在没有 root 或 equiv 的情况下向现有图像添加“复制”层。 (“无根构建”)

问题描述 投票:0回答:0

假设我们尝试了不可能的事情:无根构建,但在一个非常有限的用例中:添加 1 个新层,只有 1 个简单的“无根”

COPY
(或
cp
)指令(到非根拥有的
 /tmp
文件夹)到现有的 docker 镜像(这是用一些 
USER root
指令构建的,这是不可避免的)。

我探索的一些选项:

  • BuildKit CLI 
    kubectl
    (Tanzu)
  • 可妮子
  • 白鲸构建工具包
  • Podman(Buildah)
  • 斯科皮欧

但到目前为止还没有找到任何真正无根的概念的工作证明。即使是基本映像的解压缩似乎也需要 root(虽然不需要解压缩标准档案)。

注意:“无根”在这里是这样定义的:如果

securityContext
需要以特定的许可方式设置(例如通过将
seccompProfile.type
字段设置为
Unconfined
像这样),则不会计算在内作为解决方案(在安全强化设置中不起作用)。

docker security kubernetes podman kaniko
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.