如何查看Docker镜像内容

技术背景

在使用Docker时，下载镜像后可能需要查看镜像的具体内容，例如检查镜像中是否存在恶意内容、了解镜像中包含的文件和目录结构等。然而，查看镜像内容并非总是直观的操作，因为镜像本身是分层存储的，且并非所有镜像都包含可用于交互的shell。

实现步骤

方法一：通过运行交互式shell容器查看

如果镜像中包含shell（如sh或bash），可以使用以下命令运行一个交互式shell容器：

docker run -it image_name sh

对于设置了entrypoint的镜像，可以使用：

docker run -it --entrypoint sh image_name

方法二：使用docker create和docker export查看

此方法无需启动容器，可直接查看镜像内容：

docker create --name="tmp_$$" image:tag
docker export tmp_$$ | tar t
docker rm tmp_$$

方法三：使用docker save和tar查看

将镜像保存为tar文件，然后解压查看：

docker save nginx > nginx.tar
tar -xvf nginx.tar

方法四：使用dive工具查看

dive是一个用于交互式查看Docker镜像内容的工具：

# 安装dive
# 以Ubuntu为例
curl -sSL https://github.com/wagoodman/dive/releases/download/v0.11.0/dive_0.11.0_linux_amd64.deb -o dive.deb
sudo dpkg -i dive.deb

# 使用dive查看镜像
dive image_name

方法五：使用docker build导出镜像内容

使用docker build命令将镜像内容导出为tar文件：

echo 'from node:18-alpine' | docker build --output type=tar,dest=test-docker.tar -

核心代码

以下是使用docker create和docker export查看镜像内容的核心代码：

docker create --name="tmp_$$" image:tag
docker export tmp_$$ | tar t
docker rm tmp_$$

最佳实践

• 在使用交互式shell容器查看镜像内容时，确保镜像中包含可用的shell。
• 使用docker create和docker export方法时，若遇到No command specified错误，可在docker create命令末尾添加一个虚拟命令，如ls。
• 使用docker save方法时，建议指定镜像标签，如docker save --output nginx.tar nginx:latest。

常见问题

镜像中没有可用的shell怎么办？

可以使用docker create和docker export方法，或者使用docker save将镜像保存为tar文件后查看。

在Windows系统上使用docker export tmp_$$ | tar t命令失败怎么办？

可以使用-o参数指定输出文件，如docker export -o c:\temp\tmp_$$.tar tmp_$$。

使用docker build导出镜像内容时没有生成输出文件怎么办？

检查命令是否正确，确保有足够的权限在指定目录生成文件。