6 osvedčených postupov pri používaní nádob

Poďme hovoriť o niektorých najlepších postupoch, ktoré by ste mali dodržiavať pri používaní kontajnerov.


Kontajnerizácia sa vo veľkej miere používa v niekoľkých organizáciách na nasadenie aplikácií do kontajnera. Tieto kontajnery sú obľúbené, pretože sú veľmi ľahké. Využiť čo najviac z kontajnery, počas práce s nimi by ste mali dodržiavať niektoré osvedčené postupy.

Použite stabilný základný obrázok

Vďaka aplikácii Docker nebolo vytváranie obrázkov kontajnerov nikdy jednoduchšie.

Zadajte základný obrázok, pridajte zmeny a zostavte kontajner. Aj keď je to skvelé pre začiatok, použitie predvolených základných obrázkov môže viesť k veľkým obrázkom plným bezpečnostných zraniteľností. Vyvarujte sa tiež použitiu obrázka doku „Najnovšie“ značky, pretože v ňom existuje veľká pravdepodobnosť chyby.

Väčšina obrázkov Docker používa ako základný obraz Debian alebo Ubuntu. Sú veľmi užitočné, pokiaľ ide o kompatibilitu a ľahké zabudovanie, ale tieto základné obrázky môžu do vášho kontajnera pridať stovky megabajtov ďalších režijných nákladov..

Napríklad jednoduché aplikácie Node.js a Go, aplikácie „ahoj svet“, sú približne 700 megabajtov. Veľkosť vašej aplikácie je pravdepodobne iba niekoľko megabajtov. Takže všetky tieto ďalšie režijné náklady sú zbytočným priestorom a skvelým úkrytom pre bezpečnostné chyby a chyby.

Ak váš programovací jazyk alebo zásobník nemá možnosť pre malý základný obrázok, môžete svoj kontajner zostaviť pomocou surového obrázka Alpský Linux ako východiskový bod. Takto získate úplnú kontrolu nad tým, čo sa nachádza vo vašich kontajneroch.

Udržujte menšie obrázky kontajnerov

Použitie menších základných obrázkov je pravdepodobne najjednoduchší spôsob, ako zmenšiť veľkosť vášho kontajnera.

Pravdepodobnosť, že váš jazyk alebo zásobník používate, poskytuje oficiálny obrázok, ktorý je oveľa menší ako predvolený obrázok. Poďme sa napríklad pozrieť na kontajner Node.js. Prechod z predvoleného uzla: najnovší na uzol: 14-vysokohorský zníži veľkosť základnej snímky takmer desaťkrát.

nodejs najnovšia značka - geekflare

vs. ….

nodejs alpská značka - geekflare

V novom súbore Docker začína kontajner s uzlom: alpine image, vytvára adresár pre kód, inštaluje závislosti s NPM a nakoniec spúšťa server Node.js. Vďaka tejto aktualizácii je výsledný kontajner takmer desaťkrát menší.

Kontajner vytvoríte ešte ľahší pomocou vzoru staviteľa. Pri interpretačných jazykoch sa zdrojový kód odošle tlmočníkovi a potom sa vykoná priamo. Ale so skompilovaným jazykom sa zdrojový kód vopred zmení na skompilovaný kód.

Teraz, pri kompilácii jazykov, krok kompilácie často vyžaduje nástroje, ktoré nie sú potrebné na spustenie kódu. To znamená, že tieto nástroje môžete z konečného kontajnera úplne odstrániť. Na tento účel môžete použiť vzor tvorcu. Prvý kontajner zostavuje kód a potom je kompilovaný kód zabalený do konečného kontajnera bez všetkých kompilátorov a nástrojov potrebných na vytvorenie kompilovaného kódu..

Použitie malých základných obrázkov a vzoru staviteľa je skvelým spôsobom, ako vytvoriť oveľa menšie kontajnery bez veľkého množstva práce.

Označte svoje obrázky kontajnerov

Značenie dokov je pre nás mimoriadne výkonným nástrojom, pokiaľ ide o správu našich obrázkov. Pomáha pri správe rôznych verzií obrazu doku. Nižšie je uvedený príklad vytvorenia doku s názvom značky v1.0.1

zostavenie doku -t geekflare / ubuntu: v1.0.1

Teraz sa používajú dva typy značiek: stabilný tagy jedinečný tagy.

Na udržanie základného obrázka kontajnera používajte stabilné štítky. Nepoužívajte tieto značky na nasadenie kontajnerov, pretože tieto značky budú dostávať aktualizácie často a môže to viesť k nekonzistentnosti vo výrobnom prostredí.

Na nasadenie používajte jedinečné značky. Pomocou jedinečných značiek môžete bez problémov škálovať svoj produkčný klaster na mnoho uzlov. Vyhýba sa nezrovnalostiam a hostitelia nebudú sťahovať žiadnu inú verziu doku.

Ako osvedčený postup by ste mali nasadené obrazové štítky uzamknúť nastavením možnosti zapisovania na false. To pomáha pri odstraňovaní nasadeného obrazu z registra omylom.

Zabezpečenie kontajnerov

Nižšie sú uvedené základné body na zaistenie bezpečnosti kontajnera.

  • Overte pravosť akéhokoľvek softvéru, ktorý inštalujete do svojho kontajnera
  • Použite podpísané obrázky doku alebo obrázky s platným kontrolným súčtom.
  • Ak používate archív tretej strany, uistite sa, že adresa URL používa protokol HTTPS.
  • Pred aktualizáciou balíkov použite správcu balíkov správne kľúče GPG
  • Nikdy nespúšťajte svoje aplikácie ako root. Vždy by ste mali používať direktívu používateľa vo vnútri súboru docker, aby ste sa uistili, že zrušíte oprávnenia svojho používateľa.
  • Nespúšťajte SSH vo vnútri svojho kontajnera.
  • Vytvorte súborový systém len na čítanie.
  • Na rozdelenie klastra použite priestor názvov.

Stredisko pre internetové zabezpečenie (CIS) poskytlo referenčný bod pre dokovacie zariadenie na vyhodnotenie bezpečnosti kontajnerového kontajnera. Poskytli otvorený skript s názvom Docker Bench pre bezpečnosť, ktoré môžete spustiť a skontrolovať, ako je zabezpečený kontajner v doku.

Jedna aplikácia na kontajner

Virtuálne stroje dokážu paralelne prevádzkovať viacero vecí, ale pokiaľ ide o kontajnery, mali by ste spustiť jednu aplikáciu vnútri jedného kontajnera. Napríklad, ak prevádzkujete aplikáciu MEAN v kontajnerizovanom prostredí, mala by mať jeden kontajner pre MongoDB, jeden kontajner pre Express.js, jeden kontajner pre Angular a jeden kontajner pre Node.js..

Dokonca aj kontajnery môžu v ňom bežať paralelne s viacerými aplikáciami, ale potom môžete využiť výhody modelu kontajnerov. Nižšie je uvedená správna a nesprávna reprezentácia spustených aplikácií v kontajneri.

jeden kontajner jeden kontajner - geekflare

Kontajnery sú navrhnuté tak, aby mali podobný životný cyklus ako aplikácia, ktorú spúšťajú. Po spustení kontajnera sa spustí aplikácia. Keď sa kontajner zastaví, aplikácia sa zastaví.

Spustite kontajnery bez štátnej príslušnosti

Kontajnery sú v zásade navrhnuté tak, aby boli bez štátnej príslušnosti. V tomto prípade sú perzistentné údaje, ktoré obsahujú informácie o stave nádoby, uložené mimo nádoby. Súbory je možné ukladať v úložisku objektov, napríklad v úložisku typu cloud, na ukladanie informácií o reláciách používateľov môžete použiť databázu s nízkou latenciou, ako je napríklad Redis, a na ukladanie na úrovni blokov môžete tiež pripojiť externý disk..

Uchovávaním skladovania mimo kontajnera môžete kontajner ľahko vypnúť alebo zničiť bez obáv zo straty akýchkoľvek údajov.

Ak používate kontajnery bez štátnej príslušnosti, je veľmi ľahké migrovať alebo ich prispôsobiť podľa potrieb firmy.

záver

Vyššie uvedené sú niektoré z najdôležitejších postupov, ktoré je potrebné dodržiavať pri práci s kontajnermi, ak vytvárate prostredie dokovacej výroby, a potom si prečítajte, ako ju zabezpečiť..

Tagy:

  • prístavný robotník

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map