はてなブックマーク

はじめに AWS ECS+ECRで動いているpythonのサービスがあった ただし、ECRのスキャン機能でものすごい数の脆弱性が出ていた... 1つずつ解消していくのは現実的ではないため、distrolessコンテナを導入することになった distrolessとは Googleが提供しているコンテナイメージ アプリケーションとそのランタイム依存関係のみ含まれる(=必要最小限) パッケージマネージャー、シェルなどは含まれない 導入メリットとして、①軽量であること、②セキュアであることが挙げられる やったことざっくりと 以前は「python:3.9.13-slim-buster」のイメージを使用してビルドしていた これを1段階目「python:3.9.13-slim-buster」→2段階目「gcr.io/distroless/python3」のマルチステージビルドにする 1段階目 パッケージ