Под каким пользователем работают ваши контейнеры?

Question

[Вадим]

Хочу спросить из общих практик, заставляете ли вы ваших разработчиков в своих Dockerfiles писать директиву типа

USER just_user

Перед, собственно главным процессом - например для dotnet application

ENTRYPOINT ["dotnet", "aspnetapp.dll"]

Или необходимости менять пользователя на не рута нет?

Answer 1

[Ромзес Панагиотис]

Рекомендуется использовать не-root пользователя
https://sysdig.com/blog/dockerfile-best-practices/

Еще есть сканеры уязвимостей в образах Docker.

Но на практике многим начихать на безопасность. Так что вы хотя бы постарайтесь приложить минимальные усилия.

Answer 2

[Дмитрий Шицков]

Не заставляем, но в соответствии с политиками наш Кубернетс откажет в запуске контейнеров от пользователя с id0, либо переопределит пользователя(обычно на id 1000) в момент запуска - в зависимости от варианта доставки сервиса.

Answer 3

[Вадим]

Дмитрий, а где в Кубернетесе описываются такие политики? Можно пример yaml файла?