コンテナセキュリティに強いSysdigをAWS Fargateで検証した際に、少しハマったので、同じ轍を踏む方が出ないように共有。
手順はSysdig Japanさんにて公開いただいている翻訳版が丁寧でわかりやすいです!
https://sysdig.jp/blog/aws-fargate-serverless-agents/
公式のnginxイメージを使ったDockerイメージを元にFargate起動した場合、とくにエントリポイントなくnginxプロセスが起動して、Webサーバーとして機能します。
Dockerファイルはこんな感じ。
From nginx:latest
COPY ./default.conf /etc/nginx/conf.d
COPY ./src/index.html /usr/share/nginx/html/index.html
この環境にSysdigサーバーレスエージェントをインストールした際に、どうもエージェントが機能していないような。。。
以下のように明示的にEntryPointを追加することで対応できました。
ContainerDefinitions:
- Name: !Ref ServiceName
Image: "123456789123.dkr.ecr.us-east-1.amazonaws.com/test-nginx:latest"
# ここを追加
EntryPoint:
- "nginx"
- "-g"
- "daemon off;"
無事、モニタリングしてくれている模様 :)
