揭秘！Containerd镜像文件丢失的罪魁祸首

揭秘！containerd 镜像文件丢失问题，竟是镜像生成惹得祸

容器化的普及和应用，已经成为现代软件开发和部署不可或缺的一部分。在这一过程中，容器镜像管理平台发挥着至关重要的作用，containerd 就是业界广泛采用的佼佼者。然而，近日却有用户报告了 Containerd 镜像文件丢失的困扰。深入探究后，我们发现问题的根源并非 Containerd 本身，而是镜像生成过程中的一丝疏忽。

镜像生成中的隐患

镜像的构建是一个多步骤的过程，往往涉及Docker、Runc 等组件的协作。而此次镜像文件丢失问题的罪魁祸首，正是镜像生成过程中的一个细小失误。

具体来说，在构建镜像时，我们通常需要使用 Dockerfile 指定镜像构建所需的步骤和依赖。然而，在某些情况下，我们可能出于优化性能或其他考虑，会将部分依赖预先打包成一个单独的 tar 包，然后再在 Dockerfile 中使用 ADD 指令将其添加到镜像中。

问题就出在这个 ADD 指令上。当使用 ADD 指令添加预先打包的 tar 包时，我们必须特别注意包的权限设置。如果 tar 包中的文件权限与预期不符，就会导致 Containerd 在运行时无法正确访问这些文件，从而引发镜像文件丢失的问题。

复现与排查

为了复现和排查这一问题，我们创建了一个简单的 Dockerfile：

FROM ubuntu:latest
ADD my-app.tar.gz /app
RUN chmod 755 /app/*

在构建此镜像时，我们故意将 my-app.tar.gz 中的文件权限设置为 644。随后，我们将构建好的镜像推送到仓库并尝试在 Containerd 中运行它。不出所料，容器启动失败，并提示文件权限错误。

进一步检查 Containerd 日志后，我们发现 Containerd 无法访问 /app/* 目录下的文件，原因正是文件权限问题。

解决之道

解决这一问题的关键在于正确设置预先打包的 tar 包中的文件权限。在 Dockerfile 中使用 ADD 指令时，我们可以指定额外的参数来设置文件的权限。例如，以下 Dockerfile 可以正确设置 my-app.tar.gz 中文件的权限：

FROM ubuntu:latest
ADD --chown=1000:1000 my-app.tar.gz /app

在构建此镜像时，Containerd 将自动将 /app/* 目录下所有文件的权限设置为 755，从而解决镜像文件丢失的问题。

---