大多数情况下,我们构建容器镜像时选择的基础镜像无外乎是 busybox、alpine 和 google/distroless 这几种,这几个基础镜像在云原生的世界很吃香,被广泛应用于各个应用的容器化。
那么问题来了,为什么这几个基础镜像如此受欢迎呢?
我们先来看下这几个基础镜像的大小:
🐳 → podman image ls
REPOSITORY TAG IMAGE ID CREATED SIZE
docker.io/library/alpine latest 14119a10abf4 6 days ago 5.87 MB
docker.io/library/busybox latest 42b97d3c2ae9 13 days ago 1.46 MB
gcr.io/distroless/static latest e0851a4aa136 51 years ago 3.06 MB
可以看到这些镜像的体积都非常小,几乎可以忽略不计。
Busybox#
先启动一个 Busybox 容器进去一探究竟:
这个镜像的大小只有 1.24MB,缺容纳了这么多 GNU 命令,麻雀虽小五脏俱全啊,这到底是怎么做到的?
事实上这一切都要归功于 Multi-Call binary。什么是 Multi-Call binary 呢?
顾名思义,Multi-Call binary 就是多重调用二进制文件,是一个用C语言编写的程序,它允许多次调用来执行二进制文件。它包含了很多函数,每个执行独特动作的函数都可以通过一个名字来调用,这个名字同时也是 Multi-Call binary 的一个符号链接。Multi-Call binary 最好的应用范例便是 Busybox。
Busybox 里面的函数可以通过两种方式来调用:
busybox lsls
例如:
很明显,这些不是我们所熟知的 GNU 二进制文件,因为所有的二进制文件都具有相同的属性,比如大小、日期等。这些都不是独立的二进制文件,而是 Multi-Call binary 每个调用函数的别名。这个 Multi-Call binary 就叫 Busybox。
遗憾的是,这些 Busybox 命令并不完全等同于 GNU 命令,某些命令的某些参数是无法执行的,相当于阉割版。
Alpine#
看完了 Busybox,我们再来看看 Docker Alpine 是怎么做的。
巧了,Docker Alpine 的二进制文件竟然是指向 busybox 二进制文件的,这就很明显了,Alpine 镜像的底层使用了 busybox 二进制文件。除此之外,Alpine 还包含了 apk 包管理器和一些额外的可执行文件,所以 Alpine 镜像的体积才会比 Busybox 大。
Distroless#
Distroless 就不用说了,它来自 Google。该镜像几乎就是空的,只包含应用程序及其运行时所需的依赖,不包含软件包管理器、shell 和其他 GNU 二进制文件,当然还包含一些时区配置和部分 ca-certificates。
可以看到这个镜像中既没有 shell 也没有 bash,为了一探究竟,可以先把镜像保存为 tar 包,然后把 rootfs 解压出来:
🐳 → mkdir image
🐳 → tar xvf distroless.tar.gz -C image/
16679402dc206c982b5552ab8de7d898547100e5468be29d4f67d393c0eadfdb.tar
e0851a4aa13657fc8dcd01e0e5e08cb817123ccb82e2c604b34f9ec9c1755e3f.json
2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c/layer.tar
2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c/VERSION
2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c/json
manifest.json
repositories
🐳 → cd image
🐳 → ls -lh
total 3.0M
-r--r--r--. 1 root root 3.0M Jan 1 1970 16679402dc206c982b5552ab8de7d898547100e5468be29d4f67d393c0eadfdb.tar
drwxr-xr-x. 2 root root 50 Sep 3 17:42 2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c
-r--r--r--. 1 root root 462 Jan 1 1970 e0851a4aa13657fc8dcd01e0e5e08cb817123ccb82e2c604b34f9ec9c1755e3f.json
-r--r--r--. 1 root root 213 Jan 1 1970 manifest.json
-r--r--r--. 1 root root 106 Jan 1 1970 repositories
🐳 → mkdir rootfs
🐳 → tar xf 16679402dc206c982b5552ab8de7d898547100e5468be29d4f67d393c0eadfdb.tar -C rootfs
🐳 → tree rootfs
rootfs
├── bin
├── boot
├── dev
├── etc
│ ├── debian_version
│ ├── default
│ ├── dpkg
│ │ └── origins
│ │ └── debian
│ ├── group
│ ├── host.conf
│ ├── issue
│ ├── issue.net
│ ├── nsswitch.conf
│ ├── os-release
│ ├── passwd
│ ├── profile.d
│ ├── protocols
│ ├── rpc
│ ├── services
│ ├── skel
│ ├── ssl
│ │ └── certs
│ │ └── ca-certificates.crt
│ └── update-motd.d
│ └── 10-uname
├── home
│ └── nonroot
├── lib
├── proc
├── root
├── run
├── sbin
├── sys
├── tmp
├── usr
│ ├── bin
│ ├── games
│ ├── include
│ ├── lib
│ │ └── os-release
│ ├── sbin
│ │ └── tzconfig
│ ├── share
│ │ ├── base-files
│ │ │ ├── dot.bashrc
│ │ │ ├── dot.profile
│ │ │ ├── dot.profile.md5sums
│ │ │ ├── info.dir
│ │ │ ├── motd
│ │ │ ├── profile
│ │ │ ├── profile.md5sums
│ │ │ └── staff-group-for-usr-local
...
...
该镜像只有一层,大小为 3MB,也没有二进制文件,只有一些证书文件和目录。如果向下滚动,还能看到许可证和时区配置。看来 Distroless 采取的是非常极端的手段,直接把不需要的二进制文件全部抛弃了,只留下一个空镜像和部分必需品。
总结#
由此看来,这几个基础镜像如此受欢迎的主要原因就是体积小。镜像越小,漏洞就越少,可攻击面也会大幅减少,而且很容易维护。所以大家构建镜像时尽量选择这些镜像作为基础镜像。