搜索结果: "image"

tags: [docker, image, container, build, deployment, security]

- raw/articles/docker-image-slimming-4-steps.md

trivy image --exit-code 1 --severity HIGH,CRITICAL myapp:1.0.0

IMAGE="${REGISTRY}/${APP_NAME}:${VERSION}"

--label "org.opencontainers.image.version=${VERSION}" \

IMAGE_NAME = "myapp"

docker build -t ${REGISTRY}/${IMAGE_NAME}:${VERSION} .

docker push ${REGISTRY}/${IMAGE_NAME}:${VERSION}

sh 'trivy image --exit-code 1 --severity HIGH,CRITICAL ${REGISTRY}/${IMAGE_NAME}:${VERSION}'

image:

| 10 | 镜像拉取失败雪崩 | 多应用 | P2 中等 | imagePullPolicy + 私有仓库 |

**故障链：** 一个新 Deployment 因镜像 tag 写错，所有 Pod 反复 ImagePullBackOff → 同时大量拉取请求打满私有仓库带宽。

**修复：** `imagePullPolicy: IfNotPresent`（避免重复拉取）、私有仓库限流 + 镜像预缓存（Harbor P2P）、CI 中验证镜像存在后再部署。

| [[pod-troubleshooting]] | 案例 10：ImagePullBackOff |

| [[docker-image-optimization]] | 案例 10：镜像拉取策略 |

> 🔙 **回滚：** 如果是新版镜像导致的，快速 `kubectl set image deployment/ =` 回退版本。

kubectl run test --image=busybox -it --rm -- sh

## 问题四：镜像拉取失败（ImagePullBackOff）

| 确认拉取策略 | `kubectl get pod ... -o yaml \| grep imagePullPolicy` | 策略不当导致使用错误镜像 |

| 检查 Secret | `kubectl get pod ... -o jsonpath='{.spec.imagePullSecrets}'` | 私有仓缺少认证 |

sudo crictl images

sudo ctr -n k8s.io images prune -f

> ⚠️ **不要盲目删除** `/var/lib/containerd/overlay2` 下的镜像文件，可能导致正在运行的容器异常。使用 `ctr -n k8s.io images prune` 清理。

sudo ctr -n k8s.io images prune -f # 清理未使用镜像

**常见错误：** cgroupDriver 不一致、evictionHard 格式错误、serializeImagePulls 值类型错误。

kubectl run debug-pod --image=image> --rm -it -- sh -c "sleep 3600"

kubectl run net-test --rm -it --image=nicolaka/netshoot -- bash

kubectl run net-test --rm -it --image=busybox -- sh

## ImagePullBackOff / ErrImagePull

- 私有仓库未配置 `imagePullSecrets`

- Created raw: raw/articles/docker-image-slimming-4-steps.md

- Created concepts: docker-image-optimization, go-static-compilation-docker

- Updated: docker-image-optimization, go-static-compilation-docker（关联页面交叉引用）

- 保留 3 页（D类）：cni-comparison, docker-image-optimization, go-static-compilation-docker — 原本就没有冗余

- Merged into: concepts/docker-image-optimization（从 80 行 → 280+ 行，新增 Dockerfile 指令级缓存策略、BuildKit 高级特性、多语言多阶段示例、安全加固、CI/CD 集成、排障监控、指令速查表）

image: jenkins/jenkins:lts-jdk17

image: "jenkins/inbound-agent:latest-jdk17"

image: "docker:24.0-cli"

kubectl set image -n jenkins-team-a sts/jenkins-master jenkins=jenkins/jenkins:lts-jdk17

docker image prune -a

image: mysql:8.0

| [[docker-image-optimization]] | Docker 镜像优化总纲（镜像瘦身/多阶段构建） |

tags: [docker, image, build, golang, container]

sources: [raw/articles/docker-image-slimming-4-steps.md]

- [[docker-image-optimization]] — Docker 镜像优化总纲

| 4 | 如何优化 Docker 镜像大小？ | 轻量基础镜像 + 多阶段构建 + 清理临时文件 + 合并 RUN + .dockerignore | [[docker-image-optimization]] |

| 55 | overlay2 文件系统原理？ | lowerdir(镜像只读) + upperdir(容器可写) + merged(根文件系统)；COW 机制；分层膨胀→日志优化+清理 | [[docker-image-optimization]] |

| [[docker-image-optimization]] | Docker 镜像优化核心方法论 |

image: payment:latest

image: nginx:latest

image: custom:latest

`kubectl get pod` 的 STATUS 列已能给出初步方向。CrashLoopBackOff 和 ImagePullBackOff 的处理路径完全不同。

| 1 | `kubectl get pods -n ` | 确认 STATUS（CrashLoopBackOff / ImagePullBackOff / Pending / Terminating） |

| ImagePullBackOff | `kubectl describe pod` 事件 | 镜像不存在、认证失败、网络不通 |

参见 [[docker-production-pitfalls]]（Docker 生产踩坑）和 [[docker-image-optimization]]（镜像优化）。

| Image | 容器模板（分层构建） |

image: nginx:1.21

image: fluentd

# - ImagePullBackOff: 镜像拉取失败

kubectl run -n testpod --image=busybox:1.36 \

variable "image_id" { default = "ubuntu_22_04_x64_20G_alibase_20230208.vhd" }

image_id = var.image_id

- image: 镜像构建/优化

image: "busybox:1.32"

| **验证** | `kubectl run -it --rm debug --image=busybox -- nslookup <域名>` |

image: mysql:8.0

kubectl run test --image=busybox -- nslookup mysql-0.mysql.default.svc.cluster.local

- [[docker-image-optimization]] — Docker 镜像优化（多阶段构建与层压缩）

application/xml image/svg+xml;

- [[docker-image-optimization]] — Docker 镜像优化完全指南：瘦身、构建加速与安全加固（多阶段/BuildKit/CI集成）