DevOps Pokročilý
Distroless Container Images¶
DockerDistrolessSecurityContainerization 5 min čtení
Minimalistické kontejnerové obrazy bez OS. Maximální bezpečnost, minimální attack surface.
Co jsou Distroless Images¶
Distroless images od Google neobsahují package manager, shell ani systémové utility. Pouze aplikace a runtime závislosti.
- Žádný shell — útočník nemůže spustit bash
- Žádný package manager — apt/apk neexistuje
- Minimální CVE — méně balíčků = méně zranitelností
- Malá velikost — static image ~2 MB
Dostupné Base Images¶
# Static (Go, Rust, C++ staticky linkované)
gcr.io/distroless/static-debian12
# Base (dynamicky linkované C/C++)
gcr.io/distroless/base-debian12
# Java
gcr.io/distroless/java21-debian12
# Python
gcr.io/distroless/python3-debian12
# Node.js
gcr.io/distroless/nodejs20-debian12
# Všechny mají :nonroot variantu
gcr.io/distroless/static-debian12:nonroot
Debugging¶
Bez shellu je debugging obtížný. Použijte :debug tag nebo ephemeral containers.
# Debug tag (obsahuje busybox shell)
FROM gcr.io/distroless/static-debian12:debug
# Ephemeral containers v K8s
kubectl debug -it pod/myapp --image=busybox --target=app
Shrnutí¶
Distroless images jsou gold standard pro produkční kontejnery. Minimální attack surface a nulový shell přístup výrazně zvyšují bezpečnost.
Potřebujete pomoct s implementací?¶
Náš tým má zkušenosti s návrhem a implementací moderních architektur. Rádi vám pomůžeme.