Docker 硬化映像檔 (DHI) 快速入門
本指南將透過實際範例,帶您從零開始執行 Docker 硬化映像檔 (DHI)。雖然步驟中以特定映像檔作為範例,但這些步驟適用於任何 DHI。
提示當您從 Docker Hub 上的其他映像檔(例如 Bitnami 公共目錄映像檔)遷移至 DHI 時,您可以繼續使用您已經熟悉的工具和工作流程。請注意,Bitnami 已宣布其公共目錄映像檔將於 2025 年 9 月 29 日後停止提供。
在大多數情況下,遷移只需更新設定檔或指令中的映像檔參照即可。請先閱讀本指南,然後參閱遷移指南以獲取更多詳細資訊和範例。
步驟 1:註冊並訂閱 DHI 以取得存取權
若要存取 Docker 硬化映像檔,您的組織必須註冊並訂閱。
步驟 2:尋找要使用的映像檔
訂閱完成後,Docker 硬化映像檔將出現在您組織於 Docker Hub 的命名空間下。
前往 Docker Hub 並登入。
在頂部導覽列中選取 My Hub。
在左側邊欄中,選擇擁有 DHI 存取權的組織。
在左側邊欄中,選取 Hardened Images > Catalog。
使用搜尋列或篩選器尋找映像檔(例如
python、node、golang)。在本指南中,我們以 Python 映像檔為例。
選取 Python 儲存庫以查看詳細資訊。
繼續進行下一步以鏡像映像檔。若要進一步深入探索映像檔,請參閱探索 Docker 硬化映像檔。
步驟 3:鏡像映像檔
若要使用 Docker 硬化映像檔,您必須將其鏡像到您的組織。只有組織擁有者可以執行此操作。鏡像會在您組織的命名空間中建立映像檔的複本,讓團隊成員能夠拉取並使用它。
在映像檔儲存庫頁面上,選取 Mirror to repository(鏡像至儲存庫)。
注意如果您沒有看到 Mirror to repository 按鈕,該儲存庫可能已經鏡像到您的組織中。在此情況下,您可以選取 View in repository 查看鏡像後的映像檔位置,或將其鏡像到另一個儲存庫。
請遵循畫面上的指示來選擇名稱。在本指南中,範例名稱使用
dhi-python。請注意,名稱必須以dhi-開頭。
選取 Create repository 以開始鏡像程序。
所有標籤完成鏡像可能需要幾分鐘的時間。鏡像完成後,映像檔儲存庫將出現在您組織的命名空間中。例如,在 Docker Hub 中,前往 My Hub > YOUR_ORG > Repositories,您應該會看到列出的 dhi-python。現在,您可以像拉取任何其他映像檔一樣拉取它。
繼續進行下一步以拉取並執行映像檔。若要深入了解鏡像映像檔,請參閱鏡像 Docker 硬化映像檔儲存庫。
步驟 4:拉取 (Pull) 並執行映像檔
將映像檔鏡像到您的組織後,您就可以像執行任何其他 Docker 映像檔一樣拉取並執行它。請注意,Docker 硬化映像檔的設計宗旨是精簡且安全,因此它們可能不包含您在一般映像檔中所預期的所有工具或函式庫。您可以在採用 DHI 時的考量事項中查看典型差異。
以下範例示範了您可以執行 Python 映像檔並執行簡單的 Python 指令,就像使用任何其他 Docker 映像檔一樣:
拉取鏡像後的映像檔。開啟終端機並執行下列指令,將
<your-namespace>替換為您組織的命名空間:$ docker pull <your-namespace>/dhi-python:3.13執行映像檔以確認一切正常:
$ docker run --rm <your-namespace>/dhi-python:3.13 python -c "print('Hello from DHI')"這會從
dhi-python:3.13映像檔啟動一個容器,並執行一個印出Hello from DHI的簡單 Python 指令碼。
若要深入了解使用映像檔的資訊,請參閱使用 Docker 硬化映像檔。
接下來
您已經拉取並執行了第一個 Docker 硬化映像檔。以下是您可以繼續進行的幾種方式:
將現有應用程式遷移至 DHI:了解如何更新 Dockerfile 以使用 Docker 硬化映像檔作為基礎。
驗證 DHI:使用 Docker Scout 或 Cosign 等工具來檢查並驗證已簽署的證書(例如 SBOM 和來源證明)。
掃描 DHI:使用 Docker Scout 或其他掃描器分析映像檔,以識別已知的 CVE(常見漏洞與暴露)。