eskhome/alpine Docker 镜像 - 轩辕镜像

Alpine 最新稳定版镜像自动化构建工具

概述

该工具包含一组Shell脚本，用于自动化从Alpine Linux官方网站获取最新稳定版本的minirootfs文件，通过GPG签名验证文件完整性，生成Dockerfile并构建、推送Docker镜像。适用于需要持续维护Alpine基础镜像为最新版本的开发和运维场景，支持每日定时执行以实现自动化更新。

核心功能

• 自动下载并导入Alpine Linux官方GPG公钥（ncopa.asc）
• 从Alpine官网动态提取最新稳定版本号
• 自动下载对应版本的minirootfs文件及其GPG签名
• 验证minirootfs文件的GPG签名完整性
• 生成基于scratch的Dockerfile，包含系统更新指令
• 构建多标签Docker镜像（版本标签和latest标签）并推送到仓库

使用场景

• 开发团队需要保持基础Alpine镜像为最新安全版本
• 自动化CI/CD流程中集成基础镜像更新环节
• 运维场景下定期更新私有仓库中的Alpine基础镜像
• 需要验证官方文件完整性的安全敏感环境

脚本组成与说明

1. get_alpine.sh（主脚本）

负责版本获取、文件下载、签名验证和Dockerfile生成的核心流程。

功能流程：

1. 公钥管理：下载Alpine官方公钥并导入GPG密钥环
2. 版本检测：通过curl和正则表达式从Alpine官网提取最新版本号
3. 文件处理：下载对应版本的minirootfs文件及其签名文件
4. 安全验证：使用GPG验证下载文件的签名完整性
5. Dockerfile生成：创建包含minirootfs和系统更新指令的Dockerfile
6. 触发构建：调用buildandpush.sh执行镜像构建和推送

关键配置点：

• 需要将脚本中的'replaceMe'替换为实际正则表达式：'(?<=\<strong\>).*?(?=\<\/strong\>)'（用于提取版本号）
• 依赖工具：wget、curl、gpg、bash

2. buildandpush.sh（构建推送脚本）

负责Docker镜像的构建和仓库推送，需配置sudo权限以无密码执行。

功能流程：

1. 接收版本号参数
2. 构建带版本标签的镜像（如dockerUser/alpine:minirootfs-3.18.3）
3. 构建latest标签镜像（如dockerUser/alpine:latest）
4. 推送两个标签镜像到Docker仓库

关键配置点：

• 需要将脚本中的dockerUser替换为实际Docker仓库用户名
• 需配置sudoers允许目标用户无密码执行此脚本

使用方法

前置要求

• 系统环境：支持bash的Linux系统
• 依赖安装：sudo apt install wget curl gnupg2 docker.io（Debian/Ubuntu示例）
• Docker配置：已登录Docker仓库（docker login）
• 权限配置：为目标用户配置buildandpush.sh的无密码sudo权限

脚本配置步骤

1. 修改get_alpine.sh：

   bash
   # 找到版本提取行，替换'replaceMe'为实际正则表达式
   _version=$(curl [***] | grep "Current Alpine Version" - | grep -oP '(?<=\<strong\>).*?(?=\<\/strong\>)')
   

2. 修改buildandpush.sh：

   bash
   # 将所有'dockerUser'替换为实际Docker用户名
   docker build --no-cache=true -t your-docker-username/alpine:minirootfs-${_version} "./alpine-minirootfs-${_version}"
   docker build -t your-docker-username/alpine:latest "./alpine-minirootfs-${_version}"
   docker push your-docker-username/alpine:minirootfs-${_version}
   docker push your-docker-username/alpine:latest
   

3. 配置sudo权限：

   bash
   # 使用visudo编辑sudoers文件
   sudo visudo
   # 添加如下行（替换username和脚本路径）
   username ALL=(ALL) NOPASSWD: /path/to/buildandpush.sh
   

执行步骤

1. 准备工作：

   bash
   # 赋予脚本执行权限
   chmod +x get_alpine.sh buildandpush.sh
   

2. 手动执行：

   bash
   # 运行主脚本
   ./get_alpine.sh
   

3. 定时任务配置（可选）：

   bash
   # 添加每日定时执行（每天凌晨2点）
   crontab -e
   # 添加以下行（替换脚本路径和日志路径）
   0 2 * * * /path/to/get_alpine.sh >> /var/log/alpine-build.log 2>&1
   

关键步骤详解

版本号提取机制

bash
_version=$(curl [***] | grep "Current Alpine Version" - | grep -oP '(?<=\<strong\>).*?(?=\<\/strong\>)')

通过curl获取Alpine下载页面HTML，使用grep匹配"Current Alpine Version"所在行，再通过Perl兼容正则表达式提取<strong>标签内的版本号文本。

文件安全验证流程

bash
# 下载签名文件
wget [***]{_file}.asc
# 验证文件签名
gpg --verify "${_file}.asc" "${_file}"

仅当签名验证通过时才继续后续流程，确保下载的minirootfs文件未被篡改且来源于官方发布。

Dockerfile生成内容

bash
{
  echo FROM scratch
  echo ADD \"${_file}\" /
  echo "RUN apk update; apk upgrade"
} > "alpine-minirootfs-${_version}/Dockerfile"

基于空白镜像（scratch）构建，直接添加minirootfs文件系统，并执行系统更新以确保包含最新安全补丁。

注意事项

• 网络要求：需确保服务器可访问Alpine官网（[***]
• 安全配置：限制buildandpush.sh的sudo权限仅授予必要用户，避免权限滥用
• 错误处理：脚本包含关键步骤的错误检查，任何环节失败将立即退出并返回错误码
• 日志管理：建议配置输出重定向至日志文件，便于问题排查
• 存储清理：脚本会自动删除旧版本文件，但长期运行仍需监控磁盘空间使用情况

故障排除

• 公钥下载失败：检查网络连接或Alpine官网可访问性，确认防火墙规则
• 版本提取失败：验证正则表达式是否正确替换，检查Alpine官网页面结构是否变更
• 签名验证失败：可能为文件损坏或公钥过期，尝试重新导入公钥或手动下载验证
• 镜像推送失败：确认Docker已登录且用户拥有仓库推送权限，检查网络连接