6 parimat tava konteinerite kasutamisel

Räägime mõnedest parimatest tavadest, mida peaksite konteinerite kasutamisel järgima.


Konteinerimist kasutatakse mitmes organisatsioonis laialdaselt rakenduste juurutamiseks konteineri sees. Need mahutid on populaarsed, kuna need on väga kerged. Et maksimaalselt ära kasutada konteinerid, peaksite nendega töötades järgima mõnda parimat tava.

Kasutage stabiilset aluspilti

Tänu Dockerile pole konteinerpiltide loomine kunagi olnud lihtsam.

Täpsustage oma aluspilt, lisage muudatused ja ehitage konteiner. Kuigi see on alustuseks suurepärane, võib vaikimisi kasutatavate põhipiltide kasutamine põhjustada suuri turvaaukude täis pilte. Vältige ka sildi dokkuri pildi „Viimane” kasutamist, kuna selles on suur võimalus viga.

Enamiku Dockeri piltide puhul kasutatakse aluspildina Debianit või Ubuntu. Need on ühilduvuse ja hõlpsa pardalevõtmise osas väga kasulikud, kuid need baaspildid võivad teie konteinerile lisada sadu megabaite lisakulu.

Näiteks lihtsate Node.js ja Go, teremaailma rakenduste maht on umbes 700 megabaiti. Teie rakenduse suurus on tõenäoliselt vaid mõni megabait. Niisiis, kogu see lisakulu on raisatud ruum ja suurepärane varjatud koht turvaaukude ja vigade jaoks.

Kui teie programmeerimiskeelel või virnal pole väikese aluspildi jaoks võimalust, saate oma konteineri ehitada toorme abil Alpi Linux lähtepunktina. See annab teile ka täieliku kontrolli selle üle, mis teie konteinerites toimub.

Hoidke konteineri pilte väiksemana

Väiksemate aluspiltide kasutamine on tõenäoliselt lihtsaim viis konteineri suuruse vähendamiseks.

Võimalik, et teie kasutatav keel või pinu pakub ametlikku pilti, mis on palju väiksem kui vaikepilt. Vaatame näiteks Node.js konteinerit. Vaikesõlmest liikumine: kõige uuem sõlme: 14-alpine vähendab meie baaspildi suurust peaaegu kümme korda.

nodejs Viimane silt - geekflare

vs..

nodejs alpi silt - geekflare

Uues Dockeri failis algab konteiner sõlmega: alpine image, loob koodi kataloogi, installib sõltuvused NPM-iga ja käivitab lõpuks Node.js serveri. Selle värskenduse abil on saadud konteiner peaaegu kümme korda väiksem.

Loote konteineri ehitaja mustri abil veelgi kergemaks. Tõlgenduskeeltega saadetakse lähtekood tõlgile ja see käivitatakse otse. Kuid kompileeritud keelega muudetakse lähtekood eelnevalt kompileeritud koodiks.

Nüüd nõuab kompileerimise keelte puhul kompileerimise samm sageli tööriistu, mida pole koodi käivitamiseks vaja. See tähendab, et saate need tööriistad lõplikust mahutist täielikult eemaldada. Selleks saate kasutada ehitaja mustrit. Esimene konteiner ehitab koodi ja seejärel pakitakse kompileeritud kood lõppmahutisse ilma kõigi kompileerijate ja tööriistadeta, mis on kompileeritud koodi tegemiseks vajalikud.

Väikeste aluspiltide ja ehitaja mustri kasutamine on suurepärased viisid palju väiksemate konteinerite loomiseks ilma suurema tööta.

Märkige oma konteineri pildid

Doki sildistamine on meie piltide haldamiseks erakordselt võimas tööriist. See aitab doki pildi erinevat versiooni hallata. Allpool on näide sildi nimega v1.0.1 dokkuri pildi ehitamisest

doki ehituse -tüübilõige / ubuntu: v1.0.1

Nüüd kasutatakse kahte tüüpi silte: Stabiilne sildid Ainulaadne sildid.

Kasutage mahuti aluspildi säilitamiseks stabiilseid silte. Vältige nende siltide kasutamist juurutuskonteinerites, kuna neid silte värskendatakse sageli ja see võib põhjustada ebakõlasid tootmiskeskkonnas.

Kasutage juurutamiseks ainulaadseid silte. Kasutades ainulaadseid silte, saate oma tootmisklastri hõlpsalt skaleerida paljudesse sõlmedesse. See väldib vastuolusid ja masinad ei tõmba ühtegi muud doki pildiversiooni.

Hea tavana peaksite lukustama ka kasutusele võetud pildimärgendid, seades kirjutamise lubamise väärtuseks vale. See aitab eemaldatud kujutist registrist kogemata eemaldamata jätta.

Konteineri turvalisus

Allpool on toodud põhipunktid veendumaks, et konteiner on kindlalt kinnitatud.

  • Kontrollige oma konteinerisse installitud tarkvara autentsust
  • Kasutage allkirjastatud doki pilte või kehtiva kontrollsummaga pilte.
  • Kui kasutate kolmanda osapoole andmehoidlat, veenduge, et URL kasutab HTTPS-i.
  • Enne paketihalduri kasutamist pakettide värskendamiseks kaasake õiged GPG-võtmed
  • Ärge kunagi käivitage oma rakendusi juurotsana. Peaksite alati kasutama docker-failis sisalduvat kasutajadirektiivi, et veenduda, et kasutajate õigused on maha jäetud.
  • Ärge kasutage SSH-d oma konteineri sees.
  • Muutke failisüsteem kirjutuskaitstud.
  • Kasutage klastri jaotamiseks nimeruume.

Doki mahu turvalisuse hindamiseks on Interneti-turvalisuse keskus (CIS) pakkunud dokkide võrdlusaluse. Nad on pakkunud avatud lähtekoodiga skripti nimega Doki pink turvalisuse tagamiseks, mida saate käivitada, et kontrollida doki konteineri turvalisust.

Üks taotlus konteineri kohta

Virtuaalsed masinad on päris head mitme asja paralleelseks käitamiseks, kuid konteinerite puhul peaksite ühe konteineri sees käivitama ühe rakenduse. Näiteks kui kasutate MEAN-i rakendust konteineriseeritud keskkonnas, peaks sellel olema üks konteiner MongoDB jaoks, üks konteiner Express.js jaoks, üks konteiner nurga jaoks ja üks konteiner Node.js jaoks.

Isegi konteinerid saavad selles paralleelselt käitada mitut rakendust, kuid siis saate konteineri mudeli ära kasutada. Allpool on konteineris töötavate rakenduste õige ja vale kujundus.

ühe rakenduse üks konteiner - geeklapp

Konteinerite elutsükkel on sama, mis rakendusel, mida see töötab. Kui konteiner käivitub, käivitub rakendus. Kui konteiner peatub, peatub ka rakendus.

Käitage kodakondsuseta konteinereid

Konteinerid on põhimõtteliselt konstrueerimata kodakondsuseta. Sel juhul säilitatakse püsivaid andmeid, mis sisaldavad teavet konteineri oleku kohta, väljaspool konteinerit. Faile saab salvestada objektihoidlasse, nagu pilvesalvestus. Kasutajaseansi teabe salvestamiseks võite kasutada madala latentsusega andmebaasi (nt Redis) ja lisada ka välise ketta plokkide tasemel hoidmiseks.

Hoides hoiuruumi väljaspool konteinerit, saate konteineri hõlpsalt sulgeda või hävitada, kartmata kaotada andmeid.

Kui kasutate kodakondsuseta konteinereid, on seda väga lihtne ettevõtte vajaduste järgi üle viia või laiendada.

Järeldus

Ülaltoodud on mõned kõige olulisemad tavad, mida konteineritega töötamisel tuleb järgida, kui ehitate Dockeri tootmiskeskkonda, siis vaadake, kuidas seda kaitsta.

Sildid:

  • Dokk

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map