Задать вопрос
Viji
@Viji
DevOps Engineer

Под каким пользователем работают ваши контейнеры?

Хочу спросить из общих практик, заставляете ли вы ваших разработчиков в своих Dockerfiles писать директиву типа

USER just_user

Перед, собственно главным процессом - например для dotnet application

ENTRYPOINT ["dotnet", "aspnetapp.dll"]

Или необходимости менять пользователя на не рута нет?
  • Вопрос задан
  • 611 просмотров
Подписаться 3 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 3
romesses
@romesses
Backend инженер
Рекомендуется использовать не-root пользователя
https://sysdig.com/blog/dockerfile-best-practices/

Еще есть сканеры уязвимостей в образах Docker.

Но на практике многим начихать на безопасность. Так что вы хотя бы постарайтесь приложить минимальные усилия.
Ответ написан
Комментировать
Не заставляем, но в соответствии с политиками наш Кубернетс откажет в запуске контейнеров от пользователя с id0, либо переопределит пользователя(обычно на id 1000) в момент запуска - в зависимости от варианта доставки сервиса.
Ответ написан
Комментировать
Viji
@Viji Автор вопроса
DevOps Engineer
Дмитрий, а где в Кубернетесе описываются такие политики? Можно пример yaml файла?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы