- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
有人声称可以在拉取镜像后提取 Docker 镜像的构建参数 (example)。
我已经使用以下 Dockerfile 对此进行了测试:
FROM scratch
ARG SECRET
ADD Dockerfile .
当我构建图像时:
$ docker build -t build-args-test --build-arg SECRET=12345 .
并按照文章中的规定检查它:
$ docker image history --no-trunc build-args-test
IMAGE CREATED CREATED BY SIZE COMMENT
sha256:(hash omitted) 17 minutes ago ADD Dockerfile . # buildkit 43B buildkit.dockerfile.v0
<missing> 17 minutes ago ARG SECRET 0B buildkit.dockerfile.v0
我看不到实际的构建参数 (12345
)。
有没有办法从图像中提取构建参数?
如果图像不是在我的机器上构建而是从存储库中提取,答案会有所不同吗?
我知道 Docker build secret功能。但是,我特别询问 ARG
。
最佳答案
视情况而定。
如果您使用 secret ,它将显示在使用该 secret 的图像层中。由于 ADD 步骤没有使用 ARG,因此您没有看到它,但是每个 RUN 步骤都会将 ARG 值作为环境变量注入(inject),您会得到如下内容:
$ cat df.secret-arg
FROM alpine:latest
ARG SECRET
RUN echo doing something with a secret
$ DOCKER_BUILDKIT=0 docker build -t test-secret-arg --build-arg SECRET=password123 -f df.secret-arg .
Sending build context to Docker daemon 22.02kB
Step 1/3 : FROM alpine:latest
---> 49f356fa4513
Step 2/3 : ARG SECRET
---> Using cache
---> 7181367a28e6
Step 3/3 : RUN echo doing something with a secret
---> Running in a46ee00e682a
doing something with a secret
Removing intermediate container a46ee00e682a
---> e3eeea5f5d6d
Successfully built e3eeea5f5d6d
Successfully tagged test-secret-arg:latest
$ docker history test-secret-arg
IMAGE CREATED CREATED BY SIZE COMMENT
e3eeea5f5d6d 6 seconds ago |1 SECRET=password123 /bin/sh -c echo doing … 0B
7181367a28e6 33 seconds ago /bin/sh -c #(nop) ARG SECRET 0B
49f356fa4513 3 months ago /bin/sh -c #(nop) CMD ["/bin/sh"] 0B
<missing> 3 months ago /bin/sh -c #(nop) ADD file:7119167b56ff1228b… 5.61MB
在那里,您可以使用 echo 命令在顶层看到 SECRET=password123
。我在“使用该 secret 的图像层”条件中掩盖了很多东西,因为存在诸如多阶段构建之类的东西。但风险是,如果你弄错了, secret 就会泄露。
将图像推送到注册表也无济于事:
$ docker tag test-secret-arg localhost:5000/test:secret-arg
$ docker push localhost:5000/test:secret-arg
The push refers to repository [localhost:5000/test]
8ea3b23f387b: Mounted from test/layer-bot
secret-arg: digest: sha256:969350bede26545fd35b53abed429ca0ecf2fc8717435a2edd842b4c9572b5bc size: 528
$ regctl image config localhost:5000/test:secret-arg
{
"created": "2021-06-30T01:06:04.766667999Z",
"architecture": "amd64",
"os": "linux",
"config": {
"Env": [
"PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
],
"Cmd": [
"/bin/sh"
]
},
"rootfs": {
"type": "layers",
"diff_ids": [
"sha256:8ea3b23f387bedc5e3cee574742d748941443c328a75f511eb37b0d8b6164130"
]
},
"history": [
{
"created": "2021-03-31T20:10:06.686359124Z",
"created_by": "/bin/sh -c #(nop) ADD file:7119167b56ff1228b2fb639c768955ce9db7a999cd947179240b216dfa5ccbb9 in / "
},
{
"created": "2021-03-31T20:10:06.934368604Z",
"created_by": "/bin/sh -c #(nop) CMD [\"/bin/sh\"]",
"empty_layer": true
},
{
"created": "2021-06-30T01:05:37.908964654Z",
"created_by": "/bin/sh -c #(nop) ARG SECRET",
"empty_layer": true
},
{
"created": "2021-06-30T01:06:04.766667999Z",
"created_by": "|1 SECRET=password123 /bin/sh -c echo doing something with a secret",
"empty_layer": true
}
]
}
(请注意,regctl 可从 my repo here 获得,但这只是进行注册表 API 调用。拉取图像并在另一台机器上检查仍会显示构建参数。)
一般来说,不要在你的 docker 镜像构建中使用 secrets,这是一种代码味道。通常,CI 系统应该使用 secret 检查代码,并且图像中应该包含二进制文件和库,而不是您想要保密的数据或配置。数据属于一个卷,配置以多种方式注入(inject)容器(配置文件挂载、 secret 、环境变量等,但在容器中,而不是在镜像中)。有关使用 secret 的更多方法,请参阅 this answer至 What is the best way to pass AWS credentials to a Docker container? .
关于docker - 可以从中提取用于 Docker 镜像的构建参数吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68187291/
我在使用 gradle 构建一个特定应用程序时遇到问题。该应用程序可以用 eclipse 编译和构建,它在平板电脑上运行良好。当我尝试使用 Gradle 构建它时,“compileDebugJava”
我有一个 C 程序,是一位离开的开发人员留给我的。我试图弄清楚他到底在做什么,并将软件重新安排成更合乎逻辑的东西,这样我就可以更轻松地构建它。我正在使用 CMake 构建,而他使用的是 Make。 有
我刚开始阅读“Pro Spring MVC with web flow”,它附带了一个我想遵循的代码示例。 我要什么 - 我想像书中那样构建应用程序,使用 Gradle 有什么问题 - 我没用过 Gr
我希望有人已经这样做了。我正在尝试为我的一个 angular 2 项目在 teamcity 中建立一个连续的构建。在做了一些研究之后,我按照以下步骤操作: 构建步骤 1:为 teamcity 安装 j
我有一个旧的 ASP.Net 网站解决方案,看起来像: 当我在 Visual Studio 中构建解决方案时,我得到以下输出: ------ Build started: Project: C:\..
我使用 gulp-usref、gulp-if、gulp-uglify、gulp-csso 和 gulp-file-include 来构建我的应用程序。除了 HTML 保持原样外,构建中的一切都运行良好
我正在使用 ionic2 开发内部移动应用程序。我可以通过以下方式成功构建 ios: ionic build ios and ionic build ios --prod 但当我这样做时,它一直失败
我是一位经验丰富的 .NET/C# 开发人员,但对这里的几乎所有技术/库(包括 SQL/DB 工作)都是新手。 我正在开发一个具有 Azure/Entity Framework .NET 后端和可移植
我正在使用 VS 2008。我可以使用 IDE 成功编译我的解决方案。但是,当我尝试使用 devenv.com 构建它时,它失败并提示“错误:找不到项目输出组'(无法确定名称)的输出”。该组、其配置或
版本: ember.js 2.7,ember-data 2.7 ember-cli 2.9.1//同样适用于 ember-cli 2.7 node 6.9.1, npm 3.10.9//也适用于 no
我第一次修补 AzureDevops,设置一些 CI 任务。 我有一个公共(public)存储库(开源)和一个包含 3 个 F# 项目的解决方案(.sln)。该解决方案在 Windows/Mac/Li
目前 5.1.5 版本或 STLPort CVS 存储库似乎仍不支持 VS2008。如果有人已经完成了这项工作,那么如果可能的话,分享会很有用:) 同样,了解 VS2005 或 2008 x64 构建
我有一个 Python 2.7 项目,到目前为止一直使用 gfortran 和 MinGW 来构建扩展。我使用 MinGW,因为它似乎支持 Fortran 代码中的写入语句和可分配数组,而 MSVC
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。 9年前关闭。 Improve this que
我想知道为什么在 Zimbra Wiki 中只列出了构建过程的特定平台。这意味着不可能在其他 Linux 发行版上构建 Zimbra? Zimbra 社区选择一个特殊的 Linux 发行版来构建 Zi
我将在 Swift 中构建一个 CLI 工具。我用这个命令创建了项目 swift package init --type executable当我构建我的项目并解析 时读取别名 Xcode 中的参数并
我想为添加到 docker 镜像的文件设置文件权限。我有这个简单的 Dockerfile: FROM ubuntu:utopic WORKDIR /app RUN groupadd -g 1000 b
当我使用 clBuildProgram在我的 OpenCl 代码中,它失败并显示错误代码 -11,没有任何日志信息。 这是我的代码的样子: ret = clBuildProgram(program
我有一个底部导航栏,它有一个列表页面,该页面使用状态块。 class _MainPageState extends State { int _index = 0; @override Wi
我在本地计算机上使用Jenkins(Jenkins URL未通过Internet公开,但该计算机上已启用Internet。) 我进行了以下配置更改: 在Jenkins工具上安装了Git和Github插
我是一名优秀的程序员,十分优秀!