首页>行情 >内容

不需Root权限 Google释出容器映像档建立工具Kaniko

行情2021-03-01 14:04:55
最佳答案

Google释出开源创建容器映像档工具Kaniko,让开发者不需要拥有Root权限,也能在Kubernetes丛集环境,用Dockerfile建立容器映像档。

Google表示,用标準的Dockerfile建立容器映像档,通常仰赖Docker守护行程的交互存取,但这个动作需要去Root权限才能执行,而可能会使像Kubernetes丛集这类无法轻易或是安全的公开其Docker守护行程的环境难以建立容器映像档。

为克服这个问题,Google开发了Kaniko,不只能以Dockerfile建立容器映像档后并将其推送至Registry,而且还不需要特殊权限,Google表示,使用者能在标準Kubernetes丛集、Google Kubernetes Engine或是任何没有特殊权限的环境执行Kaniko。

以Kaniko建立容器映像档需要3个参数,Dockerfile、Build Context以及最后推送至Registry的名字。Kaniko会拉取并且解压缩Dockerfile中的基础映像档案,在执行每一行命令后对档案系统快照,透过走访档案系统在使用者空间建立所有快照,并与储存在记忆体的先前状态比较,将得到的差异添加入基础映像档中,并修改相关的元资料。

Kaniko建立容器映像档过程:

在执行完所有命令后,Kaniko会将新建的映像档推送至指定的Registry。而Kaniko的文件解压缩系统之所以要在使用者空间中执行,便是为了避免要求特殊权限,而且不需要Docker守护行程以及控制命令列介面工具参与。

Google提到,现在市面上有Img或是Orca-build类似Kaniko的工具,这两个工具也都是从Dockerfile建立容器映像档,但是皆採取不同的方法以及安全性策略。Img工具是在非特殊权限使用者建立容器映像档,而Kaniko则是Root使用者在非特殊权限环境中建立容器映像档。

Orca-build则是透过綑绑Runc,以核心空间来执行RUN命令,Google说,Kaniko以Root使用者权限,也能达到相同的目的。

免责声明:本文由用户上传,如有侵权请联系删除!