摘要:容器鏡像同樣作為開發(fā)人員或是運維人員的產(chǎn)出物��,對其進行審查也是必要的�����。這件事宜早不宜遲��,對于企業(yè)與個人而言均百利而無一害�。
本文節(jié)選自我的博客文章:構(gòu)建可靠、安全���、最小化的 Docker 鏡像: 原理與實踐.
正如Code Review一樣���,代碼審查可以大大提升企業(yè)項目的質(zhì)量。容器鏡像同樣作為開發(fā)人員或是運維人員的產(chǎn)出物����,對其進行審查也是必要的。
雖然我們可以通過docker命令結(jié)合文件系統(tǒng)瀏覽的方式進行容器鏡像的審查��,但其過程需要人工參與�,很難做到自動化,更別提將鏡像審查集成到CI過程中了����。但一個好的工具可以幫我們做到這點���。
向大家推薦一個非常棒的開源項目dive,具體安裝請參考其項目頁�。它不但可以方便我們查詢具體鏡像層的詳細信息��,還可以作為CI持續(xù)集成過程中的鏡像審查之用�。使用它可以大大提升我們審查鏡像的速度,并且可以將這個過程做成自動化��。
該項目的具體動態(tài)操作圖示如下:
如果作為鏡像審查之后���,可以進行如下命令操作:
$: CI=true dive
Fetching image... (this can take a while with large images)
Parsing image...
Analyzing image...
efficiency: 95.0863 %
wastedBytes: 671109 bytes (671 kB)
userWastedPercent: 8.2274 %
Run CI Validations...
Using default CI config
PASS: highestUserWastedPercent
SKIP: highestWastedBytes: rule disabled
PASS: lowestEfficiency
從輸出信息可以得到很多有用的信息��,集成到CI過程也就非常容易了����。 dive本身就提供了.dive-ci作為項目的CI配置:
rules:
# If the efficiency is measured below X%, mark as failed.
# Expressed as a percentage between 0-1.
lowestEfficiency: 0.95
# If the amount of wasted space is at least X or larger than X, mark as failed.
# Expressed in B, KB, MB, and GB.
highestWastedBytes: 20MB
# If the amount of wasted space makes up for X% or more of the image, mark as failed.
# Note: the base image layer is NOT included in the total image size.
# Expressed as a percentage between 0-1; fails if the threshold is met or crossed.
highestUserWastedPercent: 0.20
集成到CI中��,增加以下命令即可:
$: CI=true dive
鏡像審查和代碼審查類似�,是一件開始抵制,開始后就欲罷不能的事�����。這件事宜早不宜遲,對于企業(yè)與個人而言均百利而無一害�����。
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/27905.html
