Kubernetes容器镜像管理与优化:构建高效的镜像生命周期
Kubernetes容器镜像管理与优化构建高效的镜像生命周期一、镜像管理概述容器镜像管理涵盖镜像构建、存储、分发、安全扫描等多个环节是Kubernetes运维的核心组成部分。1.1 镜像管理架构┌─────────────────────────────────────────────────────────────────┐ │ Image Management │ │ │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ 镜像构建 │ │ 镜像扫描 │ │ 镜像存储 │ │ │ │ - Dockerfile│ │ - Trivy │ │ - Harbor │ │ │ └──────┬───────┘ └──────┬───────┘ └──────┬───────┘ │ │ │ │ │ │ │ ▼ ▼ ▼ │ │ ┌─────────────────────────────────────────────────────────┐ │ │ │ 镜像分发层 │ │ │ │ - 镜像缓存 - CDN加速 - 镜像同步 - 镜像代理 │ │ │ └─────────────────────────────────────────────────────────┘ │ │ │ │ │ ▼ │ │ ┌─────────────────────────────────────────────────────────┐ │ │ │ 镜像使用层 │ │ │ │ - 镜像拉取 - 镜像验证 - 镜像清理 - 镜像策略 │ │ │ └─────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘1.2 镜像优化策略策略描述效果多阶段构建使用多个构建阶段减小镜像体积基础镜像选择选择轻量级基础镜像减小镜像体积镜像分层合理规划镜像层提升缓存效率清理无用文件删除构建过程中的临时文件减小镜像体积二、Dockerfile优化2.1 多阶段构建# 构建阶段 FROM golang:1.20 AS builder WORKDIR /app COPY . . RUN go build -o my-app . # 运行阶段 FROM alpine:latest WORKDIR /app COPY --frombuilder /app/my-app . EXPOSE 8080 CMD [./my-app]2.2 基础镜像选择# 使用轻量级基础镜像 FROM python:3.11-slim # 安装必要依赖 RUN apt-get update \ apt-get install -y --no-install-recommends \ gcc \ rm -rf /var/lib/apt/lists/* WORKDIR /app COPY requirements.txt . RUN pip install --no-cache-dir -r requirements.txt COPY . . CMD [python, app.py]2.3 镜像层优化# 先复制依赖文件利用缓存 FROM node:18-alpine WORKDIR /app # 先复制package.json利用构建缓存 COPY package*.json ./ RUN npm ci --onlyproduction # 再复制应用代码 COPY . . EXPOSE 3000 CMD [npm, start]三、Harbor镜像仓库配置3.1 Harbor安装helm repo add harbor https://helm.goharbor.io helm install harbor harbor/harbor \ --namespace harbor \ --create-namespace \ --set expose.typenodePort \ --set harborAdminPasswordHarbor123453.2 Harbor项目配置apiVersion: v1 kind: ConfigMap metadata: name: harbor-project-config data: config.yaml: | projects: - name: my-project public: false storage_limit: 100GB retention_policy: days: 303.3 Harbor镜像清理# 清理过期镜像 harbor-cli image prune \ --project my-project \ --older-than 30d \ --dry-run # 删除未使用的镜像 harbor-cli image delete \ --project my-project \ --tag old-tag四、镜像扫描配置4.1 Trivy扫描# 扫描镜像 trivy image harbor.example.com/my-app:latest # 输出JSON格式 trivy image --format json --output result.json harbor.example.com/my-app:latest # 只显示高危漏洞 trivy image --severity HIGH,CRITICAL harbor.example.com/my-app:latest4.2 集成到CI/CDapiVersion: v1 kind: ConfigMap metadata: name: trivy-config data: scan.sh: | #!/bin/bash trivy image --exit-code 1 --severity HIGH,CRITICAL $IMAGE_NAME4.3 镜像签名验证# 使用cosign签名镜像 cosign sign harbor.example.com/my-app:latest # 验证签名 cosign verify harbor.example.com/my-app:latest五、镜像缓存配置5.1 镜像缓存配置apiVersion: v1 kind: ConfigMap metadata: name: containerd-config data: config.toml: | [plugins.io.containerd.grpc.v1.cri.registry.mirrors] [plugins.io.containerd.grpc.v1.cri.registry.mirrors.docker.io] endpoint [https://mirror.example.com] [plugins.io.containerd.grpc.v1.cri.registry.mirrors.harbor.example.com] endpoint [http://harbor.example.com]5.2 镜像拉取策略apiVersion: v1 kind: Pod metadata: name: my-app spec: containers: - name: app image: harbor.example.com/my-app:latest imagePullPolicy: IfNotPresent六、镜像清理配置6.1 镜像垃圾回收# 清理未使用的镜像 kubectl image prune --all # 清理特定时间之前的镜像 kubectl image prune --filteruntil24h # 清理所有未使用的镜像包括暂停的 kubectl image prune --all --force6.2 定时清理任务apiVersion: batch/v1 kind: CronJob metadata: name: image-cleanup spec: schedule: 0 3 * * * jobTemplate: spec: template: spec: containers: - name: cleanup image: busybox command: - /bin/sh - -c - kubectl image prune --all --force restartPolicy: OnFailure七、镜像安全最佳实践7.1 镜像标签管理apiVersion: apps/v1 kind: Deployment metadata: name: my-app spec: template: spec: containers: - name: app image: harbor.example.com/my-app:v1.0.0 # 使用固定版本标签7.2 镜像访问控制apiVersion: v1 kind: Secret metadata: name: registry-secret type: kubernetes.io/dockerconfigjson data: .dockerconfigjson: base64-encoded-config7.3 镜像策略配置apiVersion: policy/v1 kind: PodSecurityPolicy metadata: name: restricted-images spec: allowedImages: - harbor.example.com/* forbiddenImages: - docker.io/*八、镜像优化工具8.1 Docker Slim# 压缩镜像 docker-slim build --target my-app:latest # 分析镜像 docker-slim analyze my-app:latest8.2 dive# 查看镜像层 dive my-app:latest # 分析镜像效率 dive --ci my-app:latest九、总结镜像管理实践要点Dockerfile优化使用多阶段构建、轻量级基础镜像镜像仓库使用Harbor管理镜像配置访问控制安全扫描集成Trivy扫描漏洞验证镜像签名缓存配置配置镜像缓存提升拉取速度镜像清理定期清理过期和未使用的镜像标签管理使用固定版本标签避免使用latest建议建立完善的镜像管理流程定期进行镜像扫描和清理。参考资料Harbor文档Trivy文档cosign文档
更多精彩文章
分布式架构应用酒馆棋牌娱乐+扫码点餐系统技术方案
融合棋牌娱乐、休闲酒水、线下聚餐的复合型酒馆业态,近年来逐步成为线下休闲消费的主流模式。这类门店区别于单一餐饮或单一棋牌室门店,同时存在棋牌包厢时段计费、场地占用、自助扫码点餐、酒水配送、订单合并结算等混合业务。传统单体架构系统大多只能…...
如何快速下载百度文库等30+平台文档:终极免费文档获取指南
如何快速下载百度文库等30平台文档:终极免费文档获取指南 【免费下载链接】kill-doc 看到经常有小伙伴们需要下载一些免费文档,但是相关网站浏览体验不好各种广告,各种登录验证,需要很多步骤才能下载文档,该脚本就是为…...
十分钟掌握暗黑2存档修改:d2s-editor终极指南让游戏体验焕然一新
十分钟掌握暗黑2存档修改:d2s-editor终极指南让游戏体验焕然一新 【免费下载链接】d2s-editor 项目地址: https://gitcode.com/gh_mirrors/d2/d2s-editor 你是否曾经幻想过在暗黑破坏神2中拥有完美的装备组合,却不想花费数百小时刷怪?…...
ML模型监控工具:监控和维护机器学习模型的性能
ML模型监控工具:监控和维护机器学习模型的性能 一、ML模型监控工具概述 1.1 ML模型监控工具的定义 ML模型监控工具是指用于监控和维护机器学习模型性能的软件工具。它通过收集模型的预测数据、性能指标和数据质量,帮助用户了解模型的状态,及时…...
AI 开发工具选择指南:Qoder、Qwen 与开发者使用策略
AI 开发工具选择指南:Qoder、Qwen 与开发者使用策略 引言 在 AI 技术快速发展的今天,越来越多的 AI 工具涌现出来,帮助开发者提高工作效率。但对于许多开发者来说,面对众多的 AI 产品和服务,往往感到困惑:这…...
全平台资源下载神器:5分钟掌握res-downloader的完整使用指南
全平台资源下载神器:5分钟掌握res-downloader的完整使用指南 【免费下载链接】res-downloader 视频号、小程序、抖音、快手、小红书、直播流、m3u8、酷狗、QQ音乐等常见网络资源下载! 项目地址: https://gitcode.com/GitHub_Trending/re/res-downloader 还在…...
2024三星固件下载完整指南:Bifrost跨平台工具终极解决方案
2024三星固件下载完整指南:Bifrost跨平台工具终极解决方案 【免费下载链接】Bifrost Cross-platform tool for downloading Samsung mobile device firmware. 项目地址: https://gitcode.com/gh_mirrors/sa/Bifrost 还在为三星设备固件下载而烦恼吗ÿ…...