kaniko在 Kubernetes 中構(gòu)建容器鏡像

通常，標(biāo)準(zhǔn) Dockerfile 的生成需要與 Docker 后臺進程交互訪問，也就是需要本機 root 權(quán)限。如果是在 Docker 后臺進程無法暴露的場景下，生成容器鏡像就變得很困難。

kaniko 是 Google 開源的一個工具，旨在幫助開發(fā)人員從容器或 Kubernetes 集群內(nèi)的 Dockerfile 構(gòu)建容器鏡像。

工作原理：

kaniko 作為一個容器鏡像運行，它接受三個參數(shù)：一個 Dockerfile ，一個構(gòu)建上下文以及將鏡像推送到的注冊表。它在執(zhí)行程序鏡像中提取基本鏡像的文件系統(tǒng)。然后，在 Dockerfile 中執(zhí)行任何命令，快照用戶空間中的文件系統(tǒng)。Kaniko 在每個命令后都會將一層已更改的文件附加到基本鏡像。最后，執(zhí)行程序?qū)⑿络R像推送到指定的注冊表。

由于 Kaniko 在執(zhí)行程序鏡像的用戶空間中完全執(zhí)行了這些操作，因此它完全避免了在用戶計算機上需要任何特權(quán)訪問。