Alpine?Distroless?Busybox?到底谁才是容器镜像的瑞士军刀?

时间:2022-09-04 09:19:18

Alpine?Distroless?Busybox?到底谁才是容器镜像的瑞士军刀?

大多数情况下,我们构建容器镜像时选择的基础镜像无外乎是 busybox、alpine 和 google/distroless 这几种,这几个基础镜像在云原生的世界很吃香,被广泛应用于各个应用的容器化。

那么问题来了,为什么这几个基础镜像如此受欢迎呢?

我们先来看下这几个基础镜像的大小:

  1.  → podman image ls  
  2. REPOSITORY                 TAG         IMAGE ID      CREATED       SIZE 
  3. docker.io/library/alpine   latest      14119a10abf4  6 days ago    5.87 MB 
  4. docker.io/library/busybox  latest      42b97d3c2ae9  13 days ago   1.46 MB 
  5. gcr.io/distroless/static   latest      e0851a4aa136  51 years ago  3.06 MB 

可以看到这些镜像的体积都非常小,几乎可以忽略不计。

Busybox

先启动一个 Busybox 容器进去一探究竟:

Alpine?Distroless?Busybox?到底谁才是容器镜像的瑞士军刀?

这个镜像的大小只有 1.24MB,缺容纳了这么多 GNU 命令,麻雀虽小五脏俱全啊,这到底是怎么做到的?

事实上这一切都要归功于 Multi-Call binary。什么是 Multi-Call binary 呢?

顾名思义,Multi-Call binary 就是多重调用二进制文件,是一个用C语言编写的程序,它允许多次调用来执行二进制文件。它包含了很多函数,每个执行独特动作的函数都可以通过一个名字来调用,这个名字同时也是 Multi-Call binary 的一个符号链接。Multi-Call binary 最好的应用范例便是 Busybox。

Busybox 里面的函数可以通过两种方式来调用:

  • busybox ls
  • ls

例如:

Alpine?Distroless?Busybox?到底谁才是容器镜像的瑞士军刀?

Busybox 容器

很明显,这些不是我们所熟知的 GNU 二进制文件,因为所有的二进制文件都具有相同的属性,比如大小、日期等。这些都不是独立的二进制文件,而是 Multi-Call binary 每个调用函数的别名。这个 Multi-Call binary 就叫 Busybox。

遗憾的是,这些 Busybox 命令并不完全等同于 GNU 命令,某些命令的某些参数是无法执行的,相当于阉割版。

Alpine

看完了 Busybox,我们再来看看 Alpine 是怎么做的。

Alpine?Distroless?Busybox?到底谁才是容器镜像的瑞士军刀?

巧了,Alpine 的二进制文件竟然是指向 busybox 二进制文件的,这就很明显了,Alpine 镜像的底层使用了 busybox 二进制文件。除此之外,Alpine 还包含了 apk 包管理器和一些额外的可执行文件,所以 Alpine 镜像的体积才会比 Busybox 大。

Distroless

Distroless 就不用说了,它来自 Google[1]。该镜像几乎就是空的,只包含应用程序及其运行时所需的依赖,不包含软件包管理器、shell 和其他 GNU 二进制文件,当然还包含一些时区配置和部分 ca-certificates。

Alpine?Distroless?Busybox?到底谁才是容器镜像的瑞士军刀?

可以看到这个镜像中既没有 shell 也没有 bash,为了一探究竟,可以先把镜像保存为 tar 包,然后把 rootfs 解压出来:

  1. → mkdir image 
  2. → tar xvf distroless.tar.gz -C image/ 
  3. 16679402dc206c982b5552ab8de7d898547100e5468be29d4f67d393c0eadfdb.tar 
  4. e0851a4aa13657fc8dcd01e0e5e08cb817123ccb82e2c604b34f9ec9c1755e3f.json 
  5. 2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c/layer.tar 
  6. 2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c/VERSION 
  7. 2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c/json 
  8. manifest.json 
  9. repositories 
  10.  
  11. → cd image 
  12. → ls -lh 
  13. total 3.0M 
  14. -r--r--r--. 1 root root 3.0M Jan  1  1970 16679402dc206c982b5552ab8de7d898547100e5468be29d4f67d393c0eadfdb.tar 
  15. drwxr-xr-x. 2 root root   50 Sep  3 17:42 2e18de03719583329b7fa8374130e57cc7cddf2b5a487fe4a4988622ca60575c 
  16. -r--r--r--. 1 root root  462 Jan  1  1970 e0851a4aa13657fc8dcd01e0e5e08cb817123ccb82e2c604b34f9ec9c1755e3f.json 
  17. -r--r--r--. 1 root root  213 Jan  1  1970 manifest.json 
  18. -r--r--r--. 1 root root  106 Jan  1  1970 repositories 
  19.  
  20. → mkdir rootfs 
  21. → tar xf 16679402dc206c982b5552ab8de7d898547100e5468be29d4f67d393c0eadfdb.tar -C rootfs 
  22.  
  23. → tree rootfs 
  24. rootfs 
  25. ├── bin 
  26. ├── boot 
  27. ├── dev 
  28. ├── etc 
  29. │   ├── debian_version 
  30. │   ├── default 
  31. │   ├── dpkg 
  32. │   │   └── origins 
  33. │   │       └── debian 
  34. │   ├── group 
  35. │   ├── host.conf 
  36. │   ├── issue 
  37. │   ├── issue.net 
  38. │   ├── nsswitch.conf 
  39. │   ├── os-release 
  40. │   ├── passwd 
  41. │   ├── profile.d 
  42. │   ├── protocols 
  43. │   ├── rpc 
  44. │   ├── services 
  45. │   ├── skel 
  46. │   ├── ssl 
  47. │   │   └── certs 
  48. │   │       └── ca-certificates.crt 
  49. │   └── update-motd.d 
  50. │       └── 10-uname 
  51. ├── home 
  52. │   └── nonroot 
  53. ├── lib 
  54. ├── proc 
  55. ├── root 
  56. ├── run 
  57. ├── sbin 
  58. ├── sys 
  59. ├── tmp 
  60. ├── usr 
  61. │   ├── bin 
  62. │   ├── games 
  63. │   ├── include 
  64. │   ├── lib 
  65. │   │   └── os-release 
  66. │   ├── sbin 
  67. │   │   └── tzconfig 
  68. │   ├── share 
  69. │   │   ├── base-files 
  70. │   │   │   ├── dot.bashrc 
  71. │   │   │   ├── dot.profile 
  72. │   │   │   ├── dot.profile.md5sums 
  73. │   │   │   ├── info.dir 
  74. │   │   │   ├── motd 
  75. │   │   │   ├── profile 
  76. │   │   │   ├── profile.md5sums 
  77. │   │   │   └── staff-group-for-usr-local 
  78. ... 
  79. ... 

该镜像只有一层,大小为 3MB,也没有二进制文件,只有一些证书文件和目录。如果向下滚动,还能看到许可证和时区配置。看来 Distroless 采取的是非常极端的手段,直接把不需要的二进制文件全部抛弃了,只留下一个空镜像和部分必需品。

总结

由此看来,这几个基础镜像如此受欢迎的主要原因就是体积小。镜像越小,漏洞就越少,可攻击面也会大幅减少,而且很容易维护。所以大家构建镜像时尽量选择这些镜像作为基础镜像。

引用链接

[1]Google: https://github.com/GoogleContainerTools/distroless

原文链接:https://mp.weixin.qq.com/s/qAlYQFCo7-BFRzsVeRgXpg