI工具
Refly.AI
最适合小白的AI自动化工作流平台
无需编码,轻松生成可复用、可变现的AI自动化工作流
酷表ChatExcel
大模型驱动的Excel数据处理工具
基于大模型交互的表格处理系统,允许用户通过对话方式完成数据整理和可视化分析。系统采用机器学习算法解析用户指令,自动执行排序、公式计算和数据透视等操作,支持多种文件格式导入导出。数据处理响应速度保持在0.8秒以内,支持超�过100万行数据的即时分析。
TRAE编程
AI辅助编程,代码自动修复
Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。
AIWritePaper论文写作
AI论文写作指导平台
AIWritePaper论文写作是一站式AI论文写作辅助工具,简化了选题、文献检索至论文撰写的整个过程。通过简单设定,平台可快速生成高质量论文大纲和全文,配合图表、参考文献等一应俱全,同时提供开题报告和答辩PPT等增值服务,保障数据安全,有效提升写作效率和论文质量。
博思AIPPT
AI一键生成PPT,就用博思AIPPT!
博思AIPPT,新一代的AI生成PPT平台,支持智能生成PPT、AI美化PPT、文本&链接生成PPT、导入Word/PDF/Markdown文档生成PPT等,内置海量精美PPT模板,涵盖商务、教育、科技等不同风格,同时针对每个页面提供多种版式,一键自适应切换,完美适配各种办公场景。
潮际好麦
AI赋能电商视觉革命,一站式智能商拍平台
潮际好麦深耕服装行业,是国内AI试衣效果最好的软件。使用先进AIGC能力为电商卖家批量提供优质的、低成本的商拍图。合作品牌有Shein、Lazada、安踏、百丽等65个国内外头部品牌,以及国内10万+淘宝、天猫、京东等主流平台的品牌商家,为卖家节省将近85%的出图成本,提升约3倍出图效率,让品牌能够快速上架。
推荐工具精选
AI云服务特惠
懂AI专属折扣关注微信公众号
最新AI工具、AI资讯
独家AI资源、AI项目落地
�微信扫一扫关注公众号