我正在尝试构建 Docker 映像,并且希望我的 Docker 映像具有确定性。令我惊讶的是,我发现即使是一个简单的 Dockerfile,例如
FROM scratch
ENV a b
重复使用时生成不同的 IDdocker build --no-cache .
如何使我的构建具有确定性以及导致图像 ID 发生变化的原因是什么?启用缓存后,会生成相同的 ID。
我试图获得这种可重复性的原因是为了能够在分布式构建环境中生成相同的层。我无法控制构建的运行位置,因此我无法知道缓存中的内容。另外,Docker 构建使用 wget 从 ftp 下载文件,这些文件可能已更改,也可能未更改,目前我无法轻松地从 Dockerfile 中告诉 Docker a 的结果是否RUN应使缓存无效。因此,如果我可以为相同的层生成相同的 ID(当不使用缓存时),这些层就不必再次“推”和“拉”。
还有这里列出的所有原因:https ://reproducible-builds.org/
AFAIK,目前 docker 镜像不会哈希到字节精确的哈希值,因为元数据当前包含状态信息,例如创建日期。您可以查看1.10 的设计文档。不幸的是,历史元数据似乎是图像有效性和识别的重要组成部分。
不要误会我的意思,我只关心可复制的构建。然而,我不认为哈希精确性是衡量 Docker 镜像可重复性的最佳标准。docker 映像不是编译的二进制文件。无法保证阶段的结果能够被重现,因此即使日期时间元数据不存在,也不能保证可重现的构建。举这个病态的例子:
RUN curl "https://www.random.org/strings/?num=1&len=20&digits=on&unique=on&format=plain&rnd=new" -o nonce.txt
| 归档时间: |
|
| 查看次数: |
2448 次 |
| 最近记录: |