Docker Hardened Images 快速入門
本指南將透過一個真實示例,向您展示如何從零開始執行 Docker Hardened Image (DHI)。雖然這些步驟以特定映象為例,但它們適用於任何 DHI。
提示當從 Docker Hub 上的其他映象(如 Bitnami 公共目錄映象)遷移到 DHI 時,您可以繼續使用您已經熟悉的相同工具和工作流程。請注意,Bitnami 宣佈,其公共目錄映象將於 2025 年 9 月 29 日之後不再可用。
在大多數情況下,遷移就像更新您的配置或命令中的映象引用一樣簡單。請從本指南開始,然後參閱遷移指南以獲取更多詳細資訊和示例。
步驟 1:註冊並訂閱 DHI 以獲取訪問許可權
要訪問 Docker Hardened Images,您的組織必須註冊並訂閱。
步驟 2:查詢要使用的映象
訂閱後,Docker Hardened Images 將顯示在您組織在 Docker Hub 上的名稱空間下。
前往 Docker Hub 並登入。
在頂部導航欄中選擇 My Hub。
在左側邊欄中,選擇您具有 DHI 訪問許可權的組織。
在左側邊欄中,選擇 Hardened Images > Catalog。
使用搜索欄或過濾器查詢映象(例如
python、node、golang)。在本指南中,我們以 Python 映象為例。
選擇 Python 倉庫以檢視其詳細資訊。
繼續下一步以映象該映象。要更深入地探索映象,請參閱探索 Docker Hardened Images。
步驟 3:映象該映象
要使用 Docker Hardened Image,您必須將其映象到您的組織中。只有組織所有者才能執行此操作。映象會在您組織的名稱空間中建立映象的副本,從而允許團隊成員拉取和使用它。
在映象倉庫頁面,選擇 Mirror to repository。
注意如果您沒有看到 Mirror to repository 按鈕,則該倉庫可能已經映象到您的組織中。在這種情況下,您可以選擇 View in repository 來檢視映象的位置,或將其映象到另一個倉庫。
按照螢幕上的說明選擇一個名稱。在本指南中,示例使用的名稱是
dhi-python。請注意,名稱必須以dhi-開頭。
選擇 Create repository 開始映象過程。
所有標籤完成映象可能需要幾分鐘。映象完成後,映象倉庫會出現在您組織的名稱空間中。例如,在 Docker Hub 中,轉到 My Hub > 您的組織 > Repositories,您應該能看到 dhi-python 列出。現在您可以像拉取任何其他映象一樣拉取它。
繼續下一步以拉取並執行該映象。要更深入地瞭解映象的映象操作,請參閱映象 Docker Hardened Image 倉庫。
步驟 4:拉取並執行映象
將映象映象到您的組織後,您可以像拉取和執行任何其他 Docker 映象一樣操作。請注意,Docker Hardened Images 旨在實現最小化和安全性,因此它們可能不包含您在典型映象中所期望的所有工具或庫。您可以在採用 DHI 時的注意事項中檢視典型差異。
以下示例演示了您可以執行 Python 映象並執行一個簡單的 Python 命令,就像使用任何其他 Docker 映象一樣。
拉取映象後的映象。開啟終端並執行以下命令,將
<your-namespace>替換為您組織的名稱空間。$ docker pull <your-namespace>/dhi-python:3.13執行映象以確認一切正常。
$ docker run --rm <your-namespace>/dhi-python:3.13 python -c "print('Hello from DHI')"這將從
dhi-python:3.13映象啟動一個容器,並執行一個簡單的 Python 指令碼,打印出Hello from DHI。
要更深入地瞭解如何使用映象,請參閱使用 Docker Hardened Image。
接下來做什麼
您已經拉取並運行了您的第一個 Docker Hardened Image。以下是一些繼續探索的方式:
將現有應用程式遷移到 DHI:瞭解如何更新您的 Dockerfile 以使用 Docker Hardened Images 作為基礎映象。
驗證 DHI:使用 Docker Scout 或 Cosign 等工具檢查和驗證已簽名的證明,如 SBOM 和來源資訊。
掃描 DHI:使用 Docker Scout 或其他掃描器分析映象,以識別已知的 CVE。