23. Docker image Digest你真的了解吗?

我们知道镜像的版本是通过tag来实现的。一般我们通过版本号来识别镜像。但是随时大量的实践,我们发现黑客可以篡改这个镜像,毕竟Docker是个集装箱,我们并不能天天解压文件来检查它有没有木马。所以,Docker 镜像增加了Digest的,类似如下:

quay.io/cilium/cilium:v1.12.3@sha256:30de50c4dc0a1e1077e9e7917a54d5cab253058b3f779822aec00f5c817ca826

quay.io/cilium/cilium@sha256:30de50c4dc0a1e1077e9e7917a54d5cab253058b3f779822aec00f5c817ca826

仔细看下的命令执行结果:

[root@ip-172-31-5-74 ~]# nerdctl pull quay.io/cilium/cilium:v1.12.3@sha256:30de50c4dc0a1e1077e9e7917a54d5cab253058b3f779822aec00f5c817ca826
quay.io/cilium/cilium@sha256:30de50c4dc0a1e1077e9e7917a54d5cab253058b3f779822aec00f5c817ca826: resolved       |++++++++++++++++++++++++++++++++++++++| 
index-sha256:30de50c4dc0a1e1077e9e7917a54d5cab253058b3f77

你可能感兴趣的:(Kubernetes,实践入门指南,容器,kubernetes)