如何制作一个标准的产品镜像

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1367 字

4 分钟

如何制作一个标准的产品镜像

2023-06-29

运维

Linux

/

底层原理

某安全厂商向客户交付产品时，每台服务器都要运维人员手动安装操作系统、配置环境、部署应用，50 台机器需要整整一周。制作标准 ISO（International Organization for Standardization，光盘镜像） 产品镜像后，插入 U 盘即可自动完成全量安装，50 台机器半天搞定。

一、什么是产品镜像#

产品镜像通常指的是在软件开发过程中，将一个产品的源代码、配置文件、依赖库等所有必要的文件打包成的一个可执行文件或安装包，用于方便分发、备份以及自动部署和测试。

常见的服务器产品镜像格式包括：

格式	特点	适用场景
RPM	软件包格式	Linux 软件分发
Docker 镜像	容器化封装	应用部署
qcow2	虚拟机磁盘格式	虚拟机环境
ISO	光盘镜像，可启动	裸机安装、自动化部署

二、为什么选择 ISO 镜像#

ISO 镜像提供了最大的软件一致性——无论在何处部署都能保证相同的配置和性能。每次版本升级都能自主管控操作系统层面的所有软件和配置信息。

典型应用场景：

批量装机：数据中心一键安装数百台服务器
离线部署：无法访问外网的环境
版本固化：特定版本的软件栈锁定
合规要求：需要验证每个组件来源的场景
OEM（Original Equipment Manufacturer） 预装：硬件厂商预装软件栈
等保合规：安全加固后的标准化环境

三、关键工具链#

1. kickstart#

kickstart 是 Red Hat 系 Linux 的无人值守安装配置文件：

1
# 生成 kickstart 配置模板
2
system-config-kickstart
3

4
# 验证 kickstart 语法
5
ksvalidator -v RHEL7 ks.cfg

kickstart 核心配置项：

1
# 安装模式
2
install
3
url --url="http://mirror.centos.org/7/os/x86_64"
4

5
# 文本模式安装
6
text
7

8
# 键盘和语言
9
keyboard us
10
lang zh_CN.UTF-8
11

12
# 网络配置
13
network --bootproto=dhcp --device=eth0 --activate
14
network --hostname=product-server
15

16
# 时区
17
timezone Asia/Shanghai --utc
18

19
# 认证
20
auth --enableshadow --passalgo=sha512
21
rootpw --iscrypted $6$rounds=4096$salt$hash
22

23
# 安全配置
24
firewall --enabled --service=ssh
25
selinux --enforcing
26

27
# 分区配置
28
zerombr
29
clearpart --all --initlabel
30
part /boot --fstype=xfs --size=500
31
part pv.01 --size=1 --grow
32
volgroup vg_main pv.01
33
logvol / --vgname=vg_main --size=1 --grow --name=lv_root
34
logvol swap --vgname=vg_main --size=4096 --name=lv_swap
35

36
# 引导装载程序
37
bootloader --location=mbr --append="rhgb quiet"
38

39
# 软件包选择
40
%packages
41
@^minimal-environment
42
chrony
43
curl
44
wget
45
vim
46
bash-completion
47
%end
48

49
# 安装后脚本
50
%post --log=/root/ks-post.log
51
echo "Installation completed" >> /root/completed
52
systemctl enable chronyd
53
%end

2. mkisofs 和 xorriso#

mkisofs 和 xorriso 是打包 ISO 的核心工具，后者是前者的 GNU 替代品，支持更丰富的 UEFI 启动选项。

1
# 使用 mkisofs 打包
2
mkisofs -o product.iso \
3
    -b isolinux/isolinux.bin \
4
    -c isolinux/boot.cat \
5
    -no-emul-boot \
6
    -boot-load-size 4 \
7
    -boot-info-table \
8
    -eltorito-platform 0x80 \
9
    -eltorito-platform 0x00 \
10
    -eltorito-boot isolinux.bin \
11
    -no-emul-boot \
12
    -rock \
13
    -joliet \
14
    -joliet-long \
15
    -output-charset utf-8 \
16
    RR_moved \
17
    boot.cat \
18
    EFI \
19
    images \
20
    LiveOS \
21
    repositories \
22
    isolinux

UEFI（Unified Extensible Firmware Interface） 启动需要额外处理：

1
# 支持 UEFI + BIOS 双启动的 ISO
2
xorriso -as mkisofs \
3
    -o product.iso \
4
    -isohybrid-mbr /usr/share/syslinux/isohdpfx.bin \
5
    -c isolinux/boot.cat \
6
    -b isolinux/isolinux.bin \
7
    -no-emul-boot \
8
    -boot-load-size 4 \
9
    -boot-info-table \
10
    -eltorito-alt-boot \
11
    -e images/efiboot.img \
12
    -no-emul-boot \
13
    -isohybrid-gpt-basdat \
14
    -rock -joliet -joliet-long \
15
    -output-charset utf-8 \
16
    /path/to/iso-root

四、构建流程#

1. 准备源仓库#

1
# 同步官方仓库到本地
2
reposync --repoid=baseos --repoid=appstream -a x86_64 --download_path=/mnt/local-repo
3

4
# 创建本地 repo 文件
5
cat > /etc/yum.repos.d/local.repo <<EOF
6
[local-baseos]
7
name=Local BaseOS
8
baseurl=https://mirror.centos.org/centos/7/os/x86_64/
9
enabled=1
10
gpgcheck=0
11
EOF

离线仓库的完整搭建流程：

1
# 1. 创建仓库目录结构
2
mkdir -p /mnt/local-repo/{baseos,appstream,extras}
3

4
# 2. 同步仓库（需要联网环境）
5
reposync --repoid=baseos -p /mnt/local-repo/
6
reposync --repoid=appstream -p /mnt/local-repo/
7

8
# 3. 生成 repodata
9
createrepo_c /mnt/local-repo/baseos/
10
createrepo_c /mnt/local-repo/appstream/
11

12
# 4. 添加自定义 RPM 包
13
cp /path/to/product-1.0.0.el7.x86_64.rpm /mnt/local-repo/extras/Packages/
14
createrepo_c --update /mnt/local-repo/extras/
15

16
# 5. 验证仓库可用性
17
yum --disablerepo="*" --enablerepo="local-*" list available

2. 定制 rootfs#

rootfs（Root Filesystem，根文件系统） 是操作系统启动后的完整目录结构，定制 rootfs 即在基础系统上注入产品专属配置和文件。

1
# 解压基础镜像
2
mkdir -p /tmp/rootfs
3
cd /tmp/rootfs
4
tar -xf /path/to/runtime.tar.gz --strip-components=1
5

6
# 注入产品定制
7
cp /path/to/product.conf etc/product.conf
8
cp /path/to/startup.sh /usr/local/bin/
9
chmod +x /usr/local/bin/startup.sh
10

11
# 安装额外依赖（chroot 方式）
12
mount --bind /dev /tmp/rootfs/dev
13
mount --bind /proc /tmp/rootfs/proc
14
mount --bind /sys /tmp/rootfs/sys
15
chroot /tmp/rootfs /bin/bash -c "yum install -y product-pkg"
16
umount /tmp/rootfs/{dev,proc,sys}
17

18
# 打包定制 rootfs
19
tar -czf custom-rootfs.tar.gz .

rootfs 定制清单：

1
# 产品定制通常包含以下内容
2
/etc/product.conf              # 产品配置文件
3
/etc/systemd/system/product.service  # systemd 服务
4
/usr/local/bin/startup.sh      # 启动脚本
5
/opt/product/                  # 产品安装目录
6
/var/lib/product/data/         # 数据目录
7
/etc/security/limits.d/product.conf  # 资源限制
8
/etc/sysctl.d/product.conf     # 内核参数
9
/etc/logrotate.d/product       # 日志轮转

3. 生成 ISO#

1
# 完整打包命令
2
xorriso \
3
    -report_about NONE \
4
    -osirrox "iso_level=3" \
5
    -joliet "joliet=u8" \
6
    -compliance "joliet_long=+放心" \
7
    -rockridge "on" \
8
    -boot_image any keep \
9
    -boot_image any partition_table/gpt_efi_size=4M \
10
    -efi-boot-part "--efi-boot-image" \
11
    -efi-boot-nature "any" \
12
    -append_partition 2 0xEF "boot/efi.img" \
13
    -boot_image any modify "boot/grub/efi.conf" \
14
    -outdev /tmp/product.iso \
15
    -map overlay / \
16
    -boot_image any cat_path "boot.cat"

4. 验证 ISO#

1
# 挂载 ISO 验证内容
2
mount -o loop /tmp/product.iso /mnt/iso
3
ls -la /mnt/iso/
4

5
# 检查 kickstart 文件
6
ksvalidator /mnt/iso/ks.cfg
7

8
# 计算校验和
9
sha256sum /tmp/product.iso > product.iso.sha256
10

11
# 在虚拟机中测试安装
12
virt-install \
13
    --name test-install \
14
    --ram 2048 \
15
    --vcpus 2 \
16
    --disk size=20 \
17
    --cdrom /tmp/product.iso \
18
    --os-variant centos7 \
19
    --noautoconsole

五、Docker 镜像最佳实践#

虽然本文主要讨论 ISO 镜像，但 Docker 镜像同样是产品交付的重要形式。以下是制作高质量 Docker 镜像的最佳实践。

1. Dockerfile 编写规范#

Dockerfile 是构建 Docker 镜像的指令文件，每条指令对应一个镜像层。

1
# 1. 选择合适的基础镜像
2
FROM python:3.11-slim AS base
3

4
# 2. 设置元数据
5
LABEL maintainer="team@example.com"
6
LABEL version="1.0.0"
7
LABEL description="Product Service"
8

9
# 3. 设置环境变量
10
ENV PYTHONDONTWRITEBYTECODE=1 \
11
    PYTHONUNBUFFERED=1 \
12
    APP_HOME=/app
13

14
# 4. 创建非 root 用户
15
RUN groupadd -r appuser && useradd -r -g appuser appuser
16

17
WORKDIR $APP_HOME
18

19
# 5. 先复制依赖文件，利用缓存层
20
COPY requirements.txt .
21
RUN pip install --no-cache-dir -r requirements.txt
22

23
# 6. 再复制应用代码
24
COPY --chown=appuser:appuser . .
25

26
# 7. 切换到非 root 用户
27
USER appuser
28

29
# 8. 声明端口
30
EXPOSE 8000
31

32
# 9. 健康检查
33
HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
34
    CMD curl -f http://localhost:8000/health || exit 1
35

36
# 10. 启动命令
37
CMD ["gunicorn", "--bind", "0.0.0.0:8000", "app:app"]

2. 多阶段构建#

Multi-stage Build（多阶段构建） 是减小镜像体积的关键技术，构建阶段的工具链不会进入最终镜像。

1
# 阶段一：构建
2
FROM node:20-alpine AS builder
3

4
WORKDIR /app
5
COPY package*.json ./
6
RUN npm ci --only=production
7
COPY . .
8
RUN npm run build
9

10
# 阶段二：运行
11
FROM node:20-alpine AS runtime
12

13
WORKDIR /app
14
RUN addgroup -g 1001 -S appgroup && \
15
    adduser -S appuser -u 1001 -G appgroup
16

17
COPY --from=builder --chown=appuser:appgroup /app/dist ./dist
18
COPY --from=builder --chown=appuser:appgroup /app/node_modules ./node_modules
19
COPY --from=builder --chown=appuser:appgroup /app/package.json ./
20

21
USER appuser
22
EXPOSE 3000
23
CMD ["node", "dist/main.js"]

Go 语言的多阶段构建效果更显著：

1
# 构建阶段：使用完整 Go 环境
2
FROM golang:1.22-alpine AS builder
3

4
RUN apk add --no-cache git ca-certificates
5

6
WORKDIR /build
7
COPY go.mod go.sum ./
8
RUN go mod download
9

10
COPY . .
11
RUN CGO_ENABLED=0 GOOS=linux go build -ldflags="-s -w" -o /app/server
12

13
# 运行阶段：scratch 镜像，只有二进制
14
FROM scratch
15

16
COPY --from=builder /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/
17
COPY --from=builder /app/server /server
18

19
EXPOSE 8080
20
ENTRYPOINT ["/server"]

多阶段构建镜像大小对比：

方式	镜像大小
单阶段 Go	~800MB
多阶段 alpine	~15MB
多阶段 scratch	~5MB
单阶段 Node	~1.2GB
多阶段 Node	~150MB

3. 镜像体积优化技巧#

技巧	说明	效果
多阶段构建	构建工具不进入最终镜像	显著减小
.dockerignore	排除 .git、node_modules 等无关文件	减小构建上下文
合并 RUN 指令	`RUN apt-get update && apt-get install`	减少镜像层数
清理缓存	`rm -rf /var/lib/apt/lists/*`	减小 50-100MB
alpine 基础镜像	使用 musl 代替 glibc	减小 80MB
distroless 镜像	只包含应用运行时依赖	减小 50MB
—no-cache-dir	pip install 不缓存	减小 20-50MB
npm ci —production	只安装生产依赖	减小 100MB+

1
# .dockerignore 示例
2
.git
3
.github
4
node_modules
5
__pycache__
6
*.pyc
7
.pytest_cache
8
.env
9
.env.*
10
docker-compose*.yml
11
Dockerfile*
12
README.md

六、安全加固#

1. 镜像安全扫描#

Trivy 是 Aqua Security 开源的容器镜像漏洞扫描工具，支持操作系统包和应用依赖的全面检测。

1
# 使用 Trivy 扫描漏洞
2
trivy image product-service:1.0.0
3

4
# 扫描并输出报告
5
trivy image --format json --output report.json product-service:1.0.0
6

7
# 只显示高危和严重漏洞
8
trivy image --severity HIGH,CRITICAL product-service:1.0.0
9

10
# CI 中集成：发现高危漏洞则失败
11
trivy image --exit-code 1 --severity HIGH,CRITICAL product-service:1.0.0

2. Dockerfile 安全清单#

1
# 不以 root 运行
2
USER appuser
3

4
# 不存储密钥
5
# 使用 Docker secrets 或环境变量传入敏感信息
6

7
# 固定基础镜像版本
8
FROM python:3.11.7-slim    # 而非 python:3.11 或 python:latest
9

10
# 使用 COPY 而非 ADD
11
COPY app.py /app/          # ADD 会自动解压和下载，有安全隐患
12

13
# 最小化安装
14
RUN apt-get update && \
15
    apt-get install -y --no-install-recommends \
16
        curl \
17
        ca-certificates && \
18
    rm -rf /var/lib/apt/lists/*
19

20
# 危险做法
21
# FROM python:latest        # 版本不可控
22
# ADD https://... /app/     # 远程下载有供应链风险
23
# USER root                 # root 运行有提权风险
24
# ENV DB_PASSWORD=xxx       # 硬编码密钥

3. ISO 镜像安全加固#

SELinux（Security-Enhanced Linux） 是 Linux 内核的强制访问控制安全模块，应在产品镜像中默认启用。

1
# 1. 安全加固 kickstart 配置
2
# 启用 SELinux
3
selinux --enforcing
4

5
# 配置防火墙
6
firewall --enabled --service=ssh
7

8
# 禁用不必要的服务
9
%post
10
systemctl disable avahi-daemon
11
systemctl disable cups
12
systemctl disable bluetooth
13

14
# 安全内核参数
15
cat >> /etc/sysctl.d/99-security.conf <<EOF
16
net.ipv4.ip_forward = 0
17
net.ipv4.conf.all.send_redirects = 0
18
net.ipv4.conf.default.accept_redirects = 0
19
net.ipv4.icmp_echo_ignore_broadcasts = 1
20
net.ipv4.conf.all.log_martians = 1
21
kernel.exec-shield = 1
22
EOF
23

24
# 文件权限加固
25
chmod 600 /etc/ssh/sshd_config
26
chmod 700 /root
27
%end

七、CI/CD 集成#

1. GitHub Actions 构建 Docker 镜像#

1
name: Build Docker Image
2

3
on:
4
  push:
5
    tags: ['v*']
6

7
env:
8
  REGISTRY: ghcr.io
9
  IMAGE_NAME: ${{ github.repository }}
10

11
jobs:
12
  build:
13
    runs-on: ubuntu-latest
14
    permissions:
15
      contents: read
16
      packages: write
17

18
    steps:
19
      - uses: actions/checkout@v4
20

21
      - name: Log in to Container Registry
22
        uses: docker/login-action@v3
23
        with:
24
          registry: ${{ env.REGISTRY }}
25
          username: ${{ github.actor }}
26
          password: ${{ secrets.GITHUB_TOKEN }}
27

28
      - name: Extract metadata
29
        id: meta
30
        uses: docker/metadata-action@v5
31
        with:
32
          images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
33
          tags: |
34
            type=semver,pattern={{version}}
35
            type=semver,pattern={{major}}.{{minor}}
36
            type=sha
37

38
      - name: Build and push
39
        uses: docker/build-push-action@v5
40
        with:
41
          context: .
42
          push: true
43
          tags: ${{ steps.meta.outputs.tags }}
44
          labels: ${{ steps.meta.outputs.labels }}
45
          cache-from: type=gha
46
          cache-to: type=gha,mode=max
47

48
      - name: Security scan
49
        uses: aquasecurity/trivy-action@master
50
        with:
51
          image-ref: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.ref_name }}
52
          severity: 'HIGH,CRITICAL'
53
          exit-code: '1'

2. GitHub Actions 构建 ISO 镜像#

1
name: Build ISO
2
on:
3
  push:
4
    tags: ['v*']
5

6
jobs:
7
  build:
8
    runs-on: ubuntu-latest
9
    steps:
10
      - uses: actions/checkout@v4
11

12
      - name: Build ISO in container
13
        run: |
14
          docker build -t iso-builder -f Dockerfile.iso .
15
          docker run --rm \
16
            -v ${{ github.workspace }}:/workspace \
17
            iso-builder \
18
            bash -c "mkisofs -o /workspace/product.iso /workspace/rr_moved"
19

20
      - name: Generate checksum
21
        run: |
22
          sha256sum product.iso > product.iso.sha256
23

24
      - name: Upload ISO artifact
25
        uses: actions/upload-artifact@v4
26
        with:
27
          name: product-iso
28
          path: |
29
            product.iso
30
            product.iso.sha256
31

32
      - name: Create Release
33
        uses: softprops/action-gh-release@v1
34
        with:
35
          files: |
36
            product.iso
37
            product.iso.sha256

3. 构建流水线完整示例#

1
# 完整的镜像构建 + 测试 + 发布流水线
2
name: Image Pipeline
3

4
on:
5
  push:
6
    branches: [main]
7
    tags: ['v*']
8

9
jobs:
10
  test:
11
    runs-on: ubuntu-latest
12
    steps:
13
      - uses: actions/checkout@v4
14
      - name: Run tests
15
        run: |
16
          docker build -t product-test .
17
          docker run --rm product-test pytest tests/
18

19
  security-scan:
20
    needs: test
21
    runs-on: ubuntu-latest
22
    steps:
23
      - uses: actions/checkout@v4
24
      - name: Trivy scan
25
        uses: aquasecurity/trivy-action@master
26
        with:
27
          image-ref: product-test
28
          severity: 'HIGH,CRITICAL'
29
          exit-code: '1'
30

31
  build-and-push:
32
    needs: [test, security-scan]
33
    runs-on: ubuntu-latest
34
    if: startsWith(github.ref, 'refs/tags/')
35
    steps:
36
      - uses: actions/checkout@v4
37
      - name: Build and push
38
        uses: docker/build-push-action@v5
39
        with:
40
          context: .
41
          push: true
42
          tags: |
43
            ghcr.io/${{ github.repository }}:${{ github.ref_name }}
44
            ghcr.io/${{ github.repository }}:latest

八、版本管理#

1. 镜像版本命名规范#

1
product-name:1.2.3-ubuntu22.04-20260315
2

3
字段说明：
4
├── product-name  产品名称
5
├── 1.2.3         语义化版本号
6
├── ubuntu22.04   基础系统版本
7
└── 20260315      构建日期

2. 版本更新检查清单#

九、常见问题与排查#

问题	原因	解决方案
ISO 无法启动	引导记录缺失	检查 isolinux.bin 路径
UEFI 无法启动	缺少 EFI 分区	添加 efi.img 和 GPT 分区
kickstart 不执行	引导参数未指定 ks	添加 inst.ks= 参数
仓库找不到包	repodata 未更新	运行 createrepo_c —update
Docker 镜像过大	未使用多阶段构建	拆分 builder 和 runtime 阶段
容器内时区不对	默认 UTC	设置 TZ 环境变量
非 root 无法绑定端口	1024 以下端口需要特权	使用 8000+ 端口或 NET_BIND_SERVICE