linux - 如何找到正在运行的 Docker 容器的所有镜像标签？

Question

我在服务器上运行了一堆 Docker 容器，我对所有容器都使用了“最新”标签或根本没有标签。现在我想卡住图像版本，但我不知道我什么时候提取这些图像，所以我不知道“最新”指的是哪个版本。 docker ps 只是告诉我容器使用“最新”或没有标签，如下所示:

# docker ps
CONTAINER ID        IMAGE                  COMMAND                  CREATED             STATUS              PORTS               NAMES
371d6675888b        node:latest            "npm start"              6 days ago          Up 2 hours                              project_xyz_1
ca5a75425a34        selenium/node-chrome   "/usr/bin/nohup go..."   6 days ago          Up 2 hours                              project_xyz-chrome_1
...

我使用的所有图像都是来自 docker hub 的公共(public)图像。

我想也许我可以使用 docker ps 为所有容器显示的十六进制 ID，但后来我意识到这些 ID 是容器 ID，而不是图像 ID。

是否有可能获取所有正在运行的容器的图像 ID/哈希值，然后扫描所有匹配的标签或类似的东西？

Docker 版本:18.09.1，构建 4c52b90

编辑:

所以有一些答案显示了如何获取图像的 ID(摘要)，但我需要以某种方式找到这些图像的实际标签。在做了一些研究之后，我发现 docker hub 有一个 API，并且有一种方法可以获取给定图像的所有标签，并且有一种方法可以获取给定图像+标签的摘要。在查看了 API 和来自 stackoverflow 的大量示例之后，我想出了这个:(它还包括获取本地镜像摘要所需的代码，取自以下答案)

function getDigestByImageNameWithTag () {
    TARGET_IMAGE_NAME_WITH_TAG="$1" # works with and without tag
    docker image inspect --format '{{index .RepoDigests 0}}' "$TARGET_IMAGE_NAME_WITH_TAG" | cut -d '@' -f2
}

function getTagsByDigest () {
    TARGET_IMAGE_NAME="$1"
    TARGET_DIGEST="$2"

    # prepend the image name with "library/" if it doesn't contain a slash
    if [[ $TARGET_IMAGE_NAME != *"/"* ]]; then
        TARGET_IMAGE_NAME="library/$TARGET_IMAGE_NAME"
    fi

    # get authorization token for the given image name
    TOKEN=$(curl -s "https://auth.docker.io/token?service=registry.docker.io&scope=repository:$TARGET_IMAGE_NAME:pull" | jq -r .token)

    # find all tags for the given image name
    ALL_TAGS=$(curl -s -H "Authorization: Bearer $TOKEN" https://index.docker.io/v2/$TARGET_IMAGE_NAME/tags/list | jq -r .tags[])

    # itate over all these tags
    for TAG in ${ALL_TAGS[@]}; do
        # get image digest
        DIGEST=$(curl -s -D - -H "Authorization: Bearer $TOKEN" -H "Accept: application/vnd.docker.distribution.manifest.v2+json" https://index.docker.io/v2/$TARGET_IMAGE_NAME/manifests/$TAG | grep Docker-Content-Digest | cut -d ' ' -f 2)
        # if the tag matches the given digest
        if [[ $TARGET_DIGEST = $DIGEST ]]; then
            # "return" the tag
            echo "$TAG"
        fi
    done
}

function getContainerImageNames () {
    docker inspect $(docker ps  | awk '{print $2}' | grep -v ID) | jq .[].RepoTags | grep -v "\[" | grep -v "\]" | grep " " | cut -d '"' -f2 | cut -d '/' -f2-
}


# get all image names of all local containers
IMGS_WITH_TAG=$(getContainerImageNames)
# iterate of those image names
for IMAGE_NAME_WITH_TAG in ${IMGS_WITH_TAG[@]}; do
    # get the digest of the current iteration's IMAGE_NAME_WITH_TAG
    DIGEST=$(getDigestByImageNameWithTag $IMAGE_NAME_WITH_TAG)
    echo "TARGET_DIGEST: $DIGEST" 
    # get the raw image name without the tag
    IMAGE_NAME=$(echo "$IMAGE_NAME_WITH_TAG" | cut -d ':' -f1)
    # find all tags for this image that have the same digest
    MATCHING_TAGS=$(getTagsByDigest $IMAGE_NAME $DIGEST)
    echo "Image: $IMAGE_NAME_WITH_TAG"
    echo "Image digest: $IMAGE_NAME"
    echo "Image tags with same digest: "
    echo "$MATCHING_TAGS"
    echo "-----------------------------"
done

不幸的是，它似乎需要很长时间才能完成。我不确定我是否做错了什么，但这是我能想到的最好的办法。

关于如何使其正常工作的任何想法？

Answer 1

我认为这是一种更好的方法，无需检查容器，因为 docker ps 已经打印了创建容器的 docker 图像标签表单。

docker inspect $(docker ps  | awk '{print $2}' | grep -v ID) | jq .[].RepoTags

所以首先这会获取正在运行的容器列表，然后检查正在运行的容器使用的每个图像，并使用 jq 获取该图像的所有 repo 标签。

这是输出。

更新:

这就是你使用 skopeo 的方法，你可以使用 API 但会付出努力，那么为什么如果你有 skopeo

你不需要安装skopeo你可以运行容器然后或者删除一旦得到结果，或者你可以安装，脚本支持两者

running_container=$(docker ps  | awk '{print $2}' | grep -v ID) 
echo "running container: $running_container"
for image in $running_container
do
local_tag=$(echo "$image" | awk -F":" '{print $2}')
if [ -z $local_tag ]; then
# if tag is empty then tag is latest
local_tag="latest"
image="$image":"$local_tag"
fi
local_digest=$(docker inspect $image | jq '.[].RepoDigests[]' | awk -F"@" '{print $2}' | tr -d '"')
echo "Local digest is:" $local_digest
remote_digest=$(docker run --rm --env image=$image alexeiled/skopeo:latest ash -c "skopeo inspect docker://docker.io/$image" | jq '.Digest' | tr -d '"' )
echo $remote_digest 

# option2 install the skopeo on your local system
# remote_digest=$(skopeo inspect docker://docker.io/$image | jq '.Digest' | tr -d '"')
echo "Remote digest is : "$remote_digest

if [ "${local_digest}" == "${remote_digest}" ]; then
echo "local image is up to date with remote"
else
echo "Remote image is updated; please run docker pull $image"
fi
done