【笔记】没有docker没有root怎么build image?

已于 2022-01-21 00:13:45 修改
阅读量915 收藏
点赞数
分类专栏: cloud Platform 文章标签: docker build kaniko proot 非root
于 2022-01-19 22:39:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/prog_6103/article/details/122590943
版权

这个问题其实还是比较有意思的,这几天又遇到一定要在没有root的机器上不能装docker的情况下build container的image…

几年前尝试过把docker image转化成一个img文件再加上linux kernel binary让虚拟机可以跑这个image。这次看了看,哦,听说Google那边有repo可以在k8s里直接build image,这么神奇?名字是kaniko,于是就去看了下使用方法:

FROM gcr.io/kaniko-project/executor:debug

COPY . /workspace/src
RUN /kaniko/executor \
   --context /workspace/src \
   --dockerfile /workspace/src/Dockerfile \
   --destination dockerrepo.example.com/image-name:version

这样运行完了,image就build出来并且push好了,是不是很简单。
它不就是执行了一个executor么?那现在没有docker,我可以运行它来帮我build image么?
我们docker save这个 executor 的image以后,发现里面主要就2个文件夹,一个是kaniko一个是busybox。那说明executor是static-linked呀,这就是说复制到任意一台linux机器上基本都能跑啊!

二话不说,找了一台机器,把dump出来的kaniko文件夹复制上去,然后开始运行。报错是理所当然的——kaniko的executor会告诉你这不是一个container环境。然后-h发现它有一个--force的flag,那还是赶紧加上运行。本来并没有看过kaniko的工作原理,直接壮着胆子就在机器上用root权限运行起了executor。当!很快executor就又报错了,说没有apt命令…我Dockerfile里的base image是ubuntu,那没有apt命令是几个意思?

这回真的得看看kaniko的源代码了。哪里错了我grep哪里。发现kaniko在pkg/constants.go里写死了几个path,其中有一个是ignore list,指向/proc/self/mountinfo。于是把这些hard code的path从const里拉出来变成var,然后可以通过env var赋值,下载golang编译。能自己指定ROOTDIR了,然后就报mountinfo no such file的错误,于是直接touch一个空文件给它,这下好了,executor终于往后走了。

过了一会,报错说什么网络连接timeout,连接53端口有问题…啥?DNS有问题?我的机器应该没问题呀?于是直接打开 /etc/resolv.conf 确认,发现nameserver 1.1.1.1,难道是我DNS原来设置就有问题么?于是改成知道的一个server IP,继续跑。前面的网络连接过了,后面又来timeout了,再去看/etc/resolv.conf发现它又变成nameserver 1.1.1.1了。oh,no,kaniko原来是直接把image下载下来然后覆盖root…回味着ignore list然后让executor进入trace模式打log,发现原来它是这样的原理:

  • 下载base image,将image的内容填充覆盖到/;跳过ignore list里的
  • 每次RUN都是直接运行当前环境的程序,然后结尾的时候列出当前/下的所有文件,和上一步的比对,看看哪些文件作了增改删;把这些改变记录再layer里
  • 最终得到一个一个layer的snapshot,拼成一个image的,如果设置了--no-push,可以将image通过--tarPath保存成.tar文件。

好了,知道了原理,也知道了我的这台机器即将报废,只要我一退出ssh估计就再也进不来了…

为了让它最后发光发热,我琢磨着不是有一个叫chroot的东西可以改root folder么,改掉了root folder是不是它就只能把东西覆盖到一个指定文件夹了?不过chroot好像需要root权限才能运行…有没有更高级的能再user mode运行的呢?啊,就是它了,proot。进入它的github,发现需要2个主要的dependencies,一个是libarchive,一个是talloc,下载默认编译,出来一个proot可以用了,尝试了一下,哇,可以用了,只要proot -r /path/to/fake/root -0 /kaniko/executor ...就能完美执行executor了。于是开开心心退出ssh让这台VM报废了。

之后我换了一台机器,弄了一个非root用户,把proot静态编译了一遍,这样executor和proot基本上kernel支持的所有linux就都能跑了。跑了一些用户的build case,发现了一些问题,比如在Dockerfile里RUN python就会挂,说什么random init error,这一看就是/dev的问题啊;好在proot给出了解决方案,-b 就能把/dev下需要的设备mount到非root下的dev文件夹里的,比如-b /dev/null:/dev/null -b /dev/urandom:/dev/urandom

这下应该没有什么问题了,后面就是用户遇到什么问题帮他们解决什么问题了,没有docker没有root照样build image…

后记:其实现在的去docker去clone技术已经成熟,在security需求旺盛的当下工具也是无穷的多…比如这个udocker可以login pull create然后一行一行run command,最后save成tar就可以load到docker里了,虽然没有中间层了,但是也是一种方式,没有docker没有root的日子我fake root~

『大模型笔记Docker如何清理Build Cache以及nvidia/cuda官方镜像!
AI新视界
09-26 731
首先,你可以运行以下命令来清理未使用的镜像、容器、卷和构建缓存:docker image prune -a这些命令应该能够帮助你释放下的大量空间。删除构建缓存的主要影响是下次构建镜像时会变慢,但不会对现有的容器或镜像运行产生负面影响。如果你需要空间,且可以接受稍长的构建时间,删除缓存是一个合理的选择。
玩转Docker | 使用Docker部署Xnote笔记工具
最新发布
qq_59334230的博客
04-15 710
玩转Docker | 使用Docker部署Xnote笔记工具
build-image:这是用于运行自动构建的构建映像
08-04
Netlify 构建镜像 此存储库包含用于制作构建映像的工具,Netlify 的持续部署构建机器人使用该工具从连接的 Git 存储库构建站点。 如果您的构建有问题,您还可以使用这些工具在本地进行测试。 可用图像 Netlify 维护多个构建镜像,用于测试新开发以及支持遗留构建。 每个映像使用不同版本的 Ubuntu Linux,包含的语言和软件版本列表略有不同。 以下图片目前可用: trusty - 旧站点的旧版构建映像; 运行 Ubuntu 14.04 和 xenial - 为所有现有站点构建映像; 运行 Ubuntu 16.04 和 focal - 所有新站点的默认构建图像; 运行 Ubuntu 20.04 和 上面的每个图像名称都对应于此存储库中的一个分支。 本地运行 在本地机器上模拟 Netlify 的 buildbot 需要以下内容: 此构建映像存储库的本地克隆 您要测试的
使用docker build构建image
duke_ding2的博客
12-31 2933
使用docker build构建image
Docker学习笔记 - 创建自己的image
编程小白的逆袭日记
05-27 2469
使用Docker是现在最为流行的软件发布方式, 本系列将阐述Docker的基本概念,常用命令,启动脚本和如何生产自己的docker image
build_an_image_dataset
qq_30534935的博客
04-25 452
来源:https://github.com/aymericdamien/TensorFlow-Examples#tutorials """ Build an Image Dataset in TensorFlow. For this example, you need to make your own set of images (JPEG). We will show 2 different ...
Docker build image的基本使用
weixin_48185819的博客
08-11 3944
一、准备项目 我写的是一个爬取某ppt网站的代码,就一个ppt1.py是爬虫,然后,ppts是存放下载的ppt的 二、准备requirement.txt文件 这个是需要哪些python库支持,写好 三、准备Dockerfile文件 需要一个名为Dockerfile的文件,没有后缀,这个创建docker镜像的配置文件 FROM python:3.6 ENV PATH /usr/local/bin:$PATH ADD . /code WORKDIR /code RUN pip.
Docker私人学习笔记
奕辰杰的博客
08-21 1474
docker是基于Go语言实现的开源容器项目。诞生于2013年年初,最初发起者是dotCloud公司。docker开源后受到业界广泛的关注与参与,目前已有80多个相关开源组件项目,逐渐形成了围绕docker容器的完整生态体系。本文主要记录docker起步学习。
Docker项目实战】使用Docker部署NoteFlow笔记工具
jks212454的博客
03-30 531
Docker项目实战】使用Docker部署NoteFlow笔记工具
Docker】个人向Docker基础笔记
Haleyhou的博客
06-28 674
需要注意的是,创建文件映射会牵扯到一个文件所有者的问题,因此创建文件,最好使宿主机用户跟容器用户有一个对应,不然后续在宿主机创建文件,所有者是宿主机用户的uid,容器运行,生成的结果为容器用户的uid,比较麻烦。解决所有者权限问题可以通过Dockerfile来解决,或者在创建好容器后再解决。推荐使用Dockerfile解决,第二种解决方法在下一小节有讲。
sonic-buildimage:为SONiC执行可安装的二进制映像构建的脚本
02-05
主人:创新: 赤脚: Broadcom: Mellanox: Nephos: P4: VS: 201911 :Broadcom: Mellanox: VS: 201811年:创新: Broadcom: Mellanox: VS: 201807年:Broadcom: 赤脚: Mellanox: 201803 :博通: Nephos: Marvell: Mellanox: 声音构建图像 构建SONiC交换机映像 描述 以下是有关如何为网络交换机构建兼容的网络操作系统(NOS)安装程序映像以及如何构建在NOS内部运行的docker映像的说明。 请注意,SONiC映像是按ASIC平台构
spring-boot-maven-plugin的build-image使用
永无止境
09-17 3599
这个插件的作用就是帮你自动生成跨全平台的镜像服务,无需再自己手动写Dockerfile文件了,它是基于buildpacks这个规范,有一系列的生命周期,和maven差不多意思。正常来说,如果你是在互联网的话,它会自动的检测你项目的语言,运行时环境(python、nodejs、jvm)等等,自动从网络下载对应的依赖,一键即可生成,实在是常好用! 它的一些生命周期和配置可以在https://github.com/paketo-buildpacks这里看到,首先spring-b...
Spring boot maven 插件 build image
m0_46596655的博客
03-14 3126
spring boot使用maven 插件打包 docker 镜像
自己build 一个docker hello的image
舌耳的博客
10-31 2244
环境ubuntu 18.04 安装docker sudo apt update sudo apt install docker.io centos yum install docker.io 接下来写一个hello程序 并编译成二进制 #include<stdio.h> int main() { printf("hello\n"); } $gcc hello.c -o...
如何使用DockerFile为Docker容器构建映像?
cunjiu9486的博客
10-06 397
Docker containers run on and made changes to images. Generally, we use existing images which is like a template to create a new container. A lot of Linux distribution and software provide serve Docker...
create docker images
shaowei的博客
09-07 402
构建Docker镜像 通过 Dockerfile 自动构建镜像; docker build -t myimage ./ docker images 尽量精简,不安装多余的软件包。 尽量选择 Docker 官方提供镜像作为基础版本,减少镜像体积。 Dockerfile 开头几行的指令应当固定下来,不建议频繁更改,有效利用缓存。 多条 RUN 命令使用’'连接,有利于理解且方便维护。 通过 -...
spring boot plugin build-image 好用?是不是只差一步?
来啊 快活啊
03-18 1687
#!/bin/bash set -ex docker pull registry.cn-hangzhou.aliyuncs.com/58greenwhale/paketobuildpacks-builder:1.0.25-base docker tag \ registry.cn-hangzhou.aliyuncs.com/58greenwhale/paketobuildpacks-builder:1.0.25-base \ docker.io/paketobuildpacks/builder:base
Docker学习笔记11-使用dockerfile文件和docker build 命令创建镜像
04-18 1189
比起docker commit 更推荐使用Dockerfile文件和docker build创建镜像,Dockerfile 使用基于DSL(Domain Specific Language)语法指令来构建镜像,通过该方法创建镜像更具备可重复性(只要文件存在就可以一直使用该文件创建镜像),透明性(只需知道怎么使用指令能够完成什么操作,不需要知道指令是如何工作的)以及幂等性(无论执行多少次结果都是一样的)。 下面我们来使用Docker创建一个镜像,该镜像包含一个简单的web服务。 我先利用自己本地已存在的镜
Docker 构建镜像(docker build
热门推荐
m0_61433200的博客
07-18 5万+
构建镜像时,所在的目录一定要使用一个干净的目录(最好新建一个),以免目录下有其他文件(构建会加载当前目录下所有文件,导致磁盘爆满)。根据目录下的Dockerfile文件构建镜像。命令用于从Dockerfile构建镜像。...
docker buildx builddocker build 区别?
02-01
docker buildx buildDocker 的一个扩展命令,它提供了更多的功能和选项,相比于普通的 docker build 命令,有以下几个区别: 1. 构建多平台镜像:docker buildx build 允许同时构建多个平台的镜像,可以通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值