Dockerfile用于创建容器镜像,一旦Dockerfile发生变更,就需要重新创建新的镜像。Dockerfile是普通的文本文件,使用源码控制系统的diff工具就可以比较出它们之间的区别。不过,要对Dockerfile文件里的命令所产生的镜像变更记进行可视化,或者列出具体的镜像变更内容就很困难。应用程序被打包到镜像之后,如果依赖了第三方特定版本的依赖项,事情就会变得复杂,况且,下游的依赖项也会让跟踪变得更加复杂。未被跟踪的依赖项会导致镜像体积膨胀,让镜像下载时间变长。
container-diff会分析镜像的“语义”差别,将结果以一种用户可理解的格式呈现给用户,这样用户就可以采取相应的行动。container-diff支持Python的pip包管理器、Linux上的apt工具以及node.js包管理器npm。另外,它还可以用于分析文件系统的变化。该工具可以一次性分析一个或几个甚至所有包管理器的内容。
在分析镜像时,可以指定本地的Docker后台路径、远程的镜像仓库地址或文件路径。如果已经使用Docker的保存命令导出镜像,那么可以使用后者。在使用该工具分析后台镜像时,镜像不需要处于运行状态。该工具还能输出单个镜像的修改历史。
其他类似的工具还有Anchore的diff工具以及Atomic项目的“atomic diff”命令。Docker的“docker history”命令只能列出每个Dockerfile的变更历史,这个只需要检查一下Dockerfile就知道了。一些反向工程可以揭示底层的一些细节,但很难将其抽取成事件,比如之前安装了哪些包。Atomic的工具可以列出文件系统的差别,而且可以用在RPM上,也就是说,它可以列出安装了哪些RPM包。另外,“atomic diff”命令可以用于比较两个容器、容器和镜像、两个镜像之间的差别。
根据谷歌的文章所述,container-diff可以成为开发流程的一部分,可以与持续集成系统集成起来,提供自动化的变更日志管理,而且它的输出结果是JSON格式的。如果镜像处于仓库当中,不管是私有仓库还是像Google Container Registry这样的仓库,container-diff都为它们提供了认证机制,这个认证机制是通过docker-credentials-helpers包来实现的。这个包使用本地程序(比如OSX上的osxkeychain)来保存Docker认证信息。