不需Root权限 Google释出容器映像档建立工具Kaniko

Google释出开源创建容器映像档工具Kaniko，让开发者不需要拥有Root权限，也能在Kubernetes丛集环境，用Dockerfile建立容器映像档。

Google表示，用标準的Dockerfile建立容器映像档，通常仰赖Docker守护行程的交互存取，但这个动作需要去Root权限才能执行，而可能会使像Kubernetes丛集这类无法轻易或是安全的公开其Docker守护行程的环境难以建立容器映像档。

为克服这个问题，Google开发了Kaniko，不只能以Dockerfile建立容器映像档后并将其推送至Registry，而且还不需要特殊权限，Google表示，使用者能在标準Kubernetes丛集、Google Kubernetes Engine或是任何没有特殊权限的环境执行Kaniko。

以Kaniko建立容器映像档需要3个参数，Dockerfile、Build Context以及最后推送至Registry的名字。Kaniko会拉取并且解压缩Dockerfile中的基础映像档案，在执行每一行命令后对档案系统快照，透过走访档案系统在使用者空间建立所有快照，并与储存在记忆体的先前状态比较，将得到的差异添加入基础映像档中，并修改相关的元资料。

Kaniko建立容器映像档过程：

在执行完所有命令后，Kaniko会将新建的映像档推送至指定的Registry。而Kaniko的文件解压缩系统之所以要在使用者空间中执行，便是为了避免要求特殊权限，而且不需要Docker守护行程以及控制命令列介面工具参与。

Google提到，现在市面上有Img或是Orca-build类似Kaniko的工具，这两个工具也都是从Dockerfile建立容器映像档，但是皆採取不同的方法以及安全性策略。Img工具是在非特殊权限使用者建立容器映像档，而Kaniko则是Root使用者在非特殊权限环境中建立容器映像档。

Orca-build则是透过綑绑Runc，以核心空间来执行RUN命令，Google说，Kaniko以Root使用者权限，也能达到相同的目的。