你现在可以在 Linux 上使用 Docker Desktop 无缝地创建容器了！它可在 Debian、Ubuntu 和 Fedora 上使用，并为 Arch Linux 提供了实验性支持。

Docker Desktop 是容器化应用程序的最简单的方法。有了它，你就不需要预先设置平台相关环境。

你只需要安装 Docker Desktop 就可以开始了。Docker Desktop 附带了许多容器工具，如 Kubernetes、Docker Compose、BuildKit 和漏洞扫描工具。

此前，它可用于 Windows 和 macOS，但不支持 Linux 平台。所以，Linux 用户只好直接与 Docker 引擎交互，以创建/测试他们的 Docker 容器。

终于，现在所有 Linux 用户也可以通过 Docker Desktop 来方便地使用 Docker 了。

Linux 版的 Docker Desktop 来了

在 Docker 团队关于未来开发/改进的公共路线图中，Linux 版的 Docker Desktop 是呼声最高的。

有了 Linux 版的 Docker Desktop，你终于可以不费吹灰之力地得到跨平台的 Docker 体验。

我在这里列出其中一些亮点。现在，作为一名使用 Linux 桌面的开发者，你可以：

• 使用 Docker 扩展 Extension 访问新功能
• 与 Kubernetes 无缝集成
• 轻松地管理和组织 数据卷 volumes 、 容器 containers 和 镜像 images

在 Linux 上安装 Docker Desktop

值得注意的是，目前（在 Linux 上）安装 Docker Desktop 并不是超容易，但也不会十分复杂。

Docker 团队计划尽快改进安装和更新过程。

截至目前，你可以得到官方支持的 Ubuntu、Debian 和 Fedora 的 deb 或 rpm 包。支持 Arch Linux 的软件包还未开发完成，但已经可以下载来测试了。

如果你的桌面环境不是 GNOME 的话，你还需要安装 GNOME 终端。

在 Linux 上安装 Docker Desktop 对系统也有整体要求，包括：

• 64 位 Ubuntu 22.04 LTS、Ubuntu 21.10、Fedora 35、Fedora 36 或 Debian 11。
• 支持 KVM 虚拟化
• QEMU 5.2 或更新版本
• Systemd 系统守护工具
• GNOME 或 KDE 桌面环境
• 4GB 的内存

至于安装步骤，你可以参照文档中的 官方说明 进行。

via: https://news.itsfoss.com/docker-desktop-linux/

作者：Ankush Das 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Docker 成为双料独角兽，估值 21 亿美元

消息称，这家长期走入困境的容器化公司今天宣布了 1.05 亿美元的 C 轮融资，使其融资总额达到 1.63 亿美元，公司估值为 21 亿美元。在这次转机之前，Docker 的日子似乎已经屈指可数了，2019 年，Docker 陷入困境，不得不出售其企业部门，更换 CEO，并将自己重新定位为一个开发者平台。两年后，其年度经常性收入增长了 4 倍，达到 5000 万美元以上。Docker 说，近年来它拥有超过 56,000 个商业客户，其中包括超过 70% 的财富 100 强公司、10 家顶级技术公司中的 9 家。

老王点评：我还真以为 Docker 公司就这样消亡了，这样看起来似乎还有不错的未来。

Facebook 因算法漏洞持续半年推送劣质内容

消息称，Facebook 的动态消息由于排序算法存在重大漏洞，过去 6 个月一直推送“劣质”内容，抬高了虚假、暴力信息的权重。虚假信息本来是经过事实核查员审查过的，应该早早得到抑制，但这些信息却四处传播，持续发酵。最终，半年后工程师找到了问题症结。

老王点评：比起通过算法被动接受内容，我觉得主动选择内容更合理。

Chrome 推出新的用户追踪系统

消息称，Chrome 是唯一仍支持第三方 Cookie 的浏览器，在推出 FLoC 用户跟踪系统以取代它失败后，谷歌在其 Canary 测试通道推出了新的 FLEDGE 技术。这个新的 API 允许浏览器基于谷歌创建的广泛主题，建立它认为你感兴趣的东西。该 API 与浏览器直接耦合，似乎没有任何方法可以完全关闭它，唯一的手段可能是不断地从你的个人数据库中删除所有的“兴趣”。谷歌称，在 Chrome 中建立用户跟踪和广告系统是强制性的。

老王点评：显然，谷歌并不热衷于任何威胁其主要赚钱工具的举措。

Docker 贡献者数量远超 Linux

根据 ZDnet 报道，Docker 的 49593 个包有来自 215 个国家的高达 63.2 万名贡献者。这比估计的 Linux 贡献者数量（2 万）大了不止一个数量级，这意味着现在 GitHub 上 7300 万开发者中每 117 个开发者，就有一个对 Docker 有贡献。

老王点评：虽然说给 Docker 中众多的软件包做贡献容易一些，但是这个数量也非常令人吃惊。

GitHub 去年增加 1600 万新用户

据 GitHub 年度报告，GitHub 说它现在有 7300 万开发者用户，2021 年它获得了 1600 万新用户。用户创建了 6100 万个新存储库，有 1.7 亿个拉取请求被合并到项目中。以及在全球疫情前，有 41% 的开发者在办公室全职或兼职工作，但只有 10.7% 的人预计在疫情结束后会回到办公室。

老王点评：GitHub 一家独大的局面很难改变，就是不知道换帅之后会不会有变化。

美国计算机芯片繁荣的愿景让各城市趋之若鹜

计算机芯片的短缺已经耗尽了全球经济的能量，影响了许多行业，并导致了对高通胀的担忧。美国大幅提高芯片产量的努力，让各个城市争相争取芯片厂商的落地。比如德克萨斯州的泰勒市，该市约有 17000 人，就正全力以赴地争取三星公司计划从明年初开始在美国建造的 价值 170 亿美元的工厂。

老王点评：看来不只是我们对芯片工厂热衷，美国也一样，就是不知道等产能拉上来之后会怎么样。

容器镜像包含一个打包的应用，以及它的依赖关系，还有它在启动时运行的进程信息。

容器是当今 IT 运维的一个关键部分。 容器镜像 container image 包含了一个打包的应用，以及它的依赖关系，还有它在启动时运行的进程信息。

你可以通过提供一组特殊格式的指令来创建容器镜像，可以是提交给 注册中心 Registry ，或者是作为 Dockerfile 保存。例如，这个 Dockerfile 为 PHP Web 应用创建了一个容器：

FROM registry.access.redhat.com/ubi8/ubi:8.1

RUN yum --disableplugin=subscription-manager -y module enable php:7.3 \
  && yum --disableplugin=subscription-manager -y install httpd php \
  && yum --disableplugin=subscription-manager clean all

ADD index.php /var/www/html

RUN sed -i 's/Listen 80/Listen 8080/' /etc/httpd/conf/httpd.conf \
  && sed -i 's/listen.acl_users = apache,nginx/listen.acl_users =/' /etc/php-fpm.d/www.conf \
  && mkdir /run/php-fpm \
  && chgrp -R 0 /var/log/httpd /var/run/httpd /run/php-fpm \
  && chmod -R g=u /var/log/httpd /var/run/httpd /run/php-fpm

EXPOSE 8080
USER 1001
CMD php-fpm & httpd -D FOREGROUND

这个文件中的每条指令都会在容器镜像中增加一个 层 layer 。每一层只增加与下面一层的区别，然后，所有这些堆叠在一起，形成一个只读的容器镜像。

它是如何工作的？

你需要知道一些关于容器镜像的事情，按照这个顺序理解这些概念很重要：

1. 联合文件系统
2. 写入时复制（COW）
3. 叠加文件系统
4. 快照器

联合文件系统

联合文件系统 Union File System （UnionFS）内置于 Linux 内核中，它允许将一个文件系统的内容与另一个文件系统的内容合并，同时保持“物理”内容的分离。其结果是一个统一的文件系统，即使数据实际上是以分支形式组织。

这里的想法是，如果你有多个镜像有一些相同的数据，不是让这些数据再次复制过来，而是通过使用一个叫做 层 layer 的东西来共享。

每一层都是一个可以在多个容器中共享的文件系统，例如，httpd 基础层是 Apache 的官方镜像，可以在任何数量的容器中使用。想象一下，由于我们在所有的容器中使用相同的基础层，我们节省了多少磁盘空间。

这些镜像层总是只读的，但是当我们用这个镜像创建一个新的容器时，我们会在它上面添加一个薄的可写层。这个可写层是你创建、修改、删除或进行每个容器所需的其他修改的地方。

写时复制（COW）

当你启动一个容器时，看起来好像这个容器有自己的整个文件系统。这意味着你在系统中运行的每个容器都需要自己的文件系统副本。这岂不是要占用大量的磁盘空间，而且还要花费大量的时间让容器启动？不是的，因为每个容器都不需要它自己的文件系统副本!

容器和镜像使用 写时复制 copy-on-write （COW）机制来实现这一点。写时复制策略不是复制文件，而是将同一个数据实例分享给多个进程，并且只在一个进程需要修改或写入数据时进行复制。所有其他进程将继续使用原始数据。

Docker 对镜像和容器都使用了写时复制的机制。为了做到这一点，在旧版本中，镜像和运行中的容器之间的变化是通过 图驱动 graph driver 来跟踪的，现在则是通过 快照器 snapshotter 来跟踪。

在运行中的容器中执行任何写操作之前，要修改的文件的副本被放在容器的可写层上。这就是发生 写 的地方。现在你知道为什么它被称为“写时复制”了么。

这种策略既优化了镜像磁盘空间的使用，也优化了容器启动时间的性能，并与 UnionFS 一起工作。

叠加文件系统

叠加文件系统 Overlay File System 位于现有文件系统的顶部，结合了上层和下层的目录树，并将它们作为一个单一的目录来呈现。这些目录被称为 层 layer 。下层保持不被修改。每一层只增加与下一层的差异（计算机术语为 “diff”），这种统一的过程被称为 联合挂载 union mount 。

最低的目录或镜像层被称为 下层目录 lowerdir ，上面的目录被称为 上层目录 upperdir 。最后的覆盖层或统一层被称为 合并层 merged 。

常见的术语包括这些层的定义：

• 基础层 Base layer ：是你的文件系统的文件所在的地方。就容器镜像而言，这个层就是你的基础镜像。
• 叠加层 Overlay layer ：通常被称为 容器层 container layer ，因为对运行中的容器所做的所有改变，如添加、删除或修改文件，都会写到这个可写层。对这一层所做的所有修改都存储在下一层，是基础层和差异层的联合视图。
• 差异层 Diff layer 包含了在叠加层所作的所有修改。如果你写的东西已经在基础层了，那么叠加文件系统就会把文件复制到差异层，并做出你想写的修改。这被称为写时复制。

快照器

通过使用层和图驱动，容器可以将其更改作为其容器文件系统的一部分来构建、管理和分发。但是使用 图驱动 graph driver 的工作真的很复杂，而且容易出错。 快照器 SnapShotter 与图驱动不同，因为它们不用了解镜像或容器。

快照器的工作方式与 Git 非常相似，比如有树的概念，并跟踪每次提交对树的改变。一个 快照 snapshot 代表一个文件系统状态。快照有父子关系，使用一组目录。可以在父级和其快照之间进行差异比较（diff），以创建一个层。

快照器提供了一个用于分配、快照和挂载抽象的分层文件系统的 API。

总结

你现在对什么是容器镜像以及它们的分层方法如何使容器可移植有了很好的认识。接下来，我将介绍容器的运行机制和内部结构。

本文基于 techbeatly 的文章，经许可后改编。

via: https://opensource.com/article/21/8/container-image

作者：Nived V 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Docker 桌面管理工具对大公司不再免费

Docker 平台有许多组件，大部分都是开源的，但 Docker 桌面管理工具不是，它用于管理各种 Docker 组件和功能。Docker 公司将限制只让个人或小型企业可以免费使用其 Docker 桌面管理工具。现在要求拥有 250 名或以上员工，或年收入超过 1000 万美元的企业，必须付费使用它：分别是 5 美元/月的专业版和 7 美元/月的团队版订阅，以及新的 21 美元/月的商业版订阅。

这是 Docker 公司也在寻求可持续发展的道路。

因错误包含一些非自由的代码，GNU Linux-libre 重新发布

基于最近发布的 Linux 5.14 上游内核，今天 GNU Linux-libre 5.14-gnu 内核发布了。GNU Linux-libre 内核剥离了非自由的二进制固件、微代码二进制大对象和其他非自由软件组件。但是事实证明这个“100% 自由软件”的内核中错误地留下了一些非自由的内核代码，所以之前的 GNU Linux-libre 版本也不得不重新发布。

虽然剥离一些非自由组件会损失一些支持，但是总该有一个这样偏执于自由的内核。

网络攻击者现在正悄悄地卖掉受害者的网络带宽

周二思科的研究人员说，“代理软件”正被网络犯罪分子用于非法目的，成为犯罪分子从受害者身上获取收入的又一途径。这种所谓的“代理软件”，也被称为互联网共享应用程序，允许用户为其他设备分享部分互联网连接带宽。这是一种合法服务，可以在每次有别的用户连接到它时就可以为他们提供收入。攻击者在受害者的电脑上安装这种软件，并在攻击者的账户下注册该软件，因此任何收入都会被发送到攻击者手中。

真是无孔不入啊。

这要从一次咨询的失误说起：政府组织 A 让政府组织 B 开发一个 Web 应用程序。政府机构 B 把部分工作外包给某个人。后来，项目的托管和维护被外包给一家私人公司 C。C 公司发现，之前外包的人（已经离开很久了）构建了一个自定义的 Docker 镜像，并将其成为系统构建的依赖项，但这个人没有提交原始的 Dockerfile。C 公司有合同义务管理这个 Docker 镜像，可是他们他们没有源代码。C 公司偶尔叫我进去做各种工作，所以处理一些关于这个神秘 Docker 镜像的事情就成了我的工作。

幸运的是，Docker 镜像的格式比想象的透明多了。虽然还需要做一些侦查工作，但只要解剖一个镜像文件，就能发现很多东西。例如，这里有一个 Prettier 代码格式化 的镜像可供快速浏览。

首先，让 Docker 守护进程 daemon 拉取镜像，然后将镜像提取到文件中：

docker pull tmknom/prettier:2.0.5
docker save tmknom/prettier:2.0.5 > prettier.tar

是的，该文件只是一个典型 tarball 格式的归档文件：

$ tar xvf prettier.tar
6c37da2ee7de579a0bf5495df32ba3e7807b0a42e2a02779206d165f55f1ba70/
6c37da2ee7de579a0bf5495df32ba3e7807b0a42e2a02779206d165f55f1ba70/VERSION
6c37da2ee7de579a0bf5495df32ba3e7807b0a42e2a02779206d165f55f1ba70/json
6c37da2ee7de579a0bf5495df32ba3e7807b0a42e2a02779206d165f55f1ba70/layer.tar
88f38be28f05f38dba94ce0c1328ebe2b963b65848ab96594f8172a9c3b0f25b.json
a9cc4ace48cd792ef888ade20810f82f6c24aaf2436f30337a2a712cd054dc97/
a9cc4ace48cd792ef888ade20810f82f6c24aaf2436f30337a2a712cd054dc97/VERSION
a9cc4ace48cd792ef888ade20810f82f6c24aaf2436f30337a2a712cd054dc97/json
a9cc4ace48cd792ef888ade20810f82f6c24aaf2436f30337a2a712cd054dc97/layer.tar
d4f612de5397f1fc91272cfbad245b89eac8fa4ad9f0fc10a40ffbb54a356cb4/
d4f612de5397f1fc91272cfbad245b89eac8fa4ad9f0fc10a40ffbb54a356cb4/VERSION
d4f612de5397f1fc91272cfbad245b89eac8fa4ad9f0fc10a40ffbb54a356cb4/json
d4f612de5397f1fc91272cfbad245b89eac8fa4ad9f0fc10a40ffbb54a356cb4/layer.tar
manifest.json
repositories

如你所见，Docker 在命名时经常使用 哈希 hash 。我们看看 manifest.json。它是以难以阅读的压缩 JSON 写的，不过 JSON 瑞士军刀 jq 可以很好地打印 JSON：

$ jq . manifest.json
[
  {
    "Config": "88f38be28f05f38dba94ce0c1328ebe2b963b65848ab96594f8172a9c3b0f25b.json",
    "RepoTags": [
      "tmknom/prettier:2.0.5"
    ],
    "Layers": [
      "a9cc4ace48cd792ef888ade20810f82f6c24aaf2436f30337a2a712cd054dc97/layer.tar",
      "d4f612de5397f1fc91272cfbad245b89eac8fa4ad9f0fc10a40ffbb54a356cb4/layer.tar",
      "6c37da2ee7de579a0bf5495df32ba3e7807b0a42e2a02779206d165f55f1ba70/layer.tar"
    ]
  }
]

请注意，这三个 层 Layer 对应三个以哈希命名的目录。我们以后再看。现在，让我们看看 Config 键指向的 JSON 文件。它有点长，所以我只在这里转储第一部分：

$ jq . 88f38be28f05f38dba94ce0c1328ebe2b963b65848ab96594f8172a9c3b0f25b.json | head -n 20
{
  "architecture": "amd64",
  "config": {
    "Hostname": "",
    "Domainname": "",
    "User": "",
    "AttachStdin": false,
    "AttachStdout": false,
    "AttachStderr": false,
    "Tty": false,
    "OpenStdin": false,
    "StdinOnce": false,
    "Env": [
      "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
    ],
    "Cmd": [
      "--help"
    ],
    "ArgsEscaped": true,
    "Image": "sha256:93e72874b338c1e0734025e1d8ebe259d4f16265dc2840f88c4c754e1c01ba0a",

最重要的是 history 列表，它列出了镜像中的每一层。Docker 镜像由这些层堆叠而成。Dockerfile 中几乎每条命令都会变成一个层，描述该命令对镜像所做的更改。如果你执行 RUN script.sh 命令创建了 really_big_file，然后用 RUN rm really_big_file 命令删除文件，Docker 镜像实际生成两层：一个包含 really_big_file，一个包含 .wh.really_big_file 记录来删除它。整个镜像文件大小不变。这就是为什么你会经常看到像 RUN script.sh && rm really_big_file 这样的 Dockerfile 命令链接在一起——它保障所有更改都合并到一层中。

以下是该 Docker 镜像中记录的所有层。注意，大多数层不改变文件系统镜像，并且 empty_layer 标记为 true。以下只有三个层是非空的，与我们之前描述的相符。

$ jq .history 88f38be28f05f38dba94ce0c1328ebe2b963b65848ab96594f8172a9c3b0f25b.json
[
  {
    "created": "2020-04-24T01:05:03.608058404Z",
    "created_by": "/bin/sh -c #(nop) ADD file:b91adb67b670d3a6ff9463e48b7def903ed516be66fc4282d22c53e41512be49 in / "
  },
  {
    "created": "2020-04-24T01:05:03.92860976Z",
    "created_by": "/bin/sh -c #(nop)  CMD [\"/bin/sh\"]",
    "empty_layer": true
  },
  {
    "created": "2020-04-29T06:34:06.617130538Z",
    "created_by": "/bin/sh -c #(nop)  ARG BUILD_DATE",
    "empty_layer": true
  },
  {
    "created": "2020-04-29T06:34:07.020521808Z",
    "created_by": "/bin/sh -c #(nop)  ARG VCS_REF",
    "empty_layer": true
  },
  {
    "created": "2020-04-29T06:34:07.36915054Z",
    "created_by": "/bin/sh -c #(nop)  ARG VERSION",
    "empty_layer": true
  },
  {
    "created": "2020-04-29T06:34:07.708820086Z",
    "created_by": "/bin/sh -c #(nop)  ARG REPO_NAME",
    "empty_layer": true
  },
  {
    "created": "2020-04-29T06:34:08.06429638Z",
    "created_by": "/bin/sh -c #(nop)  LABEL org.label-schema.vendor=tmknom org.label-schema.name=tmknom/prettier org.label-schema.description=Prettier is an opinionated code formatter. org.label-schema.build-date=2020-04-29T06:34:01Z org
.label-schema.version=2.0.5 org.label-schema.vcs-ref=35d2587 org.label-schema.vcs-url=https://github.com/tmknom/prettier org.label-schema.usage=https://github.com/tmknom/prettier/blob/master/README.md#usage org.label-schema.docker.cmd=do
cker run --rm -v $PWD:/work tmknom/prettier --parser=markdown --write '**/*.md' org.label-schema.schema-version=1.0",
    "empty_layer": true
  },
  {
    "created": "2020-04-29T06:34:08.511269907Z",
    "created_by": "/bin/sh -c #(nop)  ARG NODEJS_VERSION=12.15.0-r1",
    "empty_layer": true
  },
  {
    "created": "2020-04-29T06:34:08.775876657Z",
    "created_by": "/bin/sh -c #(nop)  ARG PRETTIER_VERSION",
    "empty_layer": true
  },
  {
    "created": "2020-04-29T06:34:26.399622951Z",
    "created_by": "|6 BUILD_DATE=2020-04-29T06:34:01Z NODEJS_VERSION=12.15.0-r1 PRETTIER_VERSION=2.0.5 REPO_NAME=tmknom/prettier VCS_REF=35d2587 VERSION=2.0.5 /bin/sh -c set -x &&     apk add --no-cache nodejs=${NODEJS_VERSION} nodejs-np
m=${NODEJS_VERSION} &&     npm install -g prettier@${PRETTIER_VERSION} &&     npm cache clean --force &&     apk del nodejs-npm"
  },
  {
    "created": "2020-04-29T06:34:26.764034848Z",
    "created_by": "/bin/sh -c #(nop) WORKDIR /work"
  },
  {
    "created": "2020-04-29T06:34:27.092671047Z",
    "created_by": "/bin/sh -c #(nop)  ENTRYPOINT [\"/usr/bin/prettier\"]",
    "empty_layer": true
  },
  {
    "created": "2020-04-29T06:34:27.406606712Z",
    "created_by": "/bin/sh -c #(nop)  CMD [\"--help\"]",
    "empty_layer": true
  }
]

太棒了！所有的命令都在 created_by 字段中，我们几乎可以用这些命令重建 Dockerfile。但不是完全可以。最上面的 ADD 命令实际上没有给我们需要添加的文件。COPY 命令也没有全部信息。我们还失去了 FROM 语句，因为它们扩展成了从基础 Docker 镜像继承的所有层。

我们可以通过查看 时间戳 timestamp ，按 Dockerfile 对层进行分组。大多数层的时间戳相差不到一分钟，代表每一层构建所需的时间。但是前两层是 2020-04-24，其余的是 2020-04-29。这是因为前两层来自一个基础 Docker 镜像。理想情况下，我们可以找出一个 FROM 命令来获得这个镜像，这样我们就有了一个可维护的 Dockerfile。

manifest.json 展示第一个非空层是 a9cc4ace48cd792ef888ade20810f82f6c24aaf2436f30337a2a712cd054dc97/layer.tar。让我们看看它：

$ cd a9cc4ace48cd792ef888ade20810f82f6c24aaf2436f30337a2a712cd054dc97/
$ tar tf layer.tf | head
bin/
bin/arch
bin/ash
bin/base64
bin/bbconfig
bin/busybox
bin/cat
bin/chgrp
bin/chmod
bin/chown

看起来它可能是一个 操作系统 operating system 基础镜像，这也是你期望从典型 Dockerfile 中看到的。Tarball 中有 488 个条目，如果你浏览一下，就会发现一些有趣的条目：

...
dev/
etc/
etc/alpine-release
etc/apk/
etc/apk/arch
etc/apk/keys/
etc/apk/keys/[email protected]
etc/apk/keys/[email protected]
etc/apk/keys/[email protected]
etc/apk/protected_paths.d/
etc/apk/repositories
etc/apk/world
etc/conf.d/
...

果不其然，这是一个 Alpine 镜像，如果你注意到其他层使用 apk 命令安装软件包，你可能已经猜到了。让我们解压 tarball 看看：

$ mkdir files
$ cd files
$ tar xf ../layer.tar
$ ls
bin  dev  etc  home  lib  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var
$ cat etc/alpine-release
3.11.6

如果你拉取、解压 alpine:3.11.6，你会发现里面有一个非空层，layer.tar 与 Prettier 镜像基础层中的 layer.tar 是一样的。

出于兴趣，另外两个非空层是什么？第二层是包含 Prettier 安装包的主层。它有 528 个条目，包含 Prettier、一堆依赖项和证书更新：

...
usr/lib/libuv.so.1
usr/lib/libuv.so.1.0.0
usr/lib/node_modules/
usr/lib/node_modules/prettier/
usr/lib/node_modules/prettier/LICENSE
usr/lib/node_modules/prettier/README.md
usr/lib/node_modules/prettier/bin-prettier.js
usr/lib/node_modules/prettier/doc.js
usr/lib/node_modules/prettier/index.js
usr/lib/node_modules/prettier/package.json
usr/lib/node_modules/prettier/parser-angular.js
usr/lib/node_modules/prettier/parser-babel.js
usr/lib/node_modules/prettier/parser-flow.js
usr/lib/node_modules/prettier/parser-glimmer.js
usr/lib/node_modules/prettier/parser-graphql.js
usr/lib/node_modules/prettier/parser-html.js
usr/lib/node_modules/prettier/parser-markdown.js
usr/lib/node_modules/prettier/parser-postcss.js
usr/lib/node_modules/prettier/parser-typescript.js
usr/lib/node_modules/prettier/parser-yaml.js
usr/lib/node_modules/prettier/standalone.js
usr/lib/node_modules/prettier/third-party.js
usr/local/
usr/local/share/
usr/local/share/ca-certificates/
usr/sbin/
usr/sbin/update-ca-certificates
usr/share/
usr/share/ca-certificates/
usr/share/ca-certificates/mozilla/
usr/share/ca-certificates/mozilla/ACCVRAIZ1.crt
usr/share/ca-certificates/mozilla/AC_RAIZ_FNMT-RCM.crt
usr/share/ca-certificates/mozilla/Actalis_Authentication_Root_CA.crt
...

第三层由 WORKDIR /work 命令创建，它只包含一个条目：

$ tar tf 6c37da2ee7de579a0bf5495df32ba3e7807b0a42e2a02779206d165f55f1ba70/layer.tar
work/

原始 Dockerfile 在 Prettier 的 git 仓库中。

via: https://theartofmachinery.com/2021/03/18/reverse_engineering_a_docker_image.html

作者：Simon Arneaud 选题：lujun9972 译者：DCOLIVERSUN 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出