go-containerregistry push和docker push的layer_id不一致原因分析

原创 已于 2022-11-04 16:18:37 修改 · 777 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器 #go

于 2022-08-23 16:40:45 首次发布
本文探讨了使用go-containerregistry库push Docker镜像时与docker push产生的layer_id不一致的原因。分析发现,差异源于go-containerregistry在推送过程中对layer.tar进行了额外的压缩,导致计算的sha256值变化。通过调整代码,避免这一额外压缩,可以使layer_id与docker push保持一致。同时,文章还简要介绍了docker pull的原理,包括manifest和image config在其中的作用。

问题

使用go-containerregistry库 push image 时和 docker push image 时的layer hash不一致

### 本地docker push推送镜像 ###
# docker push 192.168.1.1:30500/alpine-java:1.0.0
The push refers to repository [192.168.1.1:30500/alpine-java]
372aafbe5d64: Preparing
5b7df235d876: Preparing

### 拉取go-containerregistry推送到registry的镜像 ###
# docker pull 192.168.1.1:30500/alpine-java:1.0.0
1.0.0: Pulling from alpine-java
4d23f0108a5c: Pull complete
20ec70f16685: Pull complete
Digest: sha256:ee64093d46b7c9f6e9676deca8b8e10ac935ab2970f1b25d24c06182872f265a
Status: Downloaded newer image for 192.168.1.1:30500/alpine-java:1.0.0

分析

  1. 两种方式push后,docker inspect 两个image后,发现内容是一致的,说明其实push的是同一个镜像
    在这里插入图片描述(左边是机器上docker inspect的结果,右边是本地docker inspect结果。rootfs:容器只读的文件系统)

  2. docker save -o两个image的tar包后,解压比对manifest.json文件
    在这里插入图片描述
    (左边是docker push manifest.json,右边是go-containerregistry push manifest.json)

  3. 通过分析go-containerregistry源码发现,推送的image layer_id实际上是对layer.tar做了“再压缩”后计算的sha256 commit到manifest.json导致sha256发生变化。从而导致与docker push的layer sha256不一致。
    在这里插入图片描述(go-containerregistry代码计算的layer_id,与本文docker pull的layer_id一致)

在生成sha256同样的位置,对本地原文件计算sha256。可以得到与在终端使用sha256sum命令计算相同的结果。如下:

file, _ := os.Open("~/xxxxxxx/layer.tar")
hasher := sha256.New()
io.Copy(hasher, file) // 将文件copy到hasher中

// -> 5b7df235d876e8cd4a2a329ae786db3fb152eff939f88379c49bcaaabbaf
fmt.Printf("%x\n",hasher.Sum(nil))
//

分析原因:读取layer.tar文件时,gzip.ReadCloser()函数会在原先layer.tar的基础上做一次“再压缩”。压缩包内容与实际layer.tar不同,导致计算的sha256不同。在这里插入图片描述
修改方案:将gzip.ReadCloser(u) -> u之后,获取到的layer_id与docker push的layer_id保持一致。

原理剖析

那么layer涉及到更深层次有什么原理吗?

  1. 先了解下docker pull的原理
    在这里插入图片描述

  2. 主要需要了解两个配置文件:manifest(对应registry服务端的配置)和 image config(针对本地存储端的)。值得一提的是,这两个不同的配置文件中的layer_id其实是不同的。

​ 简单举例,查看manifest.json关于layer的配置:

......,
"layers": [
   {
    "mediaType": "application/vnd.docker.image.rootfs.diff.tar.gzip",
    "size": 2929796,
    "digest": "sha256:4d23f0108a5cb4d445395bea6210f5c729774ff4d0a2cd5a720b03ed612b71ee"
  },
  {
    "mediaType": "application/vnd.docker.image.rootfs.diff.tar.gzip",
    "size": 89480540,
    "digest": "sha256:20ec70f166851563b685a57685d55a0db6b9ecd92bfd19f6824a91d04d8bf892"
  }
]

​ 再来看看image config里面关于layer存的是什么:

......,
"RootFS": {
  "Type": "layers",
  "Layers": [
    "sha256:5b7df235d876e8cd4a2a329ae786db3fb152eff939f88379c49bcaaabbafbd9c",
    "sha256:372aafbe5d64e05dadee8a2e0ae22e4e7e963106208d58f3572c0724b6553c08"
  ]
},
......
  1. 为什么要拉取两个文件?
  • 当我们去registry上拉layer的时候,拉的格式是根据请求中的media type决定的,因为layer存在本地的时候未压缩的,或者是已解压过的。
  • 为了在网络上传输的更快,所有media type一般会指定压缩格式,如.tar。
  • 结合docker pull可以发现。当docker发现本地不存在某个layer的时候,就会通过manifest.json里面的digest + mediaType(如上述配置中的application/vnd.docker.image.rootfs.diff.tar.gzip)去 docker registry 获取 image config 中的 diff_ids,再在本地找这些layer,还是拿不到就会去拿tar包解压缩。
  1. 每个 diffid 对应一个 layer tar 包的 sha256,可以利用sha256sum对layer.tar包进行分析
    在这里插入图片描述
    可以发现最终解析出来的值就是rootfs下的layer_id
    在这里插入图片描述
    参考链接:
    https://zhuanlan.zhihu.com/p/95900321
    https://github.com/google/go-containerregistry
4-Docker命令之docker push
z19861216的博客
12-13 4898
4-Docker命令之docker push
简述Docker Image Docker Layer (层)有什么同 ?
weixin_39291964的博客
07-14 335
Docker镜像(Image)与层(Layer)是Docker架构的核心概念,二者关系密切但有本质区别:镜像是由多个只读层叠加组成的完整可执行模板,而每个层对应文件系统的增量变更。层可跨镜像共享以节省空间,而镜像作为整体定义了完整的运行环境。这种分层结构通过联合文件系统实现,既保证了镜像可变性,又通过复用机制优化了存储传输效率。理解两者的区别有助于优化Dockerfile设计容器管理。
在Pod中使用Golang构建并推送镜像镜像仓库
奇华资料的博客
03-15 784
注意,这个示例假设你的Dockerfile在Pod的文件系统中。如果你的Dockerfile在其他地方,你可能需要修改这个示例来读取你的Dockerfile。在Pod中使用Golang构建并推送镜像镜像仓库,你可以使用。替换为你的Dockerfile的路径,将。替换为你的镜像仓库的用户名密码。替换为你要推送的镜像的引用,将。库来构建镜像,然后使用。在这个示例中,你需要将。
go-containerregistry支持 harbor的 catalog,其实是harbor的问题
guoguangwu的专栏
11-23 759
go-containerregistry支持 harbor的 catalog。其实是harbor自身的bug。如果使用token的方式来获取所有仓库列表会失败。harbor官方未作回应。https://github.com/goharbor/harbor/issues/17834
Docker安全最佳实践
Docker的专栏
12-10 827
随着Docker技术近年来的高速发展广泛使用,众多互联网公司陆续采用Docker技术作为核心业务的Paas层支撑。那么势必在Docker技术下会给安全技术体系带来新的挑战。此文章总结了...
go-containerregistry 将crane 保存的tar导入docker daemon 中
guoguangwu的专栏
07-10 569
go-containerregistry 将crane 保存的tar导入docker daemon 中
docker镜像ID之间的关系计算-layerID-diffID-chainID-cacheID的计算
任我行的博客
03-07 631
Overlay2比overlay更加高效,因为overlay2优化了inode的利用。layerIDdiffID的对应关系在diffid-by-digestv2metadata-by-diffidchainID主要存在于/var/lib/docker/image/overlay2/layerdb/sha256/,cacheID主要存在于/var/lib/docker/overlay2/
go-containerregistry 实战篇之容器镜像下载
脚踏实地,不断突破自我,每天有收获就OK
03-05 1612
go-containerregistry 实战篇之容器镜像下载 一、库介绍 go-containerregistrygoogle 公司开源的用于处理容器镜像golang客户端库,它提供了一个对镜像的操作接口,这个接口背后的资源可以是 镜像仓库的远程资源,镜像的tar包,甚至是 docker daemon 进程。 它主要基于同名的python项目 下面我们就简单介绍下如何使用这个项目来完成我们的目标—— 在代码中解析镜像。 库提供了crane远程远程镜像进行交互。 二、crane初体验 2、1 c
Docker push镜像失败解决方法
09-30
主要介绍了Docker push镜像失败解决方法的相关资料,这里对解决push 镜像失败提供了解决方案,需要的朋友可以参考下
【论文笔记】DupHunter: Flexible High-Performance Deduplication for Docker Registries
weixin_44380117的博客
07-03 531
docker镜像的重复数据删除
go-containerregistry:用于处理容器注册表的GoCLI
02-05
去集装箱登记处 介绍 这是一个用于处理容器注册表的golang库。 它主要基于的。 下图显示了此库处理的主要类型。 哲学 该库的总体设计理念是定义表示资源变视图(例如 , , )的接口,这些视图可以由各种媒介(例如, ,等)支持。 为了补充这些可变的视图,我们支持功能性突变,这些突变会产生所产生资源的新的可变视图(例如 )。 最终目标是提供一组通用的原语,这些原语可以有效且轻松地完成异常强大的任务。 资源视图变异都可能是懒惰的,渴望的,备忘的,并且大多数都基于我们在野外看到的工具(例如,将新映像作为压缩的tarball从磁盘写入注册表)针对通用路径进行了优化。 实验 随着时间
docker镜像的分层理解,大白话跟你讲
weixin_47556601的博客
03-12 2117
大家好,今天分享docker镜像的分层理解 我们拉取Redis 镜像 [root@localhost ~]# docker pull redis Using default tag: latest latest: Pulling from library/redis a2abf6c4d29d: Pull complete c7a4e4382001: Pull complete 4044b9ba67c9: Pull complete c8388a79482f: Pull complete 413c8b
go-containerregistry 给本地镜像打tag
guoguangwu的专栏
07-10 394
go-containerregistry 本地镜像 tag
go-containerregistry 从私有仓库拉取镜像
guoguangwu的专栏
07-09 672
go-containerregistry crane 从私有仓库拉取镜像
go-containerregistry 从私有仓库拉取镜像, https协议
guoguangwu的专栏
07-11 993
go-containerregistry 从私有仓库拉取镜像, https协议
Google Go Container Registry 使用指南
gitblog_00153的博客
10-11 541
Google的`go-containerregistry`库是针对容器注册表工作的Go语言工具集。以下是对项目主要目录及其内容的概述: - **[cmd]**: 包含各种命令行工具的实现,如`crane`, `gcrane`, `krane`等,这些工具用于与容器注册表交互。 - **[images]**: 有关处理镜像的模块,可能包含了镜像构建、解析相关的逻辑。 - **[internal...
docker的小秘密--digests仓库校验码(如何修改digests)
zsk_john的技术分享专用博客
06-28 2959
docker镜像的下载上传相信很多同学都非常熟悉,但,其中的一些细节我想可能未必清楚,下面是一个pull镜像示例:下载的镜像是httpd最新版,其中的第五行说的是确认校验码,这个数据层对应的ID是dcc469,这个是pull的过程,pull结束是这样的: 上图倒数第三行就是仓库校验码 digest了,那么这个digest是多少位的呢?仅仅是64位,相信的同学可以数数看,哈哈。经过以上的pull操作,我们已经将httpd这个镜像下载到本地了,我们可以查看一下镜像的详细信息了: 我的机器里有很多的镜像
GoCN酷Go推荐」go-containerregistry 实战篇之容器镜像下载
Go中国
03-15 1192
一、库介绍go-containerregistrygoogle 公司开源的用于处理容器镜像golang客户端库,它提供了一个对镜像的操作接口,这个接口背后的资源可以是 镜像仓库的远...
Docker push似乎更新image =>层已经存在 [英]Docker push seems not to update image => Layer already exists
weixin_44019542的博客
12-12 9376
I'm building an elasticsearch image with Dockerfile: 我正在用Dockerfile构建一个弹框搜索图像: FROM alpine:latest RUN apk update \     && apk upgrade \     && apk add curl wget bash openssl openjdk...
nexus docker push 缓存在哪ec08bc6118a2:Layer already exists
最新发布
12-02
### Nexus Docker Push出现"ec08bc6118a2:Layer already exists"错误时的缓存位置分析 当使用Nexus Repository Manager进行Docker推送时,出现`ec08bc6118a2:Layer already exists`错误表示该镜像层已存在于仓库中...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值