公式ベースイメージを使用してアプリケーションをビルドするアプリケーションを構築する際に、オペレーティング システム全体を最初からインストールするモードを使用しないでください。たとえば、node 環境を使用する場合は、centos または ubuntu イメージを使用するのではなく、node イメージを直接使用して、node 環境を自分でインストールする必要があります。 画像のバージョンを指定する使用するバージョンを指定しない場合は、デフォルトで最新バージョンが使用されます。これにより、ビルドするたびに以前のバージョンとの不整合が発生する可能性があります。そのため、解決策としては、毎回ビルドするバージョンが統一されるように、指定されたバージョンを使用するということになります。 最小化されたオペレーティングシステムを使用するCentOS や Ubuntu など、Linux オペレーティング システムには多くのバージョンがありますが、これらはアプリケーションには大きすぎて肥大化しているため、Alpine などの小規模なシステムを使用することをお勧めします。 画像レイヤーキャッシュを最適化するDockerfile にある各コマンドは新しいレイヤーを作成します。各レイヤーには、コマンドが実行される前と実行された後の状態のイメージに対するファイル システムの変更が含まれています。 RUN コマンドを使用すると、Docker イメージ内でコマンドを実行できます。 RUN コマンドによって生成されたレイヤーがすでにキャッシュ内に存在する場合、RUN コマンドは 1 回しか実行できません。 Dockerfile 内の COPY コマンドを使用すると、1 つ以上の外部ファイルを Docker イメージにインポートできます。これらの COPY コマンドを実行すると、依存するすべての外部ファイルの最新バージョンが確保されます。 最初の COPY コマンドのすべての外部ファイルの内容が同一の場合、レイヤー キャッシュが使用され、次の ADD または COPY コマンドまでのすべての後続コマンドはレイヤー キャッシュを使用します。 ただし、1 つ以上の外部ファイルの内容が異なる場合、後続のすべてのコマンドはレイヤー キャッシュを使用せずに実行されます。 Docker のレイヤー キャッシュを活用するには、頻繁に変更されるステップ (COPY など) が Dockerfile の末尾近くになるように Dockerfile を構成する必要があります。これにより、同じ操作の実行に関連する手順が不必要に再構築されなくなります。 .dockerignore ファイルの使い方を学ぶ.dockerignore を使用すると多くの利点があります。 Docker イメージのサイズを縮小し、Docker ビルドを高速化し、パスワードの偶発的な漏洩を防ぐのに役立ちます。 Docker は、Docker クライアントと Docker サーバー (Docker デーモンとも呼ばれます) で構成されるクライアント サーバー アプリケーションです。 Docker クライアントのコマンドライン ツールは Docker サーバーと通信し、処理を要求します。その 1 つは Docker ビルドです。新しい Docker イメージをビルドします。 Docker サーバーは、クライアントと同じマシン上、または仮想マシン内、ローカル、リモート、クラウドで実行できます。 新しい Docker イメージを作成するには、Docker サーバーが Docker イメージの作成元となるファイルにアクセスできる必要があります。したがって、何らかの方法でこれらのファイルを Docker サーバーに送信する必要があります (Docker サーバーは別のリモート マシンになる可能性があることを覚えておいてください)。これらのファイルは Docker ビルド コンテキストです。 Docker クライアントは、すべてのビルド コンテキスト ファイルを tar アーカイブにパッケージ化し、このアーカイブを Docker サーバーにアップロードします。デフォルトでは、クライアントは現在の作業ディレクトリ内のすべてのファイル (およびフォルダー) を取得し、それらをビルド コンテキストとして使用します。 .dockerignore ファイルは、実際に必要な Docker ビルド コンテキストを定義するのに役立つツールです。このファイルを使用すると、ファイルとフォルダーに対して無視するルールとこれらのルールの例外を指定できます。これらのルールはビルド コンテキストに含まれず、アーカイブにパッケージ化されず、Docker サーバーにアップロードされません。 マルチステップビルドツールを使用して、さまざまな環境でビルドおよび実行します。マルチステージビルドでは、Dockerfile 内で複数の FROM ステートメントを使用できます。各 FROM 命令は異なるベースイメージを使用でき、それぞれがビルドの新しいステージを開始します。あるステージから別のステージにファイルを選択的にコピーし、不要なものはすべて残しておくことができます。 最小権限ユーザーを使用するDockerfile で USER が指定されていない場合、Docker はデフォルトでコンテナをスーパーユーザー root として実行します。コンテナが属する名前空間、つまりイメージはルート ユーザーが所有します。つまり、コンテナは Docker ホスト システムのスーパー管理権限を取得できます。それだけでなく、コンテナをルートユーザーとして実行すると、攻撃対象領域も拡大します。コンテナ アプリケーションにセキュリティ上の脆弱性がある場合、権限昇格が発生しやすくなります。 実際には、コンテナにルート権限を与える必要は通常ありません。セキュリティの脅威を最小限に抑えるには、専用のユーザーとユーザー グループを作成し、USER を使用して Dockerfile でユーザーを指定し、コンテナー アプリケーションが最小限の権限を持つユーザーとして実行されるようにします。 ベースイメージに専用ユーザーが含まれていない場合は、Dockerfile で直接通常のユーザーを作成します。 画像をスキャンしてセキュリティ上の問題がないか確認するDocker ローカル イメージの脆弱性スキャンにより、開発者と開発チームはコンテナ イメージのセキュリティ状態を確認し、スキャン中に見つかった問題を修正する手順を実行できるため、より安全なデプロイメントが可能になります。 Docker Scan は Snyk Engine 上で実行され、ユーザーにローカル Dockerfile とローカル イメージのセキュリティ体制の可視性を提供します。 ユーザーは CLI を通じて脆弱性スキャンをトリガーし、CLI を使用してスキャン結果を表示します。スキャン結果には、共通脆弱性識別子 (CVE)、そのソース (OS パッケージやライブラリなど)、導入されたバージョン、検出された CVE を修正するための推奨修正バージョン (利用可能な場合) のリストが含まれます。 通常、イメージ スキャンは、コンテナー イメージ ファイルで定義されているパッケージまたはその他の依存関係を解析し、それらのパッケージまたは依存関係に既知の脆弱性がないかチェックすることによって機能します。 |
<<: Gラインクラウドコンピューティングシリーズ:フルスタッククラウド運用
>>: Google Cloud Games はパフォーマンスが低いため優先順位が下がった
2018年6月15日、世界有数のネットワーク技術プロバイダーであるArubaの中堅・中小企業顧客向け...
多くのSEO担当者の目には、ウェブサイトの再設計は非常に神秘的なものです。彼らは皆、ウェブサイトの再...
zjiは現在、香港葵湾データセンター内の香港独立サーバー(香港物理マシン)を45%割引で提供していま...
国内のクラウドサーバーは比較的高価なので、より安価なクラウドサーバーを使いたい場合には、やはり海外の...
dedipath では現在、「cinco de mayo」プロモーションを実施しており、すべての V...
これは私が普段取り組んでいるプロの SEO ウェブサイトです。長い間行われていませんでしたが、トラフ...
domain.com は EIG グループのメインドメイン名登録ブランドであり、さまざまなサフィック...
トラフィックはウェブサイトにとって重要ですか? それに疑いの余地はありません。トラフィックのないウェ...
今年1月23日の夕方、ハッカー集団UGNaziが高級ブランドCoachのウェブサイトをハッキングした...
Dada Express配送プラットフォームの孫荘さんは、偶然にも自身の配送時間記録を更新した。 2...
今日では、アプリケーションの増加によりデータ量が増加し続けており、企業はより迅速に対応し、行動する必...
HUAWEI CONNECT 2018において、Sinopec Yingke Information...
多くの組織は、特に自律的な許可とアクセス権と組み合わせることで、サイバーセキュリティの将来を計画する...
デジタル化とネットワーク化により、人間社会、物理世界、情報空間の境界が崩れました。これらはデジタル経...
ユーザー グループを正確に特定し、信頼できる回答を提供して、ユーザーが再度アクセスするよう促します。...