利用Skopeo管理容器镜像

### 利用 Skopeo 管理容器镜像 在容器化技术的应用中，管理容器镜像至关重要。Skopeo 作为一款强大的镜像和注册表操作工具，为 DevOps 团队提供了便捷的镜像管理方案。下面将详细介绍 Skopeo 的安装、验证以及常见命令的使用。 #### 1. Skopeo 简介 Skopeo 是由 Podman 和 Buildah 社区开发的工具，它并非用于运行容器（Podman 的主要功能）或构建 OCI 镜像（Buildah 的主要功能），而是专注于镜像和注册表的操作。它提供了简洁的命令行界面，包含一系列基本的镜像操作命令，在不同场景下都非常实用。 #### 2. 安装 Skopeo Skopeo 是一个 Go 二进制工具，已经为许多发行版打包，也可以直接从源代码构建和安装。以下是在主要发行版上的安装示例： | 发行版 | 安装命令 | | ---- | ---- | | Fedora | `sudo dnf -y install skopeo` | | Debian (Bullseye, Testing, Unstable) | `sudo apt-get update`<br>`sudo apt-get -y install skopeo` | | RHEL 8/9, CentOS 8, CentOS Stream 8/9 | `sudo dnf -y install skopeo` | | RHEL 7, CentOS 7 | `sudo yum -y install skopeo` | | Ubuntu 20.10 及更高版本 | `sudo apt-get -y update`<br>`sudo apt-get -y install skopeo` | | Arch Linux | `sudo pacman –S skopeo` | | openSUSE | `sudo zypper install skopeo` | | macOS | `brew install skopeo` | 此外，Skopeo 还可以从源代码构建，具体方法可参考 [这里](https://github.com/containers/skopeo/blob/main/install.md#building-from-source)。同时，它也有容器镜像版本，可以使用 Podman 运行： ```bash podman run quay.io/skopeo/stable:latest <command> <options> ``` 需要注意的是，截至目前，Skopeo 没有针对 Microsoft Windows 的版本。 #### 3. 验证安装 安装完成后，可以通过运行 `skopeo -h` 或 `skopeo --help` 命令来验证安装是否正确。该命令会显示所有可用的命令及其描述。Skopeo 的完整命令列表如下： - `copy`：使用不同的传输方式（如 Docker 注册表、本地目录、OCI、tarball 等）在不同位置复制镜像。 - `delete`：从目标位置删除镜像。 - `help`：打印帮助命令。 - `inspect`：检查目标位置镜像的元数据、标签和配置。 - `list-tags`：显示特定镜像仓库的可用标签。 - `login`：认证到远程注册表。 - `logout`：从远程注册表注销。 - `manifest-digest`：为文件生成清单摘要。 - `standalone-sign`：使用本地文件发布和签名镜像的调试工具。 - `standalone-verify`：使用本地文件验证镜像签名。 - `sync`：在不同位置同步一个或多个镜像。 #### 4. 跨位置复制镜像 Podman 和 Docker 可以用于拉取和推送镜像，但需要分别执行拉取和推送命令，且本地镜像存储会被拉取的镜像填满，需要定期清理。Skopeo 的 `skopeo copy` 命令提供了更智能、更简单的解决方案。其语法如下： ```bash skopeo copy [command options] SOURCE-IMAGE DESTINATION-IMAGE ``` 其中，`SOURCE-IMAGE` 和 `DESTINATION-IMAGE` 可以是本地或远程位置的镜像，可通过以下传输方式访问： - `docker://docker-reference`：与实现 Docker 注册表 HTTP API V2 的注册表中的镜像相关。 - `containers-storage:[[storage-specifier]]{image-id|docker-reference[@image-id]}`：指本地容器存储中的镜像。 - `dir:path`：指包含清单、层（tarball 格式）和签名的现有本地目录。 - `docker-archive:path[:{docker-reference|@source-index}]`：指通过 `docker save` 或 `podman save` 命令获得的 Docker 存档。 - `docker-daemon:docker-reference|algo:digest`：指 Docker 守护进程内部存储中的镜像。 - `oci:path[:tag]`：指符合 OCI 布局规范的本地路径中的镜像。 - `oci-archive:path[:tag]`：指以 tarball 格式存储的符合 OCI 布局规范的镜像。 - `ostree:docker-reference[@/absolute/repo/path]`：指本地 ostree 仓库中的镜像。 以下是一些 `skopeo copy` 命令的使用示例： - 从远程注册表复制镜像到另一个远程注册表： ```bash skopeo copy \ docker://docker.io/library/nginx:latest \ docker://private-registry.example.com/lab/nginx:latest ``` - 带有认证选项的复制： ```bash skopeo copy \ --src-creds USERNAME:PASSWORD \ --dest-creds USERNAME:PASSWORD \ docker://registry1.example.com/mirror/nginx:latest \ docker://registry2.example.com/lab/nginx:latest ``` - 预认证到目标注册表后复制： ```bash skopeo login private-registry.example.com skopeo copy \ docker://docker.io/libr ```