我有一堆在服务器上运行的Docker容器,我对所有容器都使用了"latest"标签或者没有标签。现在我想要冻结这些镜像的版本,但是我不知道我何时拉取了这些镜像,所以我无法确定"latest"指的是哪个版本。docker ps
只显示容器使用了"latest"或没有标签,就像这样:
# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
371d6675888b node:latest "npm start" 6 days ago Up 2 hours project_xyz_1
ca5a75425a34 selenium/node-chrome "/usr/bin/nohup go..." 6 days ago Up 2 hours project_xyz-chrome_1
...
我使用的所有图像都是来自Docker Hub的公共图像。
我原本想使用 "docker ps" 显示的十六进制ID作为所有容器的ID,但后来发现这些ID是容器ID而不是镜像ID。
也许可以获取所有正在运行的容器的镜像ID或哈希值,然后扫描所有匹配的标签或类似的内容?
Docker版本:18.09.1,构建4c52b90
编辑:
已经有一些回答显示如何获取镜像的ID(摘要),但我需要以某种方式找到这些镜像的实际标签。
经过一些研究,我发现Docker Hub有一个API,并且有一种方法可以获取给定图像的所有标签,还有一种方法可以获取给定图像+标签的摘要。在查看了API和来自stackoverflow的许多示例之后,我得出了以下结论: (它还包括获取本地映像的摘要所需的代码,从下面的答案中获得)
function getDigestByImageNameWithTag () {
TARGET_IMAGE_NAME_WITH_TAG="$1" # works with and without tag
docker image inspect --format '{{index .RepoDigests 0}}' "$TARGET_IMAGE_NAME_WITH_TAG" | cut -d '@' -f2
}
function getTagsByDigest () {
TARGET_IMAGE_NAME="$1"
TARGET_DIGEST="$2"
# prepend the image name with "library/" if it doesn't contain a slash
if [[ $TARGET_IMAGE_NAME != *"/"* ]]; then
TARGET_IMAGE_NAME="library/$TARGET_IMAGE_NAME"
fi
# get authorization token for the given image name
TOKEN=$(curl -s "https://auth.docker.io/token?service=registry.docker.io&scope=repository:$TARGET_IMAGE_NAME:pull" | jq -r .token)
# find all tags for the given image name
ALL_TAGS=$(curl -s -H "Authorization: Bearer $TOKEN" https://index.docker.io/v2/$TARGET_IMAGE_NAME/tags/list | jq -r .tags[])
# itate over all these tags
for TAG in ${ALL_TAGS[@]}; do
# get image digest
DIGEST=$(curl -s -D - -H "Authorization: Bearer $TOKEN" -H "Accept: application/vnd.docker.distribution.manifest.v2+json" https://index.docker.io/v2/$TARGET_IMAGE_NAME/manifests/$TAG | grep Docker-Content-Digest | cut -d ' ' -f 2)
# if the tag matches the given digest
if [[ $TARGET_DIGEST = $DIGEST ]]; then
# "return" the tag
echo "$TAG"
fi
done
}
function getContainerImageNames () {
docker inspect $(docker ps | awk '{print $2}' | grep -v ID) | jq .[].RepoTags | grep -v "\[" | grep -v "\]" | grep " " | cut -d '"' -f2 | cut -d '/' -f2-
}
# get all image names of all local containers
IMGS_WITH_TAG=$(getContainerImageNames)
# iterate of those image names
for IMAGE_NAME_WITH_TAG in ${IMGS_WITH_TAG[@]}; do
# get the digest of the current iteration's IMAGE_NAME_WITH_TAG
DIGEST=$(getDigestByImageNameWithTag $IMAGE_NAME_WITH_TAG)
echo "TARGET_DIGEST: $DIGEST"
# get the raw image name without the tag
IMAGE_NAME=$(echo "$IMAGE_NAME_WITH_TAG" | cut -d ':' -f1)
# find all tags for this image that have the same digest
MATCHING_TAGS=$(getTagsByDigest $IMAGE_NAME $DIGEST)
echo "Image: $IMAGE_NAME_WITH_TAG"
echo "Image digest: $IMAGE_NAME"
echo "Image tags with same digest: "
echo "$MATCHING_TAGS"
echo "-----------------------------"
done
很不幸,似乎需要花费很长时间才能完成。我不确定是否做错了什么,但这是我能想到的最好方法。
有没有什么办法可以使它正常工作?
docker ps | awk '{print $2}' | grep -v ID
等价于docker ps --format '{{.ID}}'
。你能分享一种测试脚本并为某些标签填充一些 Docker 映像的方法吗? - KamilCukdocker run -d -t --name=test node:11 bash
。在这种情况下,具有相同摘要的标签将是11.15.0-stretch、11.15-stretch、11-stretch、11.15.0、11.15、11。所以脚本应该返回这些内容。 - Forivin