Docker Hardened Images 快速入门
本指南将通过一个真实示例,向您展示如何从零开始运行 Docker Hardened Image (DHI)。虽然这些步骤以特定镜像为例,但它们适用于任何 DHI。
提示当从 Docker Hub 上的其他镜像(如 Bitnami 公共目录镜像)迁移到 DHI 时,您可以继续使用您已经熟悉的相同工具和工作流程。请注意,Bitnami 宣布,其公共目录镜像将于 2025 年 9 月 29 日之后不再可用。
在大多数情况下,迁移就像更新您的配置或命令中的镜像引用一样简单。请从本指南开始,然后参阅迁移指南以获取更多详细信息和示例。
步骤 1:注册并订阅 DHI 以获取访问权限
要访问 Docker Hardened Images,您的组织必须注册并订阅。
步骤 2:查找要使用的镜像
订阅后,Docker Hardened Images 将显示在您组织在 Docker Hub 上的命名空间下。
前往 Docker Hub 并登录。
在顶部导航栏中选择 My Hub。
在左侧边栏中,选择您具有 DHI 访问权限的组织。
在左侧边栏中,选择 Hardened Images > Catalog。
使用搜索栏或过滤器查找镜像(例如
python、node、golang)。在本指南中,我们以 Python 镜像为例。
选择 Python 仓库以查看其详细信息。
继续下一步以镜像该镜像。要更深入地探索镜像,请参阅探索 Docker Hardened Images。
步骤 3:镜像该镜像
要使用 Docker Hardened Image,您必须将其镜像到您的组织中。只有组织所有者才能执行此操作。镜像会在您组织的命名空间中创建镜像的副本,从而允许团队成员拉取和使用它。
在镜像仓库页面,选择 Mirror to repository。
注意如果您没有看到 Mirror to repository 按钮,则该仓库可能已经镜像到您的组织中。在这种情况下,您可以选择 View in repository 来查看镜像的位置,或将其镜像到另一个仓库。
按照屏幕上的说明选择一个名称。在本指南中,示例使用的名称是
dhi-python。请注意,名称必须以dhi-开头。
选择 Create repository 开始镜像过程。
所有标签完成镜像可能需要几分钟。镜像完成后,镜像仓库会出现在您组织的命名空间中。例如,在 Docker Hub 中,转到 My Hub > 您的组织 > Repositories,您应该能看到 dhi-python 列出。现在您可以像拉取任何其他镜像一样拉取它。
继续下一步以拉取并运行该镜像。要更深入地了解镜像的镜像操作,请参阅镜像 Docker Hardened Image 仓库。
步骤 4:拉取并运行镜像
将镜像镜像到您的组织后,您可以像拉取和运行任何其他 Docker 镜像一样操作。请注意,Docker Hardened Images 旨在实现最小化和安全性,因此它们可能不包含您在典型镜像中所期望的所有工具或库。您可以在采用 DHI 时的注意事项中查看典型差异。
以下示例演示了您可以运行 Python 镜像并执行一个简单的 Python 命令,就像使用任何其他 Docker 镜像一样。
拉取镜像后的镜像。打开终端并运行以下命令,将
<your-namespace>替换为您组织的命名空间。$ docker pull <your-namespace>/dhi-python:3.13运行镜像以确认一切正常。
$ docker run --rm <your-namespace>/dhi-python:3.13 python -c "print('Hello from DHI')"这将从
dhi-python:3.13镜像启动一个容器,并运行一个简单的 Python 脚本,打印出Hello from DHI。
要更深入地了解如何使用镜像,请参阅使用 Docker Hardened Image。
接下来做什么
您已经拉取并运行了您的第一个 Docker Hardened Image。以下是一些继续探索的方式:
将现有应用程序迁移到 DHI:了解如何更新您的 Dockerfile 以使用 Docker Hardened Images 作为基础镜像。
验证 DHI:使用 Docker Scout 或 Cosign 等工具检查和验证已签名的证明,如 SBOM 和来源信息。
扫描 DHI:使用 Docker Scout 或其他扫描器分析镜像,以识别已知的 CVE。