Alpine Linux 操作系统是由社区开发的,面向安全的轻型 Linux 发行版,它和其他常见的 Linux 发行版不同。Alpine 采用了 musl libc 和 busybox 以减小系统体积和运行时的资源消耗,功能上要比 busybox 完善的多,因此得到开源社区越来越多的青睐。 在保持瘦身的同时,Alpine 提供了自己的包管理工具 apk,可以在官方网站上查询包信息,也可以通过类似 apt 和 yum 的方式,在命令行查询或安装软件。 Alpine 支持广泛的场景,它特别为资深/重度Linux用户而优化,关注安全,性能和资源利用率,是一个优秀的可适用于生产环境的基础系统。 Alpine Docker 镜像继承了 Alpine Linux 发行版的这些优势。相比于其他...阅读全文
GitLab 12.9 将弃用用于 Python 依赖扫描的 Alpine Linux 镜像,改用 Debian 作为基础镜像。 GitLab 官方表示,在评估了改变基础镜像 Alpine 以更好地支持 Python 的 issue #13694 之后,决定切换到 Debian,这样可以使扫描工具支持更多的 Python 项目。 具体来说,从今年 3 月 22 日发布的 GitLab 12.9 开始,开发者将不再可获得用于 Python 依赖扫描的基于 Alpine 的镜像,届时即使运行的是旧版本,也会受到影响。 由于弃用 Alpine,如果使用 Alpine 特定的命令,如 apk add xyz,则可能需要在以下情况进行修改: 在扫描之前(仅当禁用 docker-in-docker 时...阅读全文
开发者Natanael Copa今天正式推出了Alpine Linux 3.11.0重大版本更新,在修复BUG、更新组件和进行安全升级的同时引入了大量新功能。新版本基于最新的Linux Kernel 5.4内核,添加了对树莓派4 Model B单板计算机的支持,可以使用AArch64 (ARM 64-bit)和ARMv7架构镜像进行安装。 Alpine Linux 3.11.0还初步支持了GNOME和KDE Plasma桌面环境,用户可以从各大软件储存库中进行安装,支持下一代Vulkan图形API,以及为Direct3D 9/10/11提供基于DXVK Vulkan的翻译层。 Alpine Linux 3.11.0还对诸多组件进行了更新,包括Busybox 1.31.1,Crystal...阅读全文
因为如果攻击者利用你的应用程序获得对容器的访问权限将无法像访问 shell 那样造成太多破坏。换句话说,更少的二进制文件意味着更小的体积和更高的安全性,不过这是以痛苦的调试为代价的。 或许你不应在生产环境中 attach 和调试容器,而应该使用日志和监控。 但如果你确实需要调试,又想保持小体积该怎么办? 3. 小体积的 Alpine 基础镜像 你可以使用 Alpine 基础镜像替换 distroless 基础镜像。 Alpine Linux 是: 一个基于 musl libc 和 busybox 的面向安全的轻量级 Linux 发行版。 换句话说,它是一个体积更小也更安全的 Linux 发行版。不过你不应该理所当然地认为他们声称的就一定是事实,让我们来看看它的镜像是否更小。 先修改...阅读全文
Alpine Linux 3.6.1 已发布。Alpine Linux 是由社区开发的操作系统,它面向 x86 路由器、防火墙、虚拟专用网、IP 电话盒及服务器而设计。它在设计时就贯彻了安全的理念,包含了一些主动安全特性如 PaX 和 SSP ,它们能防止软件中的漏洞被敌手加以利用。该系统采用的 C 语言库是 musl ,基础工具则都在 BusyBox 中。它们在嵌入式系统中很常见,它们比 GNU/Linux 系统中的工具要小。 此次更新进行了大量 Bug 修复,相关内容: Bug #6668: Can’t boot on Raspberry Pi 2 Bug #7047: v4l2-ctl segfaults when setting control values Bug #7093...阅读全文
Trivy是一种适用于CI的简单而全面的容器漏洞扫描程序。Trivy可检测操作系统包(Alpine、RHEL、CentOS等)和应用程序依赖(Bundler、Composer、npm、yarn等)的漏洞。 Trivy很容易使用,只要安装二进制文件,就可以扫描了。扫描只需指定容器的镜像名称。与其他镜像扫描工具相比,例如Clair,Anchore Engine,Quay相比,Trivy在准确性、方便性和对CI的支持等方面都有着明显的优势。推荐在CI中使用它,在推送到container registry之前,您可以扫描本地容器镜像。...阅读全文
容视图中,管理员现在可以使用新列“创建日期”过滤存储的数据,例如,该列可以简化从特定日期开始搜索备份的过程。可以无缝更改 Web 界面的语言,而无需重新启动会话。添加了阿拉伯语翻译,因此 Proxmox VE 总共支持 20 种语言。 Linux 容器: 集成容器技术已更新为 LXC 4.0.2 和 lxcfs 4.0.3。Proxmox VE 6.2 现在允许在基于目录的存储上为容器创建模板。适用于 Ubuntu 20.04、Fedora 32、CentOS 8.1、Alpine Linux 和 Arch Linux 的新 LXC 模板。 Zstandard用于备份/还原: 集成的备份管理器支持快速高效的无损数据压缩算法 Zstandard(zstd)。 用户和权限管理: Proxmox...阅读全文
Maven来构建应用,但是运行应用却不需要Maven。多阶段构建能大幅度的减小镜像的体积: REPOSITORY TAG IMAGE ID CREATED SIZE maven latest 66091267e43d 2 weeks ago 620MB java 8-jdk-alpine 3fd9dd82815c 3 months ago 来看一个能创建店铺首页的AtSea示例应用: AtSea使用了多阶段构建,并包含两个过渡阶段:用一个node.js基础镜像构建ReactJS应用,用一个Maven基础镜像将Sprint Boot应用编译成单个镜像。 FROM node:latest AS storefront WORKDIR /usr/src/atsea/app/react-app COPY...阅读全文
Tasks %CPU Memory podruntime 145 0.1 636.3M podruntime/docker 145 0.1 636.3M docker 2 0.0 39.7M docker/ee444b... 1 0.0 6.7M 镜像大小首先,探索镜像,我们看到 Wasm 容器镜像比传统镜像小得多。 即使是 alpine 版本的 php 容器也比 Wasm 容器大。$ docker images REPOSITORY TAG IMAGE ID CREATED SIZE php 7.4.32-cli 680c4ba36f1b 2 hours ago 166MB php 7.4.32-cli-alpine a785f7973660 2 minutes ago 30.1MB...阅读全文
道实现自动化,这将提高应用程序部署效率和速度。CI/CD 还将提供部署的审计跟踪。Git 应该是所有自动化的单一事实来源,并将实现对 K8s 集群的统一管理。还可以考虑使用专用的基础架构交付平台,例如 Spacelift,它最近引入了 Kubernetes 支持。缩小容器的大小较小的映像大小将有助于加快构建和部署速度,并减少容器在 K8s 集群上消耗的资源量。应尽可能删除不必要的软件包,并应优先使用诸如 Alpine 之类的小型操作系统分发映像。较小的图像可以比较大的图像更快地拉取,并且消耗更少的存储空间。遵循这种方法还将提供安全优势,因为恶意行为者的潜在攻击媒介将会减少。用标签整理对象K8s 标签是附加到对象用来组织集群资源的键值对。标签应该是有意义的元数据,提供一种机制来跟踪 K8s 系...阅读全文
8000 ENTRYPOINT ["./app"] 对于这个例子来说我们其实只需要构建后的二进制包,其他文件包括 golang 我们都是不需要的。 我们可以把上述构建成两个阶段,可以大大减小构建后的镜像大小 1 2 3 4 5 6 7 8 9 10 11 12 FROM golang:1.15.6-alpine3.12 as builder RUN mkdir -p /src WORKDIR /src COPY src/ . RUN go build -o app . FROM alpine:3.12 COPY --from=builder /src/ . EXPOSE 8000 ENTRYPOINT ["./app"] 1 2 3 4 $ docker image ls REPOSITORY...阅读全文
