我目前正在评估不同方案,以减少图像尺寸。除了高山,那里也跑静态的选择建立在多级码头工人划伤图像生成,其中大多数人称之为安全(我所在的地方同意关于攻击面)。但正如有没有涉及用户管理等,would'nt意味着运行具有相同的权限泊坞窗守护程序执行它的二进制?哪里是安全的地步吗?
您还可以通过在Dockerfile使用SCRATCH命令,或当你开始容器(USER)定义的用户也从--user=图像。最安全的选择将是通过在Dockerfile USER命令指定的非根用户 - 这将是默认容器选项。如果容器需要root用户,那么你可以使用user namespaces,所以真正的根不会在容器中使用。
BTW:对于非root用户典型问题是低端口绑定,但你可以绑定高端口或使用--cap-add net_bind_service / --sysctl net.ipv4.ip_unprivileged_port_start=0(内核4.11+)。