加固 Docker 容器镜像
为了简化加固 docker 镜像的过程,Istio 提供了一系列基于非发行版镜像的镜像
安装非发行版镜像
按照安装步骤配置 Istio。
添加 --set tag=1.14.3-distroless
选项以使用 非发行版镜像 。
$ istioctl install --set tag=1.14.3-distroless
效果
使用非发行版时,非发行版镜像已经不再包含非必需的可执行文件和库。
- 减少了攻击面。尽可能少的漏洞。
- 镜像更小了,且启动更快。
请参考官方非发行版 README 的为何选择非发行版镜像? 章节。