如何解决用于 Rust 二进制网络的最小 Docker
我有一个 Rust 二进制文件,我想放入 docker 镜像中。为了最小化图像尺寸,
我使用了 http://github.com/larsks/dockerize/,它添加了 libc 和一些 nss 库文件。但是它无法解析 DNS,我想知道 reqwest 或 hyper 的隐藏系统文件依赖项是什么。
这是一个例子:
Cargo.toml
[package]
name = "example"
version = "0.1.0"
edition = "2018"
# See more keys and their definitions at https://doc.rust-lang.org/cargo/reference/manifest.html
[dependencies]
reqwest = { version = "0.11.4",default-features = false,features = ["json","rustls-tls"] }
tokio = { version = "1.8.1",features = [ "full" ] }
src/main.rs
#[tokio::main]
async fn main() {
println!("{:?}",reqwest::get("https://bing.com").await);
}
使用证书和 strace 构建映像:
❯ dockerize --tag test --add-file /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ca-certificates.crt --add-file /usr/bin/strace /usr/bin/strace --add-file $(pwd)/target/debug/example /app/example
Successfully tagged test:latest
生成的 docker 镜像:
│ Current Layer Contents ├───────────────────────────────────────────────────────────────────────────────────────────
Permission UID:GID Size Filetree
-rw-r--r-- 0:0 25 B ├── Dockerfile
drwxr-xr-x 0:0 60 MB ├── app
-rwxr-xr-x 0:0 60 MB │ └── example
drwxr-xr-x 0:0 203 kB ├── etc
-rw-r--r-- 0:0 126 B │ ├── group
-rw-r--r-- 0:0 76 B │ ├── nsswitch.conf
-rw-r--r-- 0:0 513 B │ ├── passwd
drwxr-xr-x 0:0 202 kB │ └── ssl
drwxr-xr-x 0:0 202 kB │ └── certs
-r--r--r-- 0:0 202 kB │ └── ca-certificates.crt
drwxr-xr-x 0:0 343 kB ├── lib64
-rwxr-xr-x 0:0 222 kB │ ├── ld-linux-x86-64.so.2
-rwxr-xr-x 0:0 40 kB │ ├── libnss_compat.so.2
-rwxr-xr-x 0:0 31 kB │ ├── libnss_dns.so.2
-rwxr-xr-x 0:0 51 kB │ └── libnss_files.so.2
drwxr-xr-x 0:0 4.2 MB └── usr
drwxr-xr-x 0:0 4.2 MB └── lib
-rwxr-xr-x 0:0 2.2 MB ├── libc.so.6
-rwxr-xr-x 0:0 23 kB ├── libdl.so.2
-rw-r--r-- 0:0 476 kB ├── libgcc_s.so.1
-rwxr-xr-x 0:0 1.3 MB ├── libm.so.6
-rwxr-xr-x 0:0 40 kB ├── libnss_compat.so.2
-rwxr-xr-x 0:0 31 kB ├── libnss_dns.so.2
-rwxr-xr-x 0:0 51 kB ├── libnss_files.so.2
-rwxr-xr-x 0:0 154 kB └── libpthread.so.0
运行二进制文件失败并显示“设备或资源繁忙”消息:
❯ docker run test /app/example
Err(reqwest::Error { kind: Request,url: Url { scheme: "https",cannot_be_a_base: false,username: "",password: None,host: Some(Domain("bing.com")),port: None,path: "/",query: None,fragment: None },source: hyper::Error(Connect,ConnectError("dns error",Os { code: 16,kind: ResourceBusy,message: "Device or resource busy" })) })
令人困惑的是,ping 二进制文件在同一环境中也能正常工作。这意味着 reqwest 或 hyper 需要额外的设置或文件。我运行 strace 以找出他们需要什么,但找不到。我还尝试了 trust-dns 的 reqwest 功能,但它仅适用于某些域。
这里是二进制文件:
❯ docker run test strace /app/example 2>&1 | rg open
openat(AT_FDCWD,"/etc/ld.so.cache",O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
openat(AT_FDCWD,"/usr/lib/glibc-hwcaps/x86-64-v3/libgcc_s.so.1","/usr/lib/glibc-hwcaps/x86-64-v2/libgcc_s.so.1","/usr/lib/tls/x86_64/x86_64/libgcc_s.so.1","/usr/lib/tls/x86_64/libgcc_s.so.1","/usr/lib/tls/libgcc_s.so.1","/usr/lib/x86_64/x86_64/libgcc_s.so.1","/usr/lib/x86_64/libgcc_s.so.1","/usr/lib/libgcc_s.so.1",O_RDONLY|O_CLOEXEC) = 3
openat(AT_FDCWD,"/usr/lib/libpthread.so.0","/usr/lib/libm.so.6","/usr/lib/libdl.so.2","/usr/lib/libc.so.6","/proc/self/maps","/proc/self/cgroup",O_RDONLY|O_CLOEXEC) = 3
我应该向图像添加什么,以便 reqwest+hyper 与 tls 一起工作?
解决方法
Hyper 默认通过 getaddrinfo() 解析 DNS。
有用户在 docker 中使用 getaddrinfo() 遇到类似问题。
#include "netdb.h"
#include "stdio.h"
int main( int argc,const char* argv[] )
{
const struct addrinfo* hints = 0;
struct addrinfo* aihead = 0;
int error = getaddrinfo( "www.google.com","80",hints,&aihead);
if ( error )
{
printf( "Got error: %s\n",gai_strerror( error ) );
return error;
} else {
printf( "got dns ok." );
}
}
解决方案是除了问题中的当前列表外,还要复制 /usr/lib/libnss* 和 /usr/lib/libresolv*。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。