반응형
1. 개념
- Dockerfile을 작성할 때 RUN, COPY, ADD 명령은 레이어를 추가해 용량을 증가시키므로 최대한 지양하는 것이 좋음
- 도커 컨테이너의 보안을 위해서 다음의 사항을 유념하면서 Dockerfile을 작성해야 함
- 패키지 버전 명시
- root로 실행 금지
- 파일시스템 read only 설정
- shell 접근 삭제
- 구체적인 내용은 공식 문서 참고(Overview of best practices for writing Dockerfiles)
2. 실습
- Dockerfile BP에 따른 예시
FROM ubuntu:20.04 # 패키지 버전 지정
RUN chmod a-w /etc
RUN add group -S tmpgroup & adduser -S tmpuser -F appgroup -h /home/tmpuser
RUN rm -rf /bin/* # shell 접근 불가
COPY --from=0 /app /home/tmpuser # 실행 경로 지정
USER tmpuser # root로 실행 금지
CMD ["/home/tmpuser/app"]3. 참고
반응형
'Kubernetes' 카테고리의 다른 글
| Kubernetes Falco 개념 및 설치 (0) | 2024.03.14 |
|---|---|
| Kubernetes private docker registry 접근 (0) | 2024.03.09 |
| Kubernetes OPA 개념 (0) | 2024.03.08 |
| Kubernetes SecurityContext 개념 및 설정2 (0) | 2024.03.06 |
| Kubernetes Container Runtime Sandbox 개념 (0) | 2024.03.06 |
