注释

目录

注释为图像提供描述性元数据。使用注释记录任意信息并将其附加到您的图像上,这有助于消费者和工具理解图像的来源、内容以及如何使用图像。

注释与标签在某些方面相似,甚至有所重叠。它们的目的相同:将元数据附加到资源上。作为一个通用原则,你可以这样理解注释和标签之间的区别:

  • 注释描述了OCI镜像组件,例如 manifests, 索引, 和 描述符.
  • 标签描述了Docker资源,例如镜像、容器、网络和卷。

OCI 镜像 规范 定义了注释的格式,以及一组预定义的注释键。遵循指定的标准确保关于镜像的元数据可以通过像 Docker Scout 这样的工具自动且一致地展示。

注解不应与 attestations混淆:

  • 证明包含有关镜像如何构建及其内容的信息。 证明作为单独的清单附加在镜像索引上。 证明并未由开放容器倡议标准化。
  • 注释包含关于图像的任意元数据。 注释附加到图像 配置 作为标签, 或在图像索引或清单上作为属性。

添加注释

您可以在构建时或创建图像清单或索引时向图像添加注释。

注意

Docker Engine 镜像存储不支持加载带有注释的镜像。要构建带有注释的镜像,请确保使用 --push CLI 标志或 registry exporter 直接将镜像推送到注册表。

要在命令行上指定注释,请使用docker build命令的--annotation标志:

$ docker build --push --annotation "foo=bar" .

如果你正在使用 Bake,你可以使用annotations 属性来为指定目标指定注释:

target "default" {
  output = ["type=registry"]
  annotations = ["foo=bar"]
}

有关如何向使用 GitHub Actions 构建的图像添加注释的示例,请参阅 使用GitHub Actions添加图像注释

你也可以为使用docker buildx imagetools create创建的图像添加注释。此命令仅支持为索引或清单描述符添加注释,请参阅 CLI参考

检查注释

要查看镜像索引上的注释,请使用docker buildx imagetools inspect命令。这将显示索引和描述符(对清单的引用)上的任何注释。以下示例显示了描述符上的org.opencontainers.image.documentation注释和索引上的org.opencontainers.image.authors注释。

$ docker buildx imagetools inspect <IMAGE> --raw
{
  "schemaVersion": 2,
  "mediaType": "application/vnd.oci.image.index.v1+json",
  "manifests": [
    {
      "mediaType": "application/vnd.oci.image.manifest.v1+json",
      "digest": "sha256:d20246ef744b1d05a1dd69d0b3fa907db007c07f79fe3e68c17223439be9fefb",
      "size": 911,
      "annotations": {
        "org.opencontainers.image.documentation": "https://foo.example/docs",
      },
      "platform": {
        "architecture": "amd64",
        "os": "linux"
      }
    },
  ],
  "annotations": {
    "org.opencontainers.image.authors": "dvdksn"
  }
}

要检查清单上的注释,请使用docker buildx imagetools inspect命令并指定@,其中是清单的摘要:

$ docker buildx imagetools inspect <IMAGE>@sha256:d20246ef744b1d05a1dd69d0b3fa907db007c07f79fe3e68c17223439be9fefb --raw
{
  "schemaVersion": 2,
  "mediaType": "application/vnd.oci.image.manifest.v1+json",
  "config": {
    "mediaType": "application/vnd.oci.image.config.v1+json",
    "digest": "sha256:4368b6959a78b412efa083c5506c4887e251f1484ccc9f0af5c406d8f76ece1d",
    "size": 850
  },
  "layers": [
    {
      "mediaType": "application/vnd.oci.image.layer.v1.tar+gzip",
      "digest": "sha256:2c03dbb20264f09924f9eab176da44e5421e74a78b09531d3c63448a7baa7c59",
      "size": 3333033
    },
    {
      "mediaType": "application/vnd.oci.image.layer.v1.tar+gzip",
      "digest": "sha256:4923ad480d60a548e9b334ca492fa547a3ce8879676685b6718b085de5aaf142",
      "size": 61887305
    }
  ],
  "annotations": {
    "index,manifest:org.opencontainers.image.vendor": "foocorp",
    "org.opencontainers.image.source": "https://git.example/foo.git",
  }
}

指定注释级别

默认情况下,注释会添加到镜像清单中。您可以通过在注释字符串前加上特殊类型声明来指定将注释附加到哪个级别(OCI 镜像组件):

$ docker build --annotation "<TYPE>:<KEY>=<VALUE>" .

支持以下类型:

  • manifest: 注释清单。
  • index: 注释根索引。
  • manifest-descriptor: 在索引中注释清单描述符。
  • index-descriptor: 注释图像布局中的索引描述符。

例如,要构建一个带有附加到图像索引的注释foo=bar的图像:

$ docker build --tag <IMAGE> --push --annotation "index:foo=bar" .

请注意,构建必须生成您指定的组件,否则构建将失败。例如,以下操作不起作用,因为docker导出器不会生成索引:

$ docker build --output type=docker --annotation "index:foo=bar" .

同样,以下示例也不起作用,因为 buildx 在某些情况下默认会创建一个 docker 输出,例如当明确禁用来源证明时:

$ docker build --provenance=false --annotation "index:foo=bar" .

可以指定类型,用逗号分隔,以将注释添加到多个级别。以下示例创建了一个图像,该图像在图像索引和图像清单上都有注释foo=bar

$ docker build --tag <IMAGE> --push --annotation "index,manifest:foo=bar" .

您还可以在类型前缀的方括号内指定平台限定符,以仅注释匹配特定操作系统和架构的组件。以下示例仅将foo=bar注释添加到linux/amd64清单中:

$ docker build --tag <IMAGE> --push --annotation "manifest[linux/amd64]:foo=bar" .

相关文章:

参考信息: