redemonbr/podman-steroids
redemonbr
包含Podman及多种增强工具的Docker镜像,用于构建、审计OCI和Docker容器,管理仓库,体积小巧(Alpine变体小于180MB)。
下载次数: 0状态:社区镜像维护者:redemonbr仓库类型:镜像最近更新:13 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Podman Steroids
Podman增强版镜像,集成多种工具用于构建、审计容器及管理仓库
镜像概述
该镜像包含用于构建、审计和发布OCI与Docker镜像及容器的工具,且镜像体积小巧(Alpine变体小于180MB)。 包含以下工具:
- https://podman.io 容器/ Pod 管理器
- https://www.qemu.org 机器模拟器/虚拟化工具,用于跨平台容器构建
- https://github.com/google/go-containerregistry 用于与远程镜像和仓库交互的工具
- https://github.com/sigstore/cosign 容器签名工具
- https://github.com/anchore/grype 容器漏洞扫描器
- ORAS OCI制品管理器
- https://github.com/containers/skopeo 镜像仓库管理CLI工具
- https://github.com/anchore/syft 用于生成软件物料清单(SBOM)的工具
基础镜像
目前,仅以https://hub.docker.com/_/alpine%E4%BD%9C%E4%B8%BA%E5%9F%BA%E7%A1%80%E5%AE%B9%E5%99%A8%E7%B3%BB%E7%BB%9F%E3%80%82%E4%BD%86%E7%94%B1%E4%BA%8E%E9%83%A8%E5%88%86%60glib%60%E5%B7%A5%E5%85%B7%E7%9A%84%E9%9C%80%E6%B1%82%EF%BC%8C%E8%AE%A1%E5%88%92%E6%94%AF%E6%8C%81%E6%9B%B4%E5%A4%9A%E5%9F%BA%E7%A1%80%E9%95%9C%E5%83%8F%E3%80%82
默认变体(<version>)
这是默认镜像,基于最新稳定版Alpine Linux构建,包含Qemu的所有架构模拟器。
最小变体(<version>-minimal)
最小变体仅支持有限的 foreign 架构模拟,仅支持ARM(arm/v7、arm64/v8 - 小端变体)和x86(386和amd64)架构,以减小拉取体积(小于150MB),相比默认变体更轻量。
这些是最常用的架构,构建的镜像可在大多数设备上运行,包括Apple macOS设备(Apple Silicon或Intel CPU)、x86 CPU的Linux(AMD/Intel)、ARM v7设备(如Raspberry Pi 2及更高版本)以及WSL - Windows子系统Linux。
在某些情况下,这些镜像可能能够构建其他架构(如
arm/v5或arm/v6,由于与arm/v7的兼容性),但不提供支持。
如需更多架构支持,请使用包含所有Qemu模拟器的默认变体。
未来可能会移除对32位架构(即arm/v7和386)的支持,以进一步减小体积。
Edge变体(<version>-edge)
Alpine "Edge"变体包含Alpine Edge仓库中最新版本的Podman及相关工具,但不保证上游兼容性。
建议仅在开发环境中谨慎使用,以了解上游包的更新动向。为保证稳定性,避免在生产环境中使用。
有关Alpine Edge的更多信息,请查看https://wiki.alpinelinux.org/wiki/Repositories#Edge%E3%80%82
镜像来源
- 仓库:https://gitlab.com/rdnxk/podman-steroids
- 问题跟踪:https://gitlab.com/rdnxk/podman-steroids/-/issues
- Containerfile:https://gitlab.com/rdnxk/podman-steroids/-/blob/master/alpine/Containerfile
这些镜像每周自动更新。
镜像摘要附加了证明、软件物料清单(SBOM)和签名:
- 证明:附加了CycloneDX格式的证明断言(JSON格式,
application/cyclonedx+json)。CycloneDX是现代软件供应链标准。 - SBOM:附加了https://github.com/anchore/syft%E7%94%9F%E6%88%90%E7%9A%84SBOM%EF%BC%88JSON%E6%A0%BC%E5%BC%8F%EF%BC%8C%60application/vnd.syft+json%60%EF%BC%89%E3%80%82Syft SBOM可与https://github.com/anchore/grype%E9%85%8D%E5%90%88%E4%BD%BF%E7%94%A8%E8%BF%9B%E8%A1%8C%E6%BC%8F%E6%B4%9E%E6%89%AB%E6%8F%8F%E3%80%82
_注意:2023年8月13日前,证明采用[***]
OCI制品
其他OCI制品推送到此仓库,包括许可证、公钥和README,带有以下标签:
- license:指向最新许可证
- license_<DATE>:指向指定
DATE时间推送的许可证。当最新许可证更新时有用。 - publickey:指向最新公钥
- publickey_<DATE>:指向指定
DATE时间推送的公钥。当用于签名旧镜像和制品的密钥轮换时有用。 - readme:指向最新README
- readme_<DATE>:指向指定
DATE时间推送的README。当最新README更新时有用。
公钥可用于验证镜像和制品的真实性,使用方法如下:
bash## 显示与镜像相关的签名和制品 $ cosign triangulate docker.io/redemonbr/podman-steroids:latest $ cosign tree docker.io/redemonbr/podman-steroids:latest ## 拉取/下载公钥(将保存为cosign.pub) $ oras pull docker.io/redemonbr/podman-steroids:publickey ## 验证镜像(通过清单/标签或摘要)、SBOM和证明 $ cosign verify --key cosign.pub docker.io/redemonbr/podman-steroids:latest $ cosign verify --key cosign.pub docker.io/redemonbr/podman-steroids@sha256:... $ cosign verify --attachment sbom --key cosign.pub docker.io/redemonbr/podman-steroids@sha256:... $ cosign verify-attestation --type cyclonedx --key cosign.pub docker.io/redemonbr/podman-steroids@sha256:...
支持的环境变量
所有来自捆绑包和工具的环境变量均被支持,如BUILDAH_FORMAT、STORAGE_DRIVER、CONTAINER_SSHKEY等。
此镜像仅实现一个用于自定义行为的环境变量:
- BINFMT_CONF_QUIET:若为
0或false,则不会在入口点抑制qemu-binfmt-conf.sh的输出。默认抑制输出,默认值为1(抑制输出)。
使用此镜像
使用--privileged在Podman容器中运行Podman
需要特权访问。以下以Podman为例,但也适用于Docker引擎:
console###### 在主机中 ###### $ podman run --privileged --rm --name podman-steroids -it docker.io/redemonbr/podman-steroids:latest /bin/bash ###### 在容器中 ###### ## 在另一个Ubuntu容器中运行命令 $ podman run --rm --name ubuntu docker.io/ubuntu:latest "echo hello world from ubuntu container" ## 生成Ubuntu镜像的SBOM $ syft packages --output syft-json --file syft-sbom.json registry:docker.io/ubuntu:latest ## 扫描Ubuntu SBOM中的漏洞 $ grype sbom:./syft-sbom.json
使用--privileged在Docker中运行Podman
在安装了Docker的主机中:
console# docker run --privileged --rm --name podman-steroids redemonbr/podman-steroids:latest podman version
GitLab-CI持续集成示例
以GitLab容器仓库为例。
若示例包含签名,需在GitLab CI密钥中存储cosign密钥对(https://github.com/sigstore/cosign/blob/main/README.md#generate-a-keypair%EF%BC%89%EF%BC%9A
- COSIGN_PRIVATE_KEY:文件类型,包含私钥内容
- COSIGN_PUBLIC_KEY:文件类型,包含公钥内容
- COSIGN_PASSWORD:变量类型,包含密码。https://gitlab.com/help/ci/variables/index#mask-a-cicd-variable
GitLab CI预定义了一些变量,包括CI_REGISTRY、CI_REGISTRY_USER、CI_REGISTRY_PASSWORD和CI_PROJECT_PATH。更多信息见https://docs.gitlab.com/ee/ci/variables/predefined_variables.html%E3%80%82
基本使用示例
简单构建和推送:
ymlbuild: stage: build image: docker.xuanyuan.run/redemonbr/podman-steroids:latest variables: IMAGE_REPO: $CI_REGISTRY/$CI_PROJECT_PATH/my-image TAG: example script: - podman login --username $CI_REGISTRY_USER --password $CI_REGISTRY_PASSWORD $CI_REGISTRY - podman build --tag $IMAGE_REPO:$TAG . - podman push $IMAGE_REPO:$TAG
附加签名、SBOM和证明
构建镜像,签名镜像,生成并附加SBOM(软件物料清单)和证明到远程仓库中的镜像。
注意:假设GitLab CI密钥中已设置COSIGN_PRIVATE_KEY和COSIGN_PUBLIC_KEY
ymlbuild: stage: build image: docker.xuanyuan.run/redemonbr/podman-steroids:latest variables: IMAGE_REPO: $CI_REGISTRY/$CI_PROJECT_PATH/my-image TAG: example before_script: - podman login --username $CI_REGISTRY_USER --password $CI_REGISTRY_PASSWORD $CI_REGISTRY - cosign login --username $CI_REGISTRY_USER --password $CI_REGISTRY_PASSWORD $CI_REGISTRY script: - podman build --squash --jobs $(nproc) --tag $IMAGE_REPO:$TAG . - podman push $IMAGE_REPO:$TAG ## 签名镜像并推送签名,然后验证 - cosign sign --yes --key $COSIGN_PRIVATE_KEY $IMAGE_REPO:$TAG - cosign verify --key $COSIGN_PUBLIC_KEY $IMAGE_REPO:$TAG ## 生成SBOM,附加到远程容器仓库,签名并验证 - syft packages --output syft-json --file syft-sbom.json $IMAGE_REPO:$TAG - cosign attach sbom --type syft --sbom syft-sbom.json $IMAGE_REPO:$TAG - cosign sign --yes --attachment sbom --key $COSIGN_PRIVATE_KEY $IMAGE_REPO:$TAG - cosign verify --attachment sbom --key $COSIGN_PUBLIC_KEY $IMAGE_REPO:$TAG ## 扫描SBOM中的漏洞 - grype sbom:./syft-sbom.json ## 生成证明,附加到远程容器仓库并验证 - syft packages --output cyclonedx-json --file cyclonedx-sbom.json $IMAGE_REPO:$TAG - cosign attest --yes --type cyclonedx --predicate cyclonedx-sbom.json --key $COSIGN_PRIVATE_KEY $IMAGE_REPO:$TAG - cosign verify-attestation --type cyclonedx --key $COSIGN_PUBLIC_KEY $IMAGE_REPO:$TAG
更多信息,请查看生成此镜像的https://gitlab.com/rdnxk/podman-steroids%E3%80%82
GitLab-CI多架构镜像构建
使用https://docs.podman.io/en/latest/markdown/podman-manifest.1.html%EF%BC%88%E8%80%8C%E9%9D%9E%E6%A0%87%E7%AD%BE%EF%BC%89%E6%9E%84%E5%BB%BA%E5%A4%9A%E6%9E%B6%E6%9E%84%E9%95%9C%E5%83%8F%E5%B9%B6%E6%8E%A8%E9%80%81%E5%88%B0%E8%BF%9C%E7%A8%8B%E5%AE%B9%E5%99%A8%E4%BB%93%E5%BA%93%E3%80%82
ymlbuild: stage: build image: docker.xuanyuan.run/redemonbr/podman-steroids:latest variables: IMAGE_REPO: docker.io/namespace/my-image REGISTRY_USER: my-user REGISTRY_PASSWORD: password-safely-stored-in-secret-manager MANIFEST_NAME: example PLATFORMS: linux/amd64,linux/i386,linux/arm64/v8,linux/arm/v7 before_script: - podman login --username $REGISTRY_USER --password $REGISTRY_PASSWORD docker.io - cosign login --username $REGISTRY_USER --password $REGISTRY_PASSWORD docker.io script: - podman build --squash --jobs $(nproc) --platform $PLATFORMS --manifest $IMAGE_REPO:$MANIFEST_NAME . - podman manifest push $IMAGE_REPO:$MANIFEST_NAME $IMAGE_REPO:$MANIFEST_NAME ## 递归签名清单列表中包含的所有平台 - cosign sign --yes --key $COSIGN_PRIVATE_KEY --recursive $IMAGE_REPO:$MANIFEST_NAME
更多GitLab CI使用方法,请查看https://gitlab.com/rdnxk/podman-steroids%EF%BC%8C%E4%BA%86%E8%A7%A3%E5%85%B6%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8GitLab CI进行自动构建。
注意事项
模拟其他架构
Podman使用Buildah构建容器镜像。
虽然Buildah和Podman在构建过程中可以使用 foreign 平台的基础镜像并通过COPY/ADD添加资源,但RUN指令需要QEMU提供的模拟。
为使RUN指令能被模拟,QEMU依赖主机提供的 hypervisor(即加速器),如KVM。
若主机不支持这些加速器,foreign平台的RUN指令可能失败。
即使没有KVM,在某些情况下(如较新版本的Linux内核、高性能主机等),QEMU也能模拟foreign平台,但性能较低。有关QEMU加速器支持的更多信息,请阅读https://www.qemu.org/docs/master/system/introduction.html%E3%80%82
大多数云虚拟专用服务器提供商不提供支持KVM的虚拟机。因此,若在云环境中使用自定义CI运行器或在虚拟机中使用此镜像,请确保https://wiki.archlinux.org/title/KVM#Hardware_support%E3%80%82
更多信息:
- https://docs.podman.io/en/latest/markdown/podman-build.1.html#platform-os-arch-variant
如何允许Docker模拟其他架构
本项目提供一份关于如何让Docker模拟其他架构以运行和构建容器的实时文档。rdnxk的自定义GitLab CI运行器使用Docker,类似于本教程中的配置。
查看https://gitlab.com/rdnxk/podman-steroids/-/blob/main/multi-arch-docker.md%E3%80%82
TODO
以下是未来版本的计划。不保证实现,但会在有时间时跟踪:
- 支持无根模式
- Fedora构建,用于
glib及相关工具 - 更多多架构教程,包括Podman
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 podman-steroids 镜像标签
docker pull docker.xuanyuan.run/redemonbr/podman-steroids:<标签>
DockerHub 原生拉取命令
docker pull redemonbr/podman-steroids:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"