03 Jan 2022 云原生之docker

2023-10-17 10:30:58 浏览数 (1)

最近读到一本云原生相关的书,也结合自己使用容器的一些经验,分享下在云原生环境中使用容器的一些技巧:

  • 容器镜像要存储在可信的镜像仓库中,预防恶意镜像。如在kubernetes中可以定义webhook确保pod的image只来自某些确定的仓库
  • build镜像时要充分利用docker的build缓存,尽量将更改频率高的命令放在dockerfile文件末尾,build image时如果没有改动,会自动使用缓存,加快build速度
  • 非必要情况下,不要使用特权模式运行容器,防止恶意容器改变宿主机的环境进而影响整体,在kubernetes中可以通过设置相应的策略防止容器以特权模式方式运行
  • 指定特定的image标签,比如commit id或者v1.0等,尽量不要使用latest标签,会导致不一致行为
  • 尽量减小容器镜像的体积,方便部署且快速运行,更小的体积也以为着更少的依赖和漏洞,只在镜像中包含必要的文件,一般建议通过docker分阶段build减少不必要的文件,或者使用体积更小的base image比如alpine
  • 在kubernetes中尽量将image pull policy设置成ifnotpresent,加快应用运行速度,也确保在非联网环境pod能正常启动
  • 容器中只运行一个进程,确保容器的生命周期和进程一致,容器更易维护,否则会出现某个进程失败了,容器还在运行着
  • 为了加快应用构建速度和启动速度,可以将一些经过验证的公共镜像存储在内部镜像仓库
  • 定期对镜像进行漏洞扫描比如trivy工具,一般是镜像仓库自动扫描镜像,发现漏洞及时提醒和修复
  • 不要将数据保存在容器中,因为容器会被随时删除和重建,保持数据和容器分离,如果是非持久性的写入,尽量使用tmpfs提高性能
  • 不要在容器中放置配置信息或者机密信息,因为容器会被随时删除重启,应该通过环境变量或者存储卷获取配置,比如kubernetes中的configmap和secret,就是用来存储配置信息和敏感数据
  • 确保容器引擎是最新版本,最新版本的容器引擎会解决一些bug和增加一些新功能
  • 避免使用COPY . ./,导致copy一些机密信息或者文件到镜像
  • 添加工具扫描dockerfile,比如hadolint,可以确保dockerfile更符合规范
  • 给容器设置相应的资源限制,避免干扰其他容器和宿主机
  • 不要暴露你的docker daemon socket,这样存在极大的安全隐患

:) 未完待续……

参考

  • 云原生:运用容器、函数计算和数据构建下一代应用
  • https://www.clickittech.com/devops/docker-security-best-practices/

LEo at 12:12

0 人点赞