No cotidiano do desenvolvimento e operações com contêineres, frequentemente nos deparamos com a necessidade de inspecionar ou extrair arquivos específicos de uma imagem Docker, seja ela local, remota ou até mesmo um arquivo salvo (.tar). Embora o comando docker cp seja útil, ele opera apenas em instâncias de contêineres em execução. Se o contêiner estiver parado ou se o objetivo for acessar o conteúdo diretamente da imagem – e não de um contêiner temporário –, o processo se torna mais complexo, exigindo a criação de um contêiner auxiliar, a cópia dos arquivos e, finalmente, a remoção desse contêiner provisório. Esse fluxo é ineficiente e propenso a deixar resíduos.

Para resolver essa limitação de forma elegante, surge o projeto crazy-max/undock. Esta ferramenta de linha de comando leve permite "desempacotar" imagens Docker e extrair arquivos ou diretórios como se estivéssemos navegando por um arquivo compactado local. O nome "undock" é bastante sugestivo, representando a ação de descarregar o sistema de arquivos contido em uma imagem "ancorada".

A utilidade do undock se manifesta em diversos cenários práticos: imagine a necessidade de verificar rapidamente a configuração de um serviço em produção sem interromper ou acessar o contêiner em execução; a curiosidade em investigar a estrutura interna de um diretório ou scripts de inicialização em uma imagem de terceiros; ou a exigência, em um pipeline de CI/CD, de extrair artefatos de build (como binários compilados) diretamente da imagem recém-criada para processamento posterior. Em todas essas situações, o undock simplifica o processo, eliminando etapas intermediárias e aumentando significativamente a produtividade.

Como Funciona: A Mecânica Interna do undock

Para compreender a operação do undock, é fundamental revisar a arquitetura de uma imagem Docker. Uma imagem não é um único bloco de dados, mas sim um sistema de arquivos somente leitura construído por múltiplas camadas. Cada camada reflete uma instrução do Dockerfile (como RUN, COPY, ADD) que introduz uma modificação no sistema de arquivos. Essas camadas são então sobrepostas por um sistema de arquivos de união (como Overlay2 ou AUFS) para apresentar uma visão completa e unificada do sistema de arquivos raiz.

Recuperação da Imagem e Aálise do Manifest

O primeiro passo do undock envolve a aquisição da imagem alvo, que pode ser proveniente de diversas fontes:

• Registros Públicos (ex: Docker Hub): Utilizando o formato imagem:tag, como alpine:3.18.
• Registros Privados: Necessitando do endereço cmopleto do registro, por exemplo, meu.registro.com/app:v2.
• Imagens Locais: Identificadas pelo ID ou REPOSITORY:TAG listados por docker images.
• Arquivos de Arquivo de Imagem: Gerados pelo comando docker save (arquivos .tar).

Quando uma imagem remota é especificada, o undock se comunica com o registro para obter o manifest da imagem. Este documento JSON detalha a configuração da imagem e lista todas as suas camadas constituintes. Cada camada é referenciada por um resumo (digest) único e corresponde a um pacote compactado, tipicamente no formato tar.gz.

Simulação e Extração do Sistema de Arquivos de Camadas

Esta é a essência da funcionalidade do undock. Ele não inicia um contêiner nem se baseia no daemon Docker para montar a imagem. Em vez disso, adota uma abordagem mais leve e independente:

1. Download e Cache de Camadas: Com base no manifest, o undock baixa (ou lê do cache local) todas as camadas necessárias na ordem correta.
2. Descompressão e Sobreposição Sequencial: O utilitário simula o comportamento de um sistema de arquivos de união, descompactando as camadas sequencialmente em memória ou em um diretório temporário. Um ponto crucial é que camadas posteriores sobrescrevem ou complementam arquivos em camadas anteriores. Isso espelha a forma como o sistema de arquivos é visto durante a execução de um contêiner Docker. Se um arquivo é criado em uma camada inferior e modificado ou rmeovido em uma camada superior, a visão final refletirá a alteração da camada superior.
3. Resolução de Caminhos e Extração: Quando o usuário especifica um caminho dentro da imagem (ex: /etc/nginx/nginx.conf), o undock busca por esse item dentro da "visão" do sistema de arquivos final, simulado pela sobreposição das camadas. Uma vez localizado, o arquivo ou diretório é copiado para o caminho de saída especificado no host.
4. Preservação de Permissões e Metadados: Durante a extração, o undock se esforça para manter as permissões originais (ex: rwxr-xr-x), a propriedade (UID/GID) e os carimbos de data/hora dos arquivos. Essa característica é vital para cenários onde as propriedades do arquivo, como a executabilidade de um script, precisam ser preservadas.

É importante ressaltar que todo esse processo ocorre sem a necessidade do dockerd (o daemon Docker). O undock atua como uma ferramenta cliente pura, o que significa que pode ser executado mesmo em ambientes onde o Docker Engine não está instalado, contanto que o ambiente tenha acesso aos registros de imagem e possa executar o binário do undock. Essa independência é um de seus maiores trunfos.

Instalação e Primeiros Passos

A instalação do undock é bastante direta, com opções para diversos sistemas operacionais e gerenciadores de pacotes.

Métodos de Instalação

1. Via Gerenciadores de Pacote (Recomendado)

Para usuários macOS que utilizam o Homebrew, a instalação é simplificada para um único comando:

brew install crazy-max/tap/undock

Para distribuições Linux que suportam Snap, o processo é igualmente simples:

sudo snap install undock

A instalação por gerenciadores de pacote facilita não apenas a instalação inicial, mas também futuras atualizações da ferramenta.