Menú

La información en esta página no se encuentra completamente disponible en tu idioma de preferencia. Muy pronto esperamos tenerla completamente disponible en otros idiomas. Para obtener información en tu idioma de preferencia, por favor descarga el PDF aquí.

Técnicas

Imágenes Docker sin distribución

Oct 2020
Probar?

Cuando se construyen imágenes de Docker para las aplicaciones, usualmente nos preocupan dos cosas: la seguridad y su tamaño. Tradicionalmente hemos usado herramientas de escaneo de seguridad en contenedores para detectar y corregir vulnerabilidades y riesgos comunes y distribuciones pequeñas como Alpine Linux para resolver el tema del tamaño de la imagen y del rendimiento de la distribución. Hemos ganado más experiencia con imágenes Docker sin distribución y estamos listos para recomendar esta estrategia como otra importante medida de seguridad para aplicaciones contenerizadas. Este tipo de imágenes para Docker reducen el tamaño y las dependencias suprimiendo las distribuciones de sistemas operativos completos. Esta técnica reduce el ruido en los escaneos de seguridad y la superficie de ataque a la aplicación: hay menos vulnerabilidades que hay que corregir y, como extra, estas imágenes son más eficientes. Google ha publicado un conjunto de imágenes de contenedor sin distribución para diferentes lenguajes. Se pueden crear imágenes para aplicación sin distribución utilizando la herramienta de construcción Bazel de Google o utilizando simplemente Dockerfiles multistage. Hay que notar que los contenedores sin distribución no tienen un shell para depurar. Sin embargo es fácil encontrar en línea versiones de contenedores sin distribución habilitadas para la depuración que incluyen el shell BusyBox. Google ha sido pionero en esta técnica y, según nuestra experiencia, sigue estando confinada a imágenes generadas por Google. Esperamos que esta técnica se extienda por fuera de este ecosistema.

Nov 2018
Evaluar?

When building Docker images for our applications, we're often concerned with two things: the security and the size of the image. Traditionally, we've used container security scanning tools to detect and patch common vulnerabilities and exposures and small distributions such as Alpine Linux to address the image size and distribution performance. In this Radar, we're excited about addressing the security and size of containers with a new technique called distroless docker images, pioneered by Google. With this technique, the footprint of the image is reduced to the application, its resources and language runtime dependencies, without operating system distribution. The advantages of this technique include reduced noise of security scanners, smaller security attack surface, reduced overhead of patching vulnerabilities and even smaller image size for higher performance. Google has published a set of distroless container images for different languages. You can create distroless application images using the Google build tool Bazel, which has rules for creating distroless containers or simply use multistage Dockerfiles. Note that distroless containers by default don't have a shell for debugging. However, you can easily find debug versions of distroless containers online, including a busybox shell.