热门搜索:
padhihomelab/alpine-base
padhihomelab
这是一个轻量级多架构Alpine Linux Docker基础镜像,集成tini init系统、模块化入口点和su-exec权限降低功能,仅比官方Alpine镜像增加约50KB,适合作为构建安全、高效容器的基础。
1 次收藏下载次数: 0状态:社区镜像维护者:padhihomelab仓库类型:镜像最近更新:18 天前
docker_alpine-base
一个轻量级多架构Alpine Linux Docker镜像,在官方Alpine基础上仅增加约50KB,集成了tini init系统、模块化入口点和su-exec权限降低功能,支持多种硬件架构,适合作为构建其他容器的基础镜像。
镜像概述
该镜像基于Alpine Linux,专注于轻量级和安全性,主要特点包括:
- 多架构支持:386、amd64、arm/v6、arm/v7、arm64、ppc64le、s390x、riscv64
- 极小体积:仅比官方Alpine镜像增加约50KB
- 内置tini init系统,解决PID 1僵尸进程回收问题
- 模块化入口点,支持预启动配置脚本
- 自动权限降低功能,提升容器安全性
核心功能与特性
核心组件
- tini:轻量级init系统,支持进程subreaping,解决僵尸进程问题
- 模块化entrypoint:灵活的入口点脚本,支持预启动配置
- su-exec:轻量级权限切换工具,实现从root到普通用户的安全权限降低
环境变量
以下环境变量可控制入口点行为,可通过ENV指令在Dockerfile中设置或通过docker run -e参数传递:
控制权限降低
DOCKER_UID:默认"12345",普通用户UIDDOCKER_GID:默认"23456",普通用户组GIDDOCKER_USER:默认"user",普通用户名DOCKER_GROUP:默认"user",普通用户组名
控制入口点行为
ENTRYPOINT_D:默认"/etc/docker-entrypoint.d",配置脚本目录ENTRYPOINT_RUN_AS_ROOT:默认"",非空时禁用权限降低ENTRYPOINT_SKIP_CONFIG:默认"",非空时禁用配置脚本执行ENTRYPOINT_LOG_THRESHOLD:默认1,日志级别阈值(1=调试,2=信息,3=警告,4=错误,≥5=禁用)
配置脚本
可在ENTRYPOINT_D目录中放置额外配置脚本,入口点会在执行CMD前运行所有带可执行权限的.sh脚本。添加方式:
- 在Dockerfile中使用
COPY指令复制脚本到${ENTRYPOINT_D} - 运行时通过
-v参数挂载脚本到${ENTRYPOINT_D}
使用场景
- 作为构建其他Docker镜像的基础镜像
- 需要轻量级运行环境的应用
- 关注容器安全性,需降低进程权限的场景
- 运行后台服务,需处理僵尸进程的场景
- 多架构部署需求的应用
使用方法
在Dockerfile中作为基础镜像
dockerfileFROM padhihomelab/alpine-base # 修改环境变量默认值(如有需要) ENV ENTRYPOINT_LOG_THRESHOLD 3 # 添加配置脚本(如有需要) COPY config_scripts/*.sh ${ENTRYPOINT_D}/ RUN chmod +x ${ENTRYPOINT_D}/*.sh # ... 其他自定义配置 ...
注意:请勿修改镜像的ENTRYPOINT指令
运行派生镜像
通常建议运行时设置DOCKER_UID以匹配宿主机用户UID,避免权限问题:
console$ docker run -e DOCKER_UID=`id -u` -i padhihomelab/alpine-base ps aux 2020-11-22 11:27:43 docker-entrypoint (INFO) 创建用户组 'user',GID=23456... 2020-11-22 11:27:43 docker-entrypoint (DBUG) + 用户组创建成功。 2020-11-22 11:27:43 docker-entrypoint (INFO) 创建用户 'user',UID=1000,隶属组 'user'... 2020-11-22 11:27:43 docker-entrypoint (DBUG) + 用户创建成功。 2020-11-22 11:27:43 docker-entrypoint (INFO) /etc/docker-entrypoint.d 中未找到文件,跳过配置。 2020-11-22 11:27:43 docker-entrypoint (INFO) 准备启动! PID USER TIME COMMAND 1 root 0:00 tini /usr/local/bin/docker-entrypoint ps aux 6 user 0:00 ps aux
FAQ
是否需要覆盖UID、GID等变量?为什么暴露这些变量?
是的,当容器需要写入宿主机文件系统时建议覆盖。若仅进行只读操作或不使用宿主机卷,则无需设置。
- 不降低权限时,容器写入宿主机的文件会属于root,宿主机非root用户难以处理
- 降低权限后,文件会属于
$DOCKER_UID,若与宿主机用户UID不一致,宿主机处理文件会有困难
更多细节可参考@vsupalov的博客文章:Avoiding Permission Issues With Docker-Created Files。
什么是tini?真的需要吗?
tini是一个极轻量级的init系统。详情可参考https://github.com/Yelp的文章:"https://github.com/Yelp/dumb-init#why-you-need-an-init-system"。
为什么不使用dumb-init或其他init系统?
主要原因是tini支持Zombie processes的https://github.com/krallin/tini#subreaping,而dumb-init不支持。具体原因可参考Hongli Lai的博客文章:"Docker and the PID 1 zombie reaping problem"。
更多细节:
- "https://gist.github.com/StevenACoffman/41fee08e8782b411a4a26b9700ad7af5#dumb-init-or-tini"(@StevenACoffman)
- "https://github.com/krallin/tini#why-tini"(@krallin)
什么是su-exec?真的需要吗?
su-exec用于在运行命令前将权限从root降低到$DOCKER_USER。除确实需要root权限运行的场景外,建议使用以提升安全性。
相关安全讨论:
- Docker containers with root privileges(Maciej Solnica)
- Less capabilities, more security: minimize privilege escalation in Docker(Itamar Tuerner-Trauring)
为什么不使用su、gosu或sudo?
主要原因是su-exec比gosu体积更小,且没有su和sudo的特性缺陷。更多细节:
- https://github.com/tianon/gosu#why 和 https://github.com/tianon/gosu#alternatives(@tianon)
- "https://gist.github.com/StevenACoffman/41fee08e8782b411a4a26b9700ad7af5#gosu-or-su-exec"(@StevenACoffman)
为什么不使用s6等进程管理套件?
s6功能强大,包含tini和su-exec的功能及更多工具,但对于大多数轻量级使用场景(如小型单板计算机)而言过于重量级,本镜像追求最小体积和资源占用。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 alpine-base 镜像标签
docker pull docker.xuanyuan.run/padhihomelab/alpine-base:<标签>
DockerHub 原生拉取命令
docker pull padhihomelab/alpine-base:<标签>
更多 alpine-base 镜像推荐
forumi0721/alpine-base
forumi0721
基于Alpine Linux的多架构基础Docker镜像,支持x64、aarch64、armv7架构,适用于作为构建其他Docker镜像的基础镜像。
10万+ 次下载
7 天前更新
akoskuczi/alpine-base
akoskuczi
暂无描述
5万+ 次下载
1 年前更新
woahbase/alpine-base
woahbase
Alpine Linux的多架构基础镜像,支持多种硬件架构,可作为跨平台应用部署的基础环境。
2 次收藏1万+ 次下载
8 天前更新
chruth/alpine-base
chruth
基于Alpine Linux的基础镜像,集成s6-overlay进程管理工具,提供轻量级容器环境与可靠的进程生命周期管理能力。
1 次收藏1万+ 次下载
1 年前更新
3xpo/alpine-base
3xpo
Alpine Linux的基础镜像,相比3xpo/base(Arch Linux基础镜像),提供更最新版本的Alpine系统,并包含一个用户账户。
1万+ 次下载
11 个月前更新
pkgforge/alpine-base
pkgforge
暂无描述
1万+ 次下载
6 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"