DevOps Fortgeschritten
Distroless Container Images¶
DockerDistrolessSecurityContainerization 5 Min. Lesezeit
Minimalistische Container-Images ohne Betriebssystem. Maximale Sicherheit, minimale Angriffsfläche.
Was sind Distroless Images¶
Distroless Images von Google enthalten keinen Paketmanager, keine Shell und keine Systemdienstprogramme. Nur die Anwendung und Laufzeitabhängigkeiten.
- Keine Shell — Angreifer kann kein Bash ausführen
- Kein Paketmanager — apt/apk existiert nicht
- Minimale CVE — weniger Pakete = weniger Schwachstellen
- Kleine Größe — statisches Image ~2 MB
Verfügbare Base Images¶
# Static (Go, Rust, C++ statisch gelinkt)
gcr.io/distroless/static-debian12
# Base (dynamisch gelinktes C/C++)
gcr.io/distroless/base-debian12
# Java
gcr.io/distroless/java21-debian12
# Python
gcr.io/distroless/python3-debian12
# Node.js
gcr.io/distroless/nodejs20-debian12
# Alle haben eine :nonroot Variante
gcr.io/distroless/static-debian12:nonroot
Debugging¶
Ohne Shell ist Debugging schwierig. Verwenden Sie den :debug Tag oder Ephemeral Containers.
# Debug-Tag (enthält busybox Shell)
FROM gcr.io/distroless/static-debian12:debug
# Ephemeral Containers in K8s
kubectl debug -it pod/myapp --image=busybox --target=app
Zusammenfassung¶
Distroless Images sind der Goldstandard für Produktionscontainer. Minimale Angriffsfläche und kein Shell-Zugang verbessern die Sicherheit erheblich.
Brauchen Sie Hilfe bei der Implementierung?¶
Unser Team hat Erfahrung mit dem Entwurf und der Implementierung moderner Architekturen. Wir helfen Ihnen gerne.