加固 Docker 容器镜像

为了简化加固 docker 镜像的过程,Istio 提供了一系列基于非发行版镜像的镜像

安装非发行版镜像

按照安装步骤配置 Istio。 添加 --set tag=1.14.3-distroless 选项以使用 非发行版镜像

$ istioctl install --set tag=1.14.3-distroless

效果

使用非发行版时,非发行版镜像已经不再包含非必需的可执行文件和库。

  • 减少了攻击面。尽可能少的漏洞。
  • 镜像更小了,且启动更快。

请参考官方非发行版 README 的为何选择非发行版镜像? 章节。

这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!