6
在生产环境中运行Docker时应考虑哪些最佳和全面的实践?
最后,您非常喜欢Docker,因此想要将具有敏感客户数据的在线关键业务生产系统移至Docker Swarm。有些甚至可能已经这样做了。另一组织无法通过禁止在root模式下运行的生产流程的策略来承担该费用。 对于Docker生产环境,可以考虑的构建基清单清单是什么?一个并不需要所有,但是所有它们都应该被评估很重要。 免责声明:我知道有一个SE策略可以避免“无尽的大列表”,但是我认为此清单不能太大...反之亦然。 那么-这些积木是什么? 如果尚未部署,请考虑运行具有高级安全设置的Linux主机系统-强化内核,SELinux等。 考虑使用微小的Docker基本映像,例如alpine,busybox甚至是草稿,例如从空的基本映像开始 使用除root以外的USER设置 仔细评估以进一步减少授予容器的已缩减的内核功能集 考虑每个容器只有一个可执行二进制文件来启动进程,理想情况下是静态链接 那些想要破坏您的系统以获取外壳程序访问权限的人可能想知道他们是否发现您的容器已禁用所有外壳程序 尽可能挂载只读卷 问题:还有什么?