37
46

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

Dockerイメージを最適化するのに役立つ重要な5つのプラクティス

Last updated at Posted at 2022-02-21

#1 権限は必要最小限に

Dockerfileで指定されない限り、デフォルトだとrootユーザーが使用されます。これは大きなセキュリティリスクに繋がる可能性があるため、アプリケーション専用グループ、専用ユーザーを作成しましょう。

# グループを作成
RUN groupadd -r app

# ユーザーを作成
RUN useradd -g app app

# 所有権と権限を設定
RUN chown -R app:app /app
# 再帰的な実行は長い時間がかかることがあるため、パフォーマンスを気にするなら COPY と一緒の方が良い
# COPY --chown=<user>:<group> <hostPath> <containerPath>
COPY --chown=app:app . /app

# ユーザーを切り替え
USER app

#2 マルチステージビルド

Dockerイメージは多くの場合、必要以上に大きくなり、デプロイ、セキュリティ、および開発エクスペリエンスに影響を与えます。また、ツール、開発時のみの依存関係、ランタイム、コンパイラなどの不要なアセットをリリースすることになります。

基本的な考え方は、ビルドステージとランタイムステージを分離することです。

FROM golang:1.17.2-alpine AS builder
WORKDIR /app
COPY . .
RUN go build -o app

FROM gcr.io/distroless/static AS production
COPY --from=builder app ./
CMD ["/app"]

ちなみにDistrolessイメージとは

今回ランタイムイメージとして使用したDistrolessとは、Googleが公開しているアプリケーションとそのランタイム依存のみが含まれたDebian10(buster)に基づいて作成されたコンテナイメージです。Distrolessにはアプリケーションの実行に必要な依存しか含まれていません。そのため、Shellはおろか、aptやcdといった機能も有していません。要は何も入っていないため、とってもセキュアなランタイム環境としてかつ軽量に使用ができるということです。

#3 セキュリティの脆弱性スキャン

docker scan <your-image>

docker scanでDockerイメージのセキュリティ脆弱性をスキャンできます。CIの一部で使用することをお勧めします。試しに「node:17-alpine」と「node:17」を docker scanしてみます。node:17では多くの脆弱性が存在していることが明らかです。

node:17-alpine

$ docker scan node:17-alpine

Testing node:17-alpine...

Package manager:   apk
Project name:      docker-image|node
Docker image:      node:17-alpine
Platform:          linux/amd64
Base image:        node:17.5.0-alpine3.15

✔ Tested 16 dependencies for known vulnerabilities, no vulnerable paths found.

According to our scan, you are currently using the most secure version of the selected base image

node:17

$ docker scan node:17

Testing node:17...
--- 省略 ---
Package manager:   deb
Project name:      docker-image|node
Docker image:      node:17
Platform:          linux/amd64
Base image:        node:17.5.0-bullseye

Tested 410 dependencies for known vulnerabilities, found 223 vulnerabilities.

Base Image            Vulnerabilities  Severity
node:17.5.0-bullseye  223              8 critical, 16 high, 4 medium, 195 low

Recommendations for base image upgrade:

Alternative image types
Base Image            Vulnerabilities  Severity
node:current-slim     44               0 critical, 0 high, 0 medium, 44 low
node:17-buster-slim   68               0 critical, 1 high, 0 medium, 67 low
node:17-stretch-slim  84               1 critical, 2 high, 0 medium, 81 low
node:buster           411              5 critical, 16 high, 3 medium, 387 low

#4 小さいサイズの公式イメージを使用する

必要なシステムツールとライブラリのみをバンドルし、攻撃対象領域を最小限に抑え、より安全なイメージを確保する、よりスリムなOSディストリビューションでより小さなイメージを使用することをお勧めします。

例えば、Alpine Linux はmusllibcとbusyboxに基づくセキュリティ指向の軽量Linuxディストリビューションです。

FROM node:17        # 【NG】
FROM node:17-alpine # 【OK】

#5 キャッシュを使用する

Dockerイメージにはさまざまなレイヤーが含まれており、Dockerfileでは各コマンドまたは命令がイメージレイヤーを作成します。したがって、Dockerイメージを再構築し、Dockerfileまたはレイヤーが変更されていない場合、Dockerはキャッシュされたレイヤーを使用してイメージを構築します。これにより、イメージの再構築が大幅に高速化されます。

node_modules以下は、 Dockerレイヤーキャッシングを利用してキャッシュする方法の例です。これは、Dockerfileに応じて、複数の状況で実装できます。

FROM node:17-alpine

WORKDIR /app

COPY package*.json .

RUN npm install --production

COPY . .

RUN npm run build

CMD ["node", "dist/index.js"]

参考資料

37
46
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
37
46

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?