nmaguiar/imgutils Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

ImgUtils Docker镜像文档

镜像概述和主要用途

ImgUtils 是一个基于 Alpine Linux 的 Docker 镜像（nmaguiar/imgutils），集成了一系列容器和 Kubernetes 镜像管理工具。该镜像旨在为 Kubernetes 集群内部提供一站式镜像管理能力，支持镜像复制、容器运行时访问、镜像内容检查等操作。

同时提供精简版本 nmaguiar/imgutils:lite，仅包含核心工具 crictl，适用于仅需容器运行时交互的场景。

核心功能和特性

集成工具集

• skopeo：跨容器仓库镜像复制、检查和管理工具
• helm：Kubernetes 包管理器，支持 Helm Chart 管理和 OCI 仓库交互
• docker-cli：Docker 命令行工具，用于与 Docker 守护进程交互
• crictl：Kubernetes CRI (容器运行时接口) 命令行工具，支持与 containerd/crio 等运行时交互
• dive：镜像层分析工具，可视化展示镜像分层结构和内容
• openaf：集成 DockerRegistry、Kube、oafp 模块的自动化工具
• mc (Midnight Commander)：终端文件管理器，用于镜像内容浏览

使用场景和适用范围

适用场景

• 跨容器仓库（如私有仓库、公共仓库）的镜像/Helm Chart 复制与同步
• Kubernetes 集群内节点级容器运行时（containerd/crio）的直接访问与管理
• 镜像内容检查、分层分析及安全审计
• Docker 守护进程本地或远程访问（需挂载 Docker 套接字）

支持环境

• Kubernetes 发行版：AWS EKS、K3S/K3D、OpenShift
• 容器运行时：containerd、crio
• 部署方式：Docker 本地运行、Kubernetes 集群内临时 Pod 部署

镜像安全扫描

![.github/sec-build.svg]([]
![.github/sec-latest.svg]([]
![.github/sec-build-lite.svg]([]
![.github/sec-lite.svg]([]

版本信息

!.github/build-versions.svg
!.github/latest-versions.svg

使用方法和配置说明

环境变量说明

1. 完整版镜像（nmaguiar/imgutils）

Docker 本地运行

直接通过 Docker 运行，挂载 Docker 套接字以访问本地 Docker 守护进程：

bash
docker run --rm -ti -v /var/run/docker.sock:/var/run/docker.sock nmaguiar/imgutils sudo /bin/bash

Kubernetes 集群内运行

需通过 kubectl run 在目标节点部署临时 Pod，以下为不同 Kubernetes 环境的部署命令：

前提条件

• 已获取目标节点名称（通过 kubectl get nodes 查看）
• 集群已配置适当权限（如 kube-system 命名空间访问权限）

AWS EKS 环境

bash
NODENAME=ec2-server-0 NAME=imgutils HPATH=/run/containerd/containerd.sock  /bin/sh -c 'kubectl run -n kube-system $NAME --rm -ti --image=nmaguiar/imgutils  --overrides="{\"apiVersion\":\"v1\",\"spec\":{\"nodeName\":\"$NODENAME\",\"containers\":[{\"name\":\"$NAME\",\"image\":\"nmaguiar/imgutils\",\"stdin\":true,\"stdinOnce\":true,\"tty\":true,\"args\":[\"sudo\",\"-E\",\"/bin/bash\"],\"env\":[{\"name\":\"CONTAINER_RUNTIME_ENDPOINT\",\"value\":\"unix:///run/containerd/containerd.sock\"}],\"volumeMounts\":[{\"name\":\"cri\",\"mountPath\":\"/run/containerd/containerd.sock\"}]}],\"volumes\":[{\"name\":\"cri\",\"hostPath\":{\"path\":\"$HPATH\"}}]}}" -- sudo -E /bin/bash'

K3S/K3D 环境

bash
NODENAME=k3s-server-0 NAME=imgutils HPATH=/run/k3s/containerd/containerd.sock  /bin/sh -c 'kubectl run -n kube-system $NAME --rm -ti --image=nmaguiar/imgutils  --overrides="{\"apiVersion\":\"v1\",\"spec\":{\"nodeName\":\"$NODENAME\",\"containers\":[{\"name\":\"$NAME\",\"image\":\"nmaguiar/imgutils\",\"stdin\":true,\"stdinOnce\":true,\"tty\":true,\"args\":[\"sudo\",\"-E\",\"/bin/bash\"],\"env\":[{\"name\":\"CONTAINER_RUNTIME_ENDPOINT\",\"value\":\"unix:///run/containerd/containerd.sock\"}],\"volumeMounts\":[{\"name\":\"cri\",\"mountPath\":\"/run/containerd/containerd.sock\"}]}],\"volumes\":[{\"name\":\"cri\",\"hostPath\":{\"path\":\"$HPATH\"}}]}}" -- sudo -E /bin/bash'

OpenShift 环境

bash
NODENAME=server-0 NAME=imgutils HPATH=/var/run/crio/crio.sock  /bin/sh -c './kubectl run -n kube-system $NAME --rm -ti --image=nmaguiar/imgutils  --overrides="{\"apiVersion\":\"v1\",\"spec\":{\"nodeName\":\"$NODENAME\",\"containers\":[{\"name\":\"$NAME\",\"image\":\"nmaguiar/imgutils\",\"securityContext\":{\"privileged\":true},\"stdin\":true,\"stdinOnce\":true,\"tty\":true,\"args\":[\"sudo\",\"-E\",\"/bin/bash\"],\"env\":[{\"name\":\"CONTAINER_RUNTIME_ENDPOINT\",\"value\":\"unix:///run/crio/crio.sock\"}],\"volumeMounts\":[{\"name\":\"cri\",\"mountPath\":\"/run/crio/crio.sock\"}]}],\"volumes\":[{\"name\":\"cri\",\"hostPath\":{\"path\":\"$HPATH\"}}]}}" -- sudo -E /bin/bash'

参数说明：

• NODENAME：目标节点名称（需替换为实际节点名）
• NAME：临时 Pod 名称（自定义，如 imgutils）
• HPATH：容器运行时套接字路径（根据环境调整，如 containerd 为 /run/containerd/containerd.sock）

2. 精简版镜像（nmaguiar/imgutils:lite）

仅包含 crictl 工具，适用于轻量级容器运行时交互，部署命令与完整版类似，仅需将镜像标签改为 :lite：

AWS EKS 环境

bash
NODENAME=ec2-server-0 NAME=imgutils HPATH=/run/containerd/containerd.sock  /bin/sh -c 'kubectl run -n kube-system $NAME --rm -ti --image=nmaguiar/imgutils  --overrides="{\"apiVersion\":\"v1\",\"spec\":{\"nodeName\":\"$NODENAME\",\"containers\":[{\"name\":\"$NAME\",\"image\":\"nmaguiar/imgutils:lite\",\"stdin\":true,\"stdinOnce\":true,\"tty\":true,\"args\":[\"sudo\",\"-E\",\"/bin/bash\"],\"env\":[{\"name\":\"CONTAINER_RUNTIME_ENDPOINT\",\"value\":\"unix:///run/containerd/containerd.sock\"}],\"volumeMounts\":[{\"name\":\"cri\",\"mountPath\":\"/run/containerd/containerd.sock\"}]}],\"volumes\":[{\"name\":\"cri\",\"hostPath\":{\"path\":\"$HPATH\"}}]}}" -- sudo -E /bin/bash'

K3S/K3D 环境

bash
NODENAME=k3s-server-0 NAME=imgutils HPATH=/run/k3s/containerd/containerd.sock  /bin/sh -c 'kubectl run -n kube-system $NAME --rm -ti --image=nmaguiar/imgutils  --overrides="{\"apiVersion\":\"v1\",\"spec\":{\"nodeName\":\"$NODENAME\",\"containers\":[{\"name\":\"$NAME\",\"image\":\"nmaguiar/imgutils:lite\",\"stdin\":true,\"stdinOnce\":true,\"tty\":true,\"args\":[\"sudo\",\"-E\",\"/bin/bash\"],\"env\":[{\"name\":\"CONTAINER_RUNTIME_ENDPOINT\",\"value\":\"unix:///run/containerd/containerd.sock\"}],\"volumeMounts\":[{\"name\":\"cri\",\"mountPath\":\"/run/containerd/containerd.sock\"}]}],\"volumes\":[{\"name\":\"cri\",\"hostPath\":{\"path\":\"$HPATH\"}}]}}" -- sudo -E /bin/bash'

OpenShift 环境

bash
NODENAME=server-0 NAME=imgutils HPATH=/var/run/crio/crio.sock  /bin/sh -c './kubectl run -n kube-system $NAME --rm -ti --image=nmaguiar/imgutils  --overrides="{\"apiVersion\":\"v1\",\"spec\":{\"nodeName\":\"$NODENAME\",\"containers\":[{\"name\":\"$NAME\",\"image\":\"nmaguiar/imgutils:lite\",\"securityContext\":{\"privileged\":true},\"stdin\":true,\"stdinOnce\":true,\"tty\":true,\"args\":[\"sudo\",\"-E\",\"/bin/bash\"],\"env\":[{\"name\":\"CONTAINER_RUNTIME_ENDPOINT\",\"value\":\"unix:///run/crio/crio.sock\"}],\"volumeMounts\":[{\"name\":\"cri\",\"mountPath\":\"/run/crio/crio.sock\"}]}],\"volumes\":[{\"name\":\"cri\",\"hostPath\":{\"path\":\"$HPATH\"}}]}}" -- sudo -E /bin/bash'

操作指南

镜像和 Helm Chart 在仓库间复制

步骤 1：启动 ImgUtils 环境

bash
# Docker 本地环境
docker run --rm -ti nmaguiar/imgutils sudo /bin/bash

# Kubernetes 集群环境
kubectl run imgutils --rm -ti --image=nmaguiar/imgutils -- sudo /bin/bash

步骤 2：登录源仓库和目标仓库

使用 skopeo login 登录两个仓库（支持 --password-stdin 避免明文密码输入）：

bash
# 登录源仓库 A
skopeo login a.registry -u userA --password-stdin
[输入 userA 密码后按 Ctrl+D 确认]

# 登录目标仓库 B
skopeo login b.registry -u userB --password-stdin
[输入 userB 密码后按 Ctrl+D 确认]

步骤 3：复制镜像或 Helm Chart

• 复制镜像（--all 保留所有平台架构）：

  bash
  skopeo copy --all docker://a.registry/some/image:1.2.3 docker://b.registry/some/image:1.2.3
  

• 复制 Helm Chart（Helm Chart 通常以 OCI 镜像形式存储）：

  bash
  skopeo copy --all docker://a.registry/some/chart:1.2.3 docker://b.registry/some/chart:1.2.3
  

步骤 4：退出环境

bash
exit

从文件复制镜像/Chart 到仓库

步骤 1：启动 ImgUtils 环境

bash
# Docker 本地环境
docker run --name imgutils --rm -ti nmaguiar/imgutils sudo /bin/bash

# Kubernetes 集群环境
kubectl run imgutils --rm -ti --image=nmaguiar/imgutils -- sudo /bin/bash

步骤 2：将本地文件复制到容器内

• Docker 环境：

  bash
  docker cp myImageOrChart.tgz imgutils:/tmp/myImageOrChart.tgz
  

• Kubernetes 环境：

  bash
  kubectl cp myImageOrChart.tgz imgutils:/tmp/myImageOrChart.tgz
  

步骤 3：登录目标仓库

bash
# 登录目标仓库 B（Helm Chart 需额外登录 Helm 仓库）
skopeo login b.registry -u userB --password-stdin
[输入 userB 密码后按 Ctrl+D 确认]

helm registry login b.registry -u userB --password-stdin
[输入 userB 密码后按 Ctrl+D 确认]

步骤 4：复制到仓库

• 复制镜像文件：

  bash
  skopeo copy --all docker-archive:/tmp/myImage.tgz docker://b.registry/some/image:1.2.3
  

• 复制 Helm Chart 文件：

  bash
  helm push /tmp/myChart.tgz oci://b.registry/some/chart
  

步骤 5：退出环境

bash
exit

访问 Docker 守护进程

通过挂载 Docker 套接字直接与本地 Docker 守护进程交互：

启动容器

bash
docker run --rm -ti -v /var/run/docker.sock:/var/run/docker.sock nmaguiar/imgutils sudo /bin/bash

常用操作示例

bash
# 查看本地镜像
docker images

# 查看运行中容器
docker ps

# 删除镜像
docker rmi some/image:latest

退出环境

bash
exit

访问 Kubernetes 容器运行时

通过 crictl 工具与节点上的容器运行时（containerd/crio）交互，以下为不同环境示例：

AWS EKS 环境（containerd）

bash
NODENAME=k3s-server-0 NAME=imgutils HPATH=/run/containerd/containerd.sock  /bin/sh -c 'kubectl run -n kube-system $NAME --rm -ti --image=nmaguiar/imgutils  --overrides="{\"apiVersion\":\"v1\",\"spec\":{\"nodeName\":\"$NODENAME\",\"containers\":[{\"name\":\"$NAME\",\"image\":\"nmaguiar/imgutils\",\"stdin\":true,\"stdinOnce\":true,\"tty\":true,\"args\":[\"sudo\",\"-E\",\"/bin/bash\"],\"env\":[{\"name\":\"CONTAINER_RUNTIME_ENDPOINT\",\"value\":\"unix:///run/containerd/containerd.sock\"}],\"volumeMounts\":[{\"name\":\"cri\",\"mountPath\":\"/run/containerd/containerd.sock\"}]}],\"volumes\":[{\"name\":\"cri\",\"hostPath\":{\"path\":\"$HPATH\"}}]}}" -- sudo -E /bin/bash'

K3S 环境（containerd）

bash
NODENAME=k3s-server-0 NAME=imgutils HPATH=/run/k3s/containerd/containerd.sock  /bin/sh -c 'kubectl run -n kube-system $NAME --rm -ti --image=nmaguiar/imgutils  --overrides="{\"apiVersion\":\"v1\",\"spec\":{\"nodeName\":\"$NODENAME\",\"containers\":[{\"name\":\"$NAME\",\"image\":\"nmaguiar/imgutils\",\"stdin\":true,\"stdinOnce\":true,\"tty\":true,\"args\":[\"sudo\",\"-E\",\"/bin/bash\"],\"env\":[{\"name\":\"CONTAINER_RUNTIME_ENDPOINT\",\"value\":\"unix:///run/containerd/containerd.sock\"}],\"volumeMounts\":[{\"name\":\"cri\",\"mountPath\":\"/run/containerd/containerd.sock\"}]}],\"volumes\":[{\"name\":\"cri\",\"hostPath\":{\"path\":\"$HPATH\"}}]}}" -- sudo -E /bin/bash'

OpenShift 环境（crio）

bash
NODENAME=server-0 NAME=imgutils HPATH=/var/run/crio/crio.sock  /bin/sh -c './kubectl run -n kube-system $NAME --rm -ti --image=nmaguiar/imgutils  --overrides="{\"apiVersion\":\"v1\",\"spec\":{\"nodeName\":\"$NODENAME\",\"containers\":[{\"name\":\"$NAME\",\"image\":\"nmaguiar/imgutils\",\"securityContext\":{\"privileged\":true},\"stdin\":true,\"stdinOnce\":true,\"tty\":true,\"args\":[\"sudo\",\"-E\",\"/bin/bash\"],\"env\":[{\"name\":\"CONTAINER_RUNTIME_ENDPOINT\",\"value\":\"unix:///run/crio/crio.sock\"}],\"volumeMounts\":[{\"name\":\"cri\",\"