6 legjobb módszer a konténerek használatához

Beszéljünk néhány bevált gyakorlatról, amelyeket be kell tartania a tárolók használata közben.


A tárolást sok szervezet széles körben alkalmazza az alkalmazások tárolókon belüli telepítésére. Ezek a konténerek népszerűek, mert nagyon könnyűek. Hogy kiaknázza a legtöbbet konténerek, kövesse néhány bevált gyakorlatot, miközben velük dolgozik.

Használjon stabil alapképet

A Dockernek köszönhetően a tárolóképek létrehozása még soha nem volt ilyen egyszerű.

Adja meg az alapképet, adja hozzá a módosításokat, és készítse el a tárolót. Noha ez nagyszerű az induláshoz, az alapértelmezett alapképek használata nagy biztonsági képességekkel teli képeket eredményezhet. Ezenkívül kerülje a „Legújabb” címkével ellátott dokkoló kép használatát, mivel óriási esélye van egy hibának.

A legtöbb Docker-kép a Debian vagy az Ubuntu formátumot használja alapképként. Nagyon hasznosak a kompatibilitás és a könnyű fedélzeti beépítés szempontjából, de ezek az alapképek több száz megabájtnyi plusz pluszt eredményezhetnek a tartályban.

Például az egyszerű Node.js és a Go, a „hello world” alkalmazások kb. 700 megabájtot tesznek ki. Az alkalmazás valószínűleg csak néhány megabájt. Tehát, ez a kiegészítő fejpótlás pazarolt hely, és remek rejtekhely a biztonsági rések és hibák számára.

Ha a programozási nyelvnek vagy veremnek nincs lehetősége egy kis alapkép számára, akkor a tárolót nyers felhasználásával készítheti Alpesi Linux kiindulási pontként. Ez teljes ellenőrzést is biztosít a konténerek belsejében.

Tartsa a tárolóeszközök képeit kisebbnek

Kisebb alapképek használata valószínűleg a legegyszerűbb módszer a tároló méretének csökkentésére.

Valószínűleg az Ön által használt nyelv vagy verem olyan hivatalos képet nyújt, amely sokkal kisebb, mint az alapértelmezett kép. Vessen egy pillantást például a Node.js tárolóra. Az alapértelmezett csomóponttól: a legutóbb a csomóponttól: A 14-alpine szinte tízszeresére csökkenti az alapkép méretét.

nodejs legújabb tag - geekflare

vs ….

nodejs alpesi címke - geekflare

Az új Docker fájlban a tároló a csomóponttal: alpesi képpel kezdődik, létrehoz egy könyvtárat a kódhoz, telepíti a függőségeket az NPM segítségével, és végül elindítja a Node.js szervert. A frissítéssel a kapott tároló majdnem tízszer kisebb.

A tárolót még könnyebben hozhatja létre az építőmintázat segítségével. Értelmező nyelvek esetén a forráskódot elküldik egy tolmácsnak, majd közvetlenül végrehajtják. De egy lefordított nyelvnél a forráskód előbb fordított kódmá alakul.

A fordítási nyelveknél a fordítási lépés gyakran olyan eszközöket igényel, amelyekre nincs szükség a kód futtatásához. Ez azt jelenti, hogy ezeket az eszközöket teljesen eltávolíthatja a végső tartályból. Ehhez használhatja az építő mintát. Az első tároló elkészíti a kódot, majd a lefordított kódot a végső tárolóba csomagolja, az összes fordító és eszköz nélkül, amelyek a lefordított kód elkészítéséhez szükségesek.

A kis alapképek és az építőmintázat használata nagyszerű módja annak, hogy sokkal kisebb tárolókat hozzon létre sok munka nélkül.

Címkézze meg a tároló képeit

A Docker címkézés rendkívül hatékony eszköz számunkra a képeink kezelésekor. Segít a dokkolókép különböző verzióinak kezelésében. Az alábbiakban bemutatjuk a v1.0.1 címkével ellátott dokkolókép létrehozását

docker build -t geekflare / ubuntu: v1.0.1

Most kétféle címke van használatban: Stabil címkék Egyedi címkék.

Használjon stabil címkéket a tároló alapképének fenntartásához. Ne használja ezeket a címkéket a telepítési tárolókhoz, mert ezek a címkék gyakran frissülnek, és következetlenségeket okozhat a termelési környezetben.

Használjon egyedi címkéket a telepítésekhez. Az egyedi címkék segítségével könnyedén skálázhatja a termelési klasztert sok csomópontra. Kerül elkerülni az ellentmondásokat, és a házigazdák nem húznak más dokkolókép-verziót.

Ezenkívül helyes gyakorlatként le kell zárnia a telepített képcímkéket azáltal, hogy az írás-engedélyezést hamis értékre állítja. Ez segít abban, hogy tévesen távolítsa el a telepített képet a nyilvántartásból.

Konténer biztonság

Az alábbiakban ismertetjük a tartály biztonságosságának alapvető kérdéseit.

  • Ellenőrizze a tárolóba telepített szoftverek hitelességét
  • Használjon aláírt dokkoló képeket vagy érvényes ellenőrző összeggel rendelkező képeket.
  • Győződjön meg arról, hogy az URL HTTPS-t használ, ha harmadik féltől származó lerakatot használ.
  • Mielőtt a csomagkezelőt használja a csomagok frissítéséhez, vegye be a megfelelő GPG-kulcsokat
  • Soha ne futtassa az alkalmazásokat root felhasználóként. Mindig a docker fájlban található felhasználói irányelvet kell használnia, hogy megbizonyosodjon arról, hogy lemond-e a felhasználó jogosultságairól.
  • Ne futtasson SSH-t a konténer belsejében.
  • A fájlrendszert csak olvashatóvá tegye.
  • Használja a Névterek használatával a fürt felosztását.

A dokkolói referenciaértéket az Internet Biztonsági Központ (CIS) bocsátotta rendelkezésre a dokkoló tároló biztonsági szempontjából. Biztosítottak egy nyílt forrású szkriptet, az úgynevezett Biztonsági dokkolópad, amelyet futtathat annak ellenőrzéséhez, hogy a dokkoló tároló mennyire biztonságos.

Tartályonként egy alkalmazás

A virtuális gépek nagyon jóak, ha több dolgot párhuzamosan futtatunk, de amikor a tárolókról van szó, akkor egyetlen alkalmazást kell futtatnia egy tárolóban. Például, ha MEAN alkalmazást futtat egy konténeres környezetben, akkor egy tárolónak kell lennie a MongoDB-hez, egy tárolónak az Express.js-hez, egy tárolóhoz a Szögletes és egy tárolónak a Node.js-hez..

Még a tárolók is több alkalmazást futtathatnak párhuzamosan, de akkor kihasználhatják a tároló modell előnyeit. Az alábbiakban egy tárolóban futó alkalmazások helyes és helytelen ábrázolása látható.

egyetlen alkalmazás egy tartály - geekflare

A konténereket úgy tervezték, hogy az életciklusuk hasonló legyen a futtatott alkalmazáshoz. Amikor a tároló elindul, az alkalmazás elindul. Ha egy tároló leáll, az alkalmazás is leáll.

Futtassa az állapot nélküli konténereket

A konténerek alapvetően hontalanok. Ebben az esetben a tartós adatokat, amelyek információkat tartalmaznak a tároló állapotáról, a tárolókon kívül tárolják. A fájlok tárolhatók egy objektumtárban, például felhőtárolóban. A felhasználói munkamenetek adatainak tárolására használhat alacsony késleltetésű adatbázist, mint például a Redis, és külső lemezt csatolhat blokk szintű tároláshoz..

Ha a tárolást a tárolókon kívül tartja, akkor könnyen lezárhatja vagy megsemmisítheti a tárolót anélkül, hogy félne adatvesztéstől.

Ha hontalan tárolókat használ, akkor azok nagyon könnyen áttelepíthetők vagy méretezhetők az üzleti igényeknek megfelelően.

Következtetés

A fenti néhány olyan legfontosabb gyakorlat, amelyet a konténerekkel való munka során be kell tartani, ha Docker termelési környezetet épít, majd ellenőrizze, hogyan lehet azt biztosítani..

CÍMKÉK:

  • Dokkmunkás

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map