公式ベースイメージを使用してアプリケーションをビルドするアプリケーションを構築する際に、オペレーティング システム全体を最初からインストールするモードを使用しないでください。たとえば、node 環境を使用する場合は、centos または ubuntu イメージを使用するのではなく、node イメージを直接使用して、node 環境を自分でインストールする必要があります。 画像のバージョンを指定する使用するバージョンを指定しない場合は、デフォルトで最新バージョンが使用されます。これにより、ビルドするたびに以前のバージョンとの不整合が発生する可能性があります。そのため、解決策としては、毎回ビルドするバージョンが統一されるように、指定されたバージョンを使用するということになります。 最小化されたオペレーティングシステムを使用するCentOS や Ubuntu など、Linux オペレーティング システムには多くのバージョンがありますが、これらはアプリケーションには大きすぎて肥大化しているため、Alpine などの小規模なシステムを使用することをお勧めします。 画像レイヤーキャッシュを最適化するDockerfile にある各コマンドは新しいレイヤーを作成します。各レイヤーには、コマンドが実行される前と実行された後の状態のイメージに対するファイル システムの変更が含まれています。 RUN コマンドを使用すると、Docker イメージ内でコマンドを実行できます。 RUN コマンドによって生成されたレイヤーがすでにキャッシュ内に存在する場合、RUN コマンドは 1 回しか実行できません。 Dockerfile 内の COPY コマンドを使用すると、1 つ以上の外部ファイルを Docker イメージにインポートできます。これらの COPY コマンドを実行すると、依存するすべての外部ファイルの最新バージョンが確保されます。 最初の COPY コマンドのすべての外部ファイルの内容が同一の場合、レイヤー キャッシュが使用され、次の ADD または COPY コマンドまでのすべての後続コマンドはレイヤー キャッシュを使用します。 ただし、1 つ以上の外部ファイルの内容が異なる場合、後続のすべてのコマンドはレイヤー キャッシュを使用せずに実行されます。 Docker のレイヤー キャッシュを活用するには、頻繁に変更されるステップ (COPY など) が Dockerfile の末尾近くになるように Dockerfile を構成する必要があります。これにより、同じ操作の実行に関連する手順が不必要に再構築されなくなります。 .dockerignore ファイルの使い方を学ぶ.dockerignore を使用すると多くの利点があります。 Docker イメージのサイズを縮小し、Docker ビルドを高速化し、パスワードの偶発的な漏洩を防ぐのに役立ちます。 Docker は、Docker クライアントと Docker サーバー (Docker デーモンとも呼ばれます) で構成されるクライアント サーバー アプリケーションです。 Docker クライアントのコマンドライン ツールは Docker サーバーと通信し、処理を要求します。その 1 つは Docker ビルドです。新しい Docker イメージをビルドします。 Docker サーバーは、クライアントと同じマシン上、または仮想マシン内、ローカル、リモート、クラウドで実行できます。 新しい Docker イメージを作成するには、Docker サーバーが Docker イメージの作成元となるファイルにアクセスできる必要があります。したがって、何らかの方法でこれらのファイルを Docker サーバーに送信する必要があります (Docker サーバーは別のリモート マシンになる可能性があることを覚えておいてください)。これらのファイルは Docker ビルド コンテキストです。 Docker クライアントは、すべてのビルド コンテキスト ファイルを tar アーカイブにパッケージ化し、このアーカイブを Docker サーバーにアップロードします。デフォルトでは、クライアントは現在の作業ディレクトリ内のすべてのファイル (およびフォルダー) を取得し、それらをビルド コンテキストとして使用します。 .dockerignore ファイルは、実際に必要な Docker ビルド コンテキストを定義するのに役立つツールです。このファイルを使用すると、ファイルとフォルダーに対して無視するルールとこれらのルールの例外を指定できます。これらのルールはビルド コンテキストに含まれず、アーカイブにパッケージ化されず、Docker サーバーにアップロードされません。 マルチステップビルドツールを使用して、さまざまな環境でビルドおよび実行します。マルチステージビルドでは、Dockerfile 内で複数の FROM ステートメントを使用できます。各 FROM 命令は異なるベースイメージを使用でき、それぞれがビルドの新しいステージを開始します。あるステージから別のステージにファイルを選択的にコピーし、不要なものはすべて残しておくことができます。 最小権限ユーザーを使用するDockerfile で USER が指定されていない場合、Docker はデフォルトでコンテナをスーパーユーザー root として実行します。コンテナが属する名前空間、つまりイメージはルート ユーザーが所有します。つまり、コンテナは Docker ホスト システムのスーパー管理権限を取得できます。それだけでなく、コンテナをルートユーザーとして実行すると、攻撃対象領域も拡大します。コンテナ アプリケーションにセキュリティ上の脆弱性がある場合、権限昇格が発生しやすくなります。 実際には、コンテナにルート権限を与える必要は通常ありません。セキュリティの脅威を最小限に抑えるには、専用のユーザーとユーザー グループを作成し、USER を使用して Dockerfile でユーザーを指定し、コンテナー アプリケーションが最小限の権限を持つユーザーとして実行されるようにします。 ベースイメージに専用ユーザーが含まれていない場合は、Dockerfile で直接通常のユーザーを作成します。 画像をスキャンしてセキュリティ上の問題がないか確認するDocker ローカル イメージの脆弱性スキャンにより、開発者と開発チームはコンテナ イメージのセキュリティ状態を確認し、スキャン中に見つかった問題を修正する手順を実行できるため、より安全なデプロイメントが可能になります。 Docker Scan は Snyk Engine 上で実行され、ユーザーにローカル Dockerfile とローカル イメージのセキュリティ体制の可視性を提供します。 ユーザーは CLI を通じて脆弱性スキャンをトリガーし、CLI を使用してスキャン結果を表示します。スキャン結果には、共通脆弱性識別子 (CVE)、そのソース (OS パッケージやライブラリなど)、導入されたバージョン、検出された CVE を修正するための推奨修正バージョン (利用可能な場合) のリストが含まれます。 通常、イメージ スキャンは、コンテナー イメージ ファイルで定義されているパッケージまたはその他の依存関係を解析し、それらのパッケージまたは依存関係に既知の脆弱性がないかチェックすることによって機能します。 |
<<: Gラインクラウドコンピューティングシリーズ:フルスタッククラウド運用
>>: Google Cloud Games はパフォーマンスが低いため優先順位が下がった
デジタル化の波の中で、クラウドへの移行は企業と政府の両方にとって避けられないトレンドです。近年、政府...
Hiformance は、独立サーバー、ロサンゼルス データ センター、クアドラネット コンピュータ...
私に深く感動を与えた二つの文章すべての不安は視点の欠如によって引き起こされます。多くの人がキャリア開...
プロの SEO 担当者として、私たちはウェブサイトの包含に常に注意を払います。ほとんどのウェブマスタ...
AlphaVPS.bg はDA International Group Ltd の一部であり、200...
オンライン ライフは、活気に欠けることも、人気に欠けることもありません。個人ウェブマスターであれば、...
メタバースブームの中、新たな有力プレイヤーが登場した。 2017年にメタバースの概念が普及して以来、...
考えてみてください。2012 年のインターネット ウェブマスター カンファレンスからかなりの時間が経...
3月17日、テンセントのWeChatパブリックプラットフォームは、第三者の情報、ニュース、その他のソ...
春、秋、冬、そして夏。浮き沈みの連続。その道はどこに通じているのでしょうか?道はあなたの足元にありま...
Ramhost は 2009 年 2 月に設立され、4 年以上経ちました。社長は、VPS パネルをす...
一般的なウェブマスターとして、また企業のウェブサイト構築者および管理者として。何度も、なぜ最適化され...
SEOウェブサイト最適化に関して、SEO担当者として、SEOはかなり面倒な仕事だと思いますか?プロジ...
Alibaba Momにログインしたすべての友人は、その横にある衝撃的な取引量に魅了され、写真に示す...
Liquidweb は、海外業界のトップブランドの 1 つです。機器ホスティング、サーバーレンタル、...