容器技術(shù)是一個(gè)輕量的 、操作系統(tǒng)級別的虛擬化技術(shù)，因其快速啟動、易擴(kuò)展遷移等特性受到開發(fā)運(yùn)營人員的青睞，Docker是最流行的容器技術(shù)之一。

Docker鏡像是Docker技術(shù)的一個(gè)重要組成，具有分層、按內(nèi)容尋址、共享鏡像層等特點(diǎn)，可通過docker pull、docker push命令實(shí)現(xiàn)對鏡像的分發(fā)，使得鏡像可以在不同的宿主機(jī)之間遷移。

本文針對鏡像下載過程，先介紹Docker鏡像特點(diǎn)和通用背景知識;隨后介紹Docker pull命令執(zhí)行的各個(gè)階段;然后重點(diǎn)介紹鏡像下載過程面臨的安全風(fēng)險(xiǎn)和應(yīng)提供的安全保障;最后是對全文的總結(jié)。

Docker鏡像概述

Docker鏡像類似于未運(yùn)行的exe應(yīng)用程序，或者停止運(yùn)行的VM。當(dāng)使用docker run命令基于鏡像啟動容器時(shí)，容器應(yīng)用便能為外部提供服務(wù)。

Docker鏡像存儲于鏡像倉庫Registry中，鏡像倉庫是存儲、管理、分發(fā)鏡像的一種應(yīng)用服務(wù)。

Repository是同一類Docker鏡像的集合，包含了不同tag的Docker鏡像，比如A:v1.0，A:v2.0都屬于repository A。

Docker鏡像、容器、鏡像倉庫和Repository之間的關(guān)系如下圖所示：

Docker鏡像具有分層、按內(nèi)容尋址、共享鏡像層等特點(diǎn)。一個(gè)Docker鏡像被劃分為多個(gè)鏡像層layer。每一個(gè)layer都有唯一的標(biāo)識diffid，基于layer內(nèi)容經(jīng)過sha256計(jì)算得出，且可以通過diffid得到layer的索引ID，實(shí)現(xiàn)按內(nèi)容尋址。也因?yàn)镈ocker鏡像分層的特點(diǎn)，可以實(shí)現(xiàn)不同鏡像間共享相同layer，避免重復(fù)下載，節(jié)約資源，提升效率。

Docker鏡像和layer的關(guān)系如下圖所示：

docker pull過程

可使用docker pull命令從鏡像倉庫中下載Docker鏡像。

一次docker pull命令執(zhí)行過程如下圖所示：

從命令執(zhí)行過程中可以看出，Docker鏡像下載時(shí)會經(jīng)歷如下過程：

• Pulling from XXX：解析用戶輸入的參數(shù)，與指定的鏡像倉庫建立鏈接
• Already existed：檢索本地已有鏡像，避免重復(fù)下載
• Waiting：該layer正在等待下載
• Pulling fs layer：下載layer的元數(shù)據(jù)信息
• Downloading，download complete：下載layer
• Extracting：解壓縮下載完成的layer
• Pull complete：注冊layer
• Digest: sha256:XXX：校驗(yàn)下載的所有l(wèi)ayer，并依據(jù)所有l(wèi)ayer計(jì)算得出鏡像標(biāo)識
• Status: Downloaded newer image for XXX：鏡像下載完畢

Docker鏡像下載中的安全風(fēng)險(xiǎn)

考慮Docker鏡像下載中面臨的安全風(fēng)險(xiǎn)時(shí)，應(yīng)明確目標(biāo)是“安全地下載正確的鏡像”，并基于docker pull過程來分析風(fēng)險(xiǎn)。

首先考慮鏡像倉庫

若使用互聯(lián)網(wǎng)上的公共倉庫，則應(yīng)考慮非官方倉庫的安全風(fēng)險(xiǎn)。官方倉庫中的鏡像由Docker公司負(fù)責(zé)審查，具備較高安全性。而非官方倉庫中的鏡像可能包含惡意代碼或未修復(fù)的漏洞，并且難以及時(shí)維護(hù)更新，會給自身環(huán)境和其他系統(tǒng)帶來較高安全風(fēng)險(xiǎn)。

若使用私有倉庫，則應(yīng)同時(shí)考慮私有倉庫內(nèi)的鏡像安全和訪問控制問題。與非官方倉庫的安全風(fēng)險(xiǎn)相似，若對私有倉庫的鏡像安全管理控制不足，則私有倉庫內(nèi)的鏡像同樣可能包含惡意代碼或漏洞，而且出于對自身維護(hù)的私有倉庫的信任，使用這些不安全的鏡像所帶來的風(fēng)險(xiǎn)和造成的后果可能比非官方倉庫的情況更嚴(yán)重。

此外，使用私有倉庫時(shí)應(yīng)考慮訪問控制問題。若未經(jīng)授權(quán)的攻擊者能輕易訪問私有倉庫，則攻擊者可能竊取鏡像中的機(jī)密信息，如訪問數(shù)據(jù)庫的口令、安全私有軟件包所需的令牌等，破壞鏡像的機(jī)密性;或者攻擊者可能篡改鏡像，破壞鏡像的完整性。

其次考慮鏡像下載過程，

鏡像從鏡像倉庫被拉取到本地主機(jī)的過程中，若沒有足夠的安全防護(hù)措施，則容易遭受中間人攻擊，通過會話劫持等手段使用戶請求重定向到非法鏡像源，導(dǎo)致鏡像的篡改。

Docker鏡像下載中的安全保障

基于上述安全風(fēng)險(xiǎn)，應(yīng)考慮實(shí)施如下安全保障：

• 本地主機(jī)配置僅從可信鏡像源下載鏡像，規(guī)避來自不可信鏡像源的未知鏡像的風(fēng)險(xiǎn)。可通過修改docker配置文件實(shí)現(xiàn)
• 對于私有倉庫，應(yīng)定期進(jìn)行漏洞掃描和基線核查，確保倉庫內(nèi)鏡像的安全性。可通過集成第三方安全掃描工具實(shí)現(xiàn)
• 對于私有倉庫，應(yīng)配置相應(yīng)的訪問控制措施，僅允許授權(quán)用戶上傳和下載鏡像。可通過鏡像倉庫的賬戶管理功能實(shí)現(xiàn)
• 本地主機(jī)開啟Docker內(nèi)容信任機(jī)制(Docker Content Trust, DCT)，對docker pull的鏡像校驗(yàn)其簽名，校驗(yàn)鏡像的來源和發(fā)布者。可通過配置環(huán)境變量DOCKER_CONTENT_TRUST實(shí)現(xiàn)
• 校驗(yàn)各layer的sha256值，校驗(yàn)鏡像的完整性。Docker鏡像下載過程中已自帶該校驗(yàn)過程

總結(jié)

Docker鏡像是Docker技術(shù)中的重要組成部分，具有分層、按內(nèi)容尋址、體積小等一系列優(yōu)點(diǎn)，并能通過鏡像倉庫便捷地進(jìn)行分發(fā)。但Docker鏡像下載過程中也面臨諸多安全風(fēng)險(xiǎn)，如鏡像篡改、非法鏡像等。只有正確地實(shí)施足夠的安全措施，才能正常地使用docker鏡像，享受Docker技術(shù)為我們帶來的便利。

以上就是動力節(jié)點(diǎn)小編介紹的"深入了解docker下載鏡像"，希望對大家有幫助，如有疑問，請?jiān)诰€咨詢，有專業(yè)老師隨時(shí)為您務(wù)。