"Distroless"容器镜像
"Distroless"镜像只包含您的应用程序及其运行时依赖项。它们不包含包管理器、shell或任何您在标准Linux发行版中预期找到的其他程序。
自2023年3月起,Distroless镜像使用OCI清单,如果您看到引用application/vnd.oci.image.manifest.v1+json或application/vnd.oci.image.index.v1+json的错误,请将您的容器工具(docker、jib等)更新至最新版本。
为什么我应该使用distroless镜像?
将运行时容器中的内容严格限制在应用程序所必需的范围内是Google和其他长期在生产环境中使用容器的科技巨头采用的最佳实践。这可以改善扫描器(如CVE)的信噪比,并减少建立仅限于您所需内容的出处证明的负担。
Distroless镜像非常小。最小的distroless镜像gcr.io/distroless/static-debian11大约为2 MiB。这大约是alpine(~5 MiB)大小的50%,不到debian(124 MiB)大小的2%。
如何使用distroless镜像?
这些镜像使用bazel构建,但也可以通过其他Docker镜像构建工具使用。
有哪些可用的镜像?
以下是目前由distroless项目发布和更新的镜像(有关支持时间线,请参阅支持政策)
Debian 12
| 镜像 | 标签 | 架构后缀 |
|---|---|---|
| gcr.io/distroless/static-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/base-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/base-nossl-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/cc-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/python3-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64 |
| gcr.io/distroless/java-base-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/java17-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/nodejs18-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/nodejs20-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/nodejs22-debian12 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
Debian 11
| 镜像 | 标签 | 架构后缀 |
|---|---|---|
| gcr.io/distroless/static-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/base-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/base-nossl-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/cc-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, arm, s390x, ppc64le |
| gcr.io/distroless/python3-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64 |
| gcr.io/distroless/java-base-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/java11-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/java17-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64, s390x, ppc64le |
| gcr.io/distroless/nodejs18-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64 |
| gcr.io/distroless/nodejs20-debian11 | latest, nonroot, debug, debug-nonroot | amd64, arm64 |
这些镜像引用了包含所有支持架构引用的镜像索引。可以通过在标签上添加额外的架构后缀直接引用特定架构的镜像,如gcr.io/distroless/static-debian11:latest-amd64
任何其他标签均被视为已弃用,不再更新
如何验证distroless镜像?
所有distroless镜像都由cosign签名。我们建议在构建镜像之前验证您使用的任何distroless镜像。
无密钥
Distroless镜像使用cosign以无密钥模式签名,这是从2023年11月开始唯一支持的机制。您可以使用以下命令验证任何distroless镜像的无密钥签名:
cosign verify $IMAGE_NAME --certificate-oidc-issuer https://accounts.google.com --certificate-identity keyless@distroless.iam.gserviceaccount.com
密钥(已弃用)
使用distroless密钥进行验证已被弃用,推荐使用无密钥方式。这些签名事件不会上传到透明日志。您可以使用distroless公钥验证任何distroless镜像:
2023年11月之后构建的镜像将无法使用cosign.pub进行验证,请使用无密钥签名验证
cat cosign.pub
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWZzVzkb8A+DbgDpaJId/bOmV8n7Q
OqxYbK0Iro6GzSmOzxkn+N2AKawLyXi84WSwJQBK//psATakCgAQKkNTAA==
-----END PUBLIC KEY-----
cosign verify --key cosign.pub $IMAGE_NAME --insecure-ignore-tlog
入口点
请注意,默认情况下distroless镜像不包含shell。这意味着在定义Dockerfile的ENTRYPOINT命令时,必须以vector形式指定,以避免容器运行时添加shell前缀。
这样可以:
ENTRYPOINT ["myapp"]
但这样不行:
ENTRYPOINT "myapp"
出于同样的原因,如果将入口点设置为空向量,CMD命令应该以vector形式指定(见下面的示例)。请注意,默认情况下,static、base和cc镜像的入口点为空向量。包含特定语言运行时的镜像有特定的默认设置(参见:java、nodejs、python3)。
Docker
Docker多阶段构建使得使用distroless镜像变得简单。按照以下步骤开始:
-
为您的应用程序栈选择正确的基础镜像。我们在
gcr.io上发布以下distroless基础镜像:- gcr.io/distroless/static-debian12
- gcr.io/distroless/static-debian11
- gcr.io/distroless/base-nossl-debian12
- gcr.io/distroless/base-nossl-debian11
- gcr.io/distroless/base-debian12
- gcr.io/distroless/base-debian11
- gcr.io/distroless/java11-debian11
- gcr.io/distroless/java17-debian12
- gcr.io/distroless/java17-debian11
- gcr.io/distroless/cc-debian12
- gcr.io/distroless/cc-debian11
- gcr.io/distroless/nodejs18-debian12
- gcr.io/distroless/nodejs18-debian11
- gcr.io/distroless/nodejs20-debian12
- gcr.io/distroless/nodejs20-debian11
- gcr.io/distroless/nodejs22-debian12
- gcr.io/distroless/nodejs22-debian11
- gcr.io/distroless/python3-debian12
-
以下镜像也发布在
gcr.io上,但被视为实验性的,不建议在生产环境中使用: -
编写多阶段Dockerfile。 注意:这需要Docker 17.05或更高版本。
基本思想是您将有一个阶段来构建应用程序制品,并将它们插入到运行时的distroless镜像中。如果您想了解更多,请参阅多阶段构建文档。
Docker示例
这里有一个简单的Go语言示例:
# 首先构建应用程序 FROM golang:1.18 as build WORKDIR /go/src/app COPY . . RUN go mod download RUN CGO_ENABLED=0 go build -o /go/bin/app # 现在将它复制到我们的基础镜像中。 FROM gcr.io/distroless/static-debian11 COPY /go/bin/app / CMD ["/app"]
您可以在这里找到其他示例:
要运行任何示例,请进入相应语言的目录并运行
docker build -t myapp .
docker run -t myapp
要运行Node.js Express应用node-express并暴露容器的端口:
npm install # 安装express及其传递依赖
docker build -t myexpressapp . # 正常的构建命令
docker run -p 3000:3000 -t myexpressapp
这应该会将Express应用暴露到您的localhost:3000
Bazel
有关如何使用bazel生成容器镜像的完整文档,请参阅bazel-contrib/rules_oci仓库。
有关如何使用基于go的debian包管理器(当前)生成bazel配置的文档和示例,请参阅./debian_package_manager 有关如何使用bazel包管理器规则(本仓库未使用)的文档和示例,请参阅./package_manager
本仓库中的示例可以在examples目录中找到。
使用Bazel的示例
我们在/examples目录中有一些如何运行一些常见应用程序堆栈的示例。 请参阅以下内容:
请�参阅以下内容,了解如何在镜像中完成一些常见任务的示例:
有关这些镜像如何构建和发布的更多信息,请参阅此处。
基本操作系统
Distroless镜像基于Debian 11 (bullseye)和Debian 12 (bookworm)。镜像明确标记有Debian版本后缀(例如-debian11)。指定不带发行版的镜像目前会选择-debian11镜像,但在未来会更改为更新版本的Debian。明确引用发行版可能会很有用,以防止在发布下一个Debian版本时构建中断。
操作系统更新以修复安全问题和CVE
Distroless跟踪上游Debian发布,使用Github actions在有更新时自动生成拉取请求。
调试镜像
Distroless镜像是最小的,缺乏shell访问。每种语言的:debug镜像集提供了一个busybox shell用于进入。
例如:
cd examples/python3/
编辑Dockerfile以将最终镜像更改为:debug:
FROM gcr.io/distroless/python3-debian12:debug COPY . /app WORKDIR /app CMD ["hello.py", "/etc"]
然后构建并使用shell入口点启动:
$ docker build -t my_debug_image .
$ docker run --entrypoint=sh -ti my_debug_image
/app # ls
BUILD Dockerfile hello.py
注意:如果您使用的镜像已经有标签,例如
gcr.io/distroless/java17-debian11:nonroot,请使用标签debug-<existing tag>代替,例如gcr.io/distroless/java17-debian11:debug-nonroot。
注意:ldd未安装在基础镜像中,因为它是一个shell脚本,您可以复制它或下载它。
谁在使用Distroless?
- Kubernetes, 从v1.15开始
- Knative
- Tekton
- Teleport
如果您的项目使用Distroless,请发送PR来添加您的项目!
社区讨论
编辑推荐精选
Pixmax
一站式AI短剧�创作平台
Pixmax专注打造下一代“ AI 视觉创作引擎”,整合行业顶尖 AI 大模型、工工业级精准控制及企业级协同管理功能,是全方位的 AI 内容创作平台。
豆包
字节跳动旗下 AI 智能助手
字节跳动旗下 AI 智能助手
GPT Plus|Pro充值
GPT充值
支持 ChatGPT Plus / Pro 充值服务,支付便捷,自动发货,售后可查。
GPT Image 2中文站
AI 图片生成平台
GPT Image 2 是面向用户的 AI 图片生成平台,支持文生图、图生图及多模型创意工作流。
Vecbase
你的AI Agent团队
Vecbase 是专为 AI 团队打造的智能工作空间,将数据管理、模型协作与知识沉淀整合于一处。算法、产品与业务在同一平台无缝协同,让从数据到 AI 应用的落地更快一步。
音述AI
全球首个AI音乐社区
音述AI是全球首个AI音乐社区,致力让每个人都能用音乐表达自我。音述AI提供零门槛AI创作工具,独创GETI法则帮助用户精准定义音乐风格,AI润色功能支持自动优化作品质感。音述AI支持交流讨论、二次创作与价值变现。针对中文用户的语言习惯与文化背景进行专门优化,支持国风融合、C-pop等本土音乐标签,让技术更好地承载人文表达。
QoderWork
阿里Qoder团队推出的桌面端AI智能体
QoderWork 是阿里推出的本地优先桌面 AI 智能体,适配 macOS14+/Windows10+,以自然语言交互实现文件管理、数据分析、AI 视觉生成、浏览器自动化等办公任务,自主拆解执行复杂工作流,数据本地运行零上传,技能市场可无限扩展,是高效的 Agentic 生产力办公助手。
lynote.ai
一站式搞定所有学习需求
不再被海量信息淹没,开始真正理解知识。Lynote 可摘要 YouTube 视频、PDF、文章等内容。即时创建笔记,检测 AI 内容并下载资料,将您��的学习效率提升 10 倍。
AniShort
为AI短剧协作而生
专为AI短剧协作而生的AniShort正式发布,深度重构AI短剧全流程生产模式,整合创意策划、制作执行、实时协作、在线审片、资产复用等全链路功能,独创无限画布、双轨并行工业化工作流与Ani智能体助手,集成多款主流AI大模型,破解素材零散、版本混乱、沟通低效等行业痛点,助力3人团队效率提升800%,打造标准化、可追溯的AI短剧量产体系,是AI短剧团队协同创作、提升制作效率的核心工具。
seedancetwo2.0
能听懂你表达的视频模型
Seedance two是基于seedance2.0的中国大模型,支持图像、视频、音频、文本四种模态输入,表达方式更丰富,生成也更可控。
推荐工具精选
AI云服务特惠
懂AI专属折扣关注微信公众号
最新AI工具、AI资讯
独家AI资源、AI项目落地
微信扫一扫关注公众号