懂AI
distroless

distroless

极简容器镜像 提升应用安全与效率

Distroless 是一个专注于构建极简容器镜像的开源项目。该项目创建的镜像仅包含应用程序及其运行时依赖,去除了包管理器、shell 等标准 Linux 发行版中的常见程序。这种方法显著减小了镜像体积,提高了安全性,并简化了漏洞扫描过程。Distroless 支持多种编程语言和硬件架构,适用于广泛的应用场景,是开发高效、安全容器化应用的有力工具。

Distroless容器镜像安全性最小化多阶段构建Github开源项目
访问官网GitHub论文文档

"Distroless"容器镜像

CI构建状态

"Distroless"镜像只包含您的应用程序及其运行时依赖项。它们不包含包管理器、shell或任何您在标准Linux发行版中预期找到的其他程序。

欲了解更多信息,请参阅此演讲视频)。

自2023年3月起,Distroless镜像使用OCI清单,如果您看到引用application/vnd.oci.image.manifest.v1+jsonapplication/vnd.oci.image.index.v1+json的错误,请将您的容器工具(docker、jib等)更新至最新版本。

为什么我应该使用distroless镜像?

将运行时容器中的内容严格限制在应用程序所必需的范围内是Google和其他长期在生产环境中使用容器的科技巨头采用的最佳实践。这可以改善扫描器(如CVE)的信噪比,并减少建立仅限于您所需内容的出处证明的负担。

Distroless镜像非常小。最小的distroless镜像gcr.io/distroless/static-debian11大约为2 MiB。这大约是alpine(~5 MiB)大小的50%,不到debian(124 MiB)大小的2%。

如何使用distroless镜像?

这些镜像使用bazel构建,但也可以通过其他Docker镜像构建工具使用。

有哪些可用的镜像?

以下是目前由distroless项目发布和更新的镜像(有关支持时间线,请参阅支持政策

Debian 12

镜像标签架构后缀
gcr.io/distroless/static-debian12latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/base-debian12latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/base-nossl-debian12latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/cc-debian12latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/python3-debian12latest, nonroot, debug, debug-nonrootamd64, arm64
gcr.io/distroless/java-base-debian12latest, nonroot, debug, debug-nonrootamd64, arm64, s390x, ppc64le
gcr.io/distroless/java17-debian12latest, nonroot, debug, debug-nonrootamd64, arm64, s390x, ppc64le
gcr.io/distroless/nodejs18-debian12latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/nodejs20-debian12latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/nodejs22-debian12latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le

Debian 11

镜像标签架构后缀
gcr.io/distroless/static-debian11latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/base-debian11latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/base-nossl-debian11latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/cc-debian11latest, nonroot, debug, debug-nonrootamd64, arm64, arm, s390x, ppc64le
gcr.io/distroless/python3-debian11latest, nonroot, debug, debug-nonrootamd64, arm64
gcr.io/distroless/java-base-debian11latest, nonroot, debug, debug-nonrootamd64, arm64, s390x, ppc64le
gcr.io/distroless/java11-debian11latest, nonroot, debug, debug-nonrootamd64, arm64, s390x, ppc64le
gcr.io/distroless/java17-debian11latest, nonroot, debug, debug-nonrootamd64, arm64, s390x, ppc64le
gcr.io/distroless/nodejs18-debian11latest, nonroot, debug, debug-nonrootamd64, arm64
gcr.io/distroless/nodejs20-debian11latest, nonroot, debug, debug-nonrootamd64, arm64

这些镜像引用了包含所有支持架构引用的镜像索引。可以通过在标签上添加额外的架构后缀直接引用特定架构的镜像,如gcr.io/distroless/static-debian11:latest-amd64

任何其他标签均被视为已弃用,不再更新

如何验证distroless镜像?

所有distroless镜像都由cosign签名。我们建议在构建镜像之前验证您使用的任何distroless镜像。

无密钥

Distroless镜像使用cosign以无密钥模式签名,这是从2023年11月开始唯一支持的机制。您可以使用以下命令验证任何distroless镜像的无密钥签名:

cosign verify $IMAGE_NAME --certificate-oidc-issuer https://accounts.google.com  --certificate-identity keyless@distroless.iam.gserviceaccount.com

密钥(已弃用)

使用distroless密钥进行验证已被弃用,推荐使用无密钥方式。这些签名事件不会上传到透明日志。您可以使用distroless公钥验证任何distroless镜像:

2023年11月之后构建的镜像将无法使用cosign.pub进行验证,请使用无密钥签名验证

cat cosign.pub
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZzVzkb8A+DbgDpaJId/bOmV8n7Q
OqxYbK0Iro6GzSmOzxkn+N2AKawLyXi84WSwJQBK//psATakCgAQKkNTAA==
-----END PUBLIC KEY-----

cosign verify --key cosign.pub $IMAGE_NAME --insecure-ignore-tlog

入口点

请注意,默认情况下distroless镜像不包含shell。这意味着在定义Dockerfile的ENTRYPOINT命令时,必须以vector形式指定,以避免容器运行时添加shell前缀。

这样可以:

ENTRYPOINT ["myapp"]

但这样不行:

ENTRYPOINT "myapp"

出于同样的原因,如果将入口点设置为空向量,CMD命令应该以vector形式指定(见下面的示例)。请注意,默认情况下,static、base和cc镜像的入口点为空向量。包含特定语言运行时的镜像有特定的默认设置(参见:javanodejspython3)。

Docker

Docker多阶段构建使得使用distroless镜像变得简单。按照以下步骤开始:

Docker示例

这里有一个简单的Go语言示例:

# 首先构建应用程序
FROM golang:1.18 as build

WORKDIR /go/src/app
COPY . .

RUN go mod download
RUN CGO_ENABLED=0 go build -o /go/bin/app
# 现在将它复制到我们的基础镜像中。
FROM gcr.io/distroless/static-debian11
COPY --from=build /go/bin/app /
CMD ["/app"]

您可以在这里找到其他示例:

要运行任何示例,请进入相应语言的目录并运行

docker build -t myapp .
docker run -t myapp

要运行Node.js Express应用node-express并暴露容器的端口:

npm install # 安装express及其传递依赖
docker build -t myexpressapp . # 正常的构建命令
docker run -p 3000:3000 -t myexpressapp

这应该会将Express应用暴露到您的localhost:3000

Bazel

有关如何使用bazel生成容器镜像的完整文档,请参阅bazel-contrib/rules_oci仓库。

有关如何使用基于go的debian包管理器(当前)生成bazel配置的文档和示例,请参阅./debian_package_manager 有关如何使用bazel包管理器规则(本仓库未使用)的文档和示例,请参阅./package_manager

本仓库中的示例可以在examples目录中找到。

使用Bazel的示例

我们在/examples目录中有一些如何运行一些常见应用程序堆栈的示例。 请参阅以下内容:

请参阅以下内容,了解如何在镜像中完成一些常见任务的示例:

有关这些镜像如何构建和发布的更多信息,请参阅此处。

基本操作系统

Distroless镜像基于Debian 11 (bullseye)和Debian 12 (bookworm)。镜像明确标记有Debian版本后缀(例如-debian11)。指定不带发行版的镜像目前会选择-debian11镜像,但在未来会更改为更新版本的Debian。明确引用发行版可能会很有用,以防止在发布下一个Debian版本时构建中断。

操作系统更新以修复安全问题和CVE

Distroless跟踪上游Debian发布,使用Github actions在有更新时自动生成拉取请求

调试镜像

Distroless镜像是最小的,缺乏shell访问。每种语言的:debug镜像集提供了一个busybox shell用于进入。

例如:

cd examples/python3/

编辑Dockerfile以将最终镜像更改为:debug:

FROM gcr.io/distroless/python3-debian12:debug
COPY . /app
WORKDIR /app
CMD ["hello.py", "/etc"]

然后构建并使用shell入口点启动:

$ docker build -t my_debug_image .

$ docker run --entrypoint=sh -ti my_debug_image

/app # ls
BUILD       Dockerfile  hello.py

注意:如果您使用的镜像已经有标签,例如gcr.io/distroless/java17-debian11:nonroot,请使用标签debug-<existing tag>代替,例如gcr.io/distroless/java17-debian11:debug-nonroot

注意:ldd未安装在基础镜像中,因为它是一个shell脚本,您可以复制它或下载它。

谁在使用Distroless?

如果您的项目使用Distroless,请发送PR来添加您的项目!

社区讨论

编辑推荐精选

TRAE编程

TRAE编程

AI辅助编程,代码自动修复

Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。

AI工具TraeAI IDE协作生产力转型热门
蛙蛙写作

蛙蛙写作

AI小说写作助手,一站式润色、改写、扩写

蛙蛙写作—国内先进的AI写作平台,涵盖小说、学术、社交媒体等多场景。提供续写、改写、润色等功能,助力创作者高效优化写作流程。界面简洁,功能全面,适合各类写作者提升内容品质和工作效率。

AI辅助写作AI工具蛙蛙写作AI写作工具学术助手办公助手营销助手AI助手
问小白

问小白

全能AI智能助手,随时解答生活与工作的多样问题

问小白,由元石科技研发的AI智能助手,快速准确地解答各种生活和工作问题,包括但不限于搜索、规划和社交互动,帮助用户在日常生活中提高效率,轻松管理个人事务。

热门AI助手AI对话AI工具聊天机器人
Transly

Transly

实时语音翻译/同声传译工具

Transly是一个多场景的AI大语言模型驱动的同声传译、专业翻译助手,它拥有超精准的音频识别翻译能力,几乎零延迟的使用体验和支持多国语言可以让你带它走遍全球,无论你是留学生、商务人士、韩剧美剧爱好者,还是出国游玩、多国会议、跨国追星等等,都可以满足你所有需要同传的场景需求,线上线下通用,扫除语言障碍,让全世界的语言交流不再有国界。

讯飞智文

讯飞智文

一键生成PPT和Word,让学习生活更轻松

讯飞智文是一个利用 AI 技术的项目,能够帮助用户生成 PPT 以及各类文档。无论是商业领域的市场分析报告、年度目标制定,还是学生群体的职业生涯规划、实习避坑指南,亦或是活动策划、旅游攻略等内容,它都能提供支持,帮助用户精准表达,轻松呈现各种信息。

AI办公办公工具AI工具讯飞智文AI在线生成PPTAI撰写助手多语种文档生成AI自动配图热门
讯飞星火

讯飞星火

深度推理能力全新升级,全面对标OpenAI o1

科大讯飞的星火大模型,支持语言理解、知识问答和文本创作等多功能,适用于多种文件和业务场景,提升办公和日常生活的效率。讯飞星火是一个提供丰富智能服务的平台,涵盖科技资讯、图像创作、写作辅助、编程解答、科研文献解读等功能,能为不同需求的用户提供便捷高效的帮助,助力用户轻松获取信息、解决问题,满足多样化使用场景。

热门AI开发模型训练AI工具讯飞星火大模型智能问答内容创作多语种支持智慧生活
Spark-TTS

Spark-TTS

一种基于大语言模型的高效单流解耦语音令牌文本到语音合成模型

Spark-TTS 是一个基于 PyTorch 的开源文本到语音合成项目,由多个知名机构联合参与。该项目提供了高效的 LLM(大语言模型)驱动的语音合成方案,支持语音克隆和语音创建功能,可通过命令行界面(CLI)和 Web UI 两种方式使用。用户可以根据需求调整语音的性别、音高、速度等参数,生成高质量的语音。该项目适用于多种场景,如有声读物制作、智能语音助手开发等。

咔片PPT

咔片PPT

AI助力,做PPT更简单!

咔片是一款轻量化在线演示设计工具,借助 AI 技术,实现从内容生成到智能设计的一站式 PPT 制作服务。支持多种文档格式导入生成 PPT,提供海量模板、智能美化、素材替换等功能,适用于销售、教师、学生等各类人群,能高效制作出高品质 PPT,满足不同场景演示需求。

讯飞绘文

讯飞绘文

选题、配图、成文,一站式创作,让内容运营更高效

讯飞绘文,一个AI集成平台,支持写作、选题、配图、排版和发布。高效生成适用于各类媒体的定制内容,加速品牌传播,提升内容营销效果。

热门AI辅助写作AI工具讯飞绘文内容运营AI创作个性化文章多平台分发AI助手
材料星

材料星

专业的AI公文写作平台,公文写作神器

AI 材料星,专业的 AI 公文写作辅助平台,为体制内工作人员提供高效的公文写作解决方案。拥有海量公文文库、9 大核心 AI 功能,支持 30 + 文稿类型生成,助力快速完成领导讲话、工作总结、述职报告等材料,提升办公效率,是体制打工人的得力写作神器。

下拉加载更多