минимизировать, оптимизировать и защитить контейнеры Docker с помощью DockerSlim

Thank you for reading this post, don't forget to subscribe!

DockerSlim – это инструмент с открытым исходным кодом, который позволяет защищать и минимизировать контейнеры Docker до 30 раз!

Теперь давайте сначала узнаем, какие преимущества дает минимизация контейнеров.

Ваши контейнеры будут легкими, поэтому ,будут запускаться значительно быстрее
Обновления также будут быстрее
Чем меньше контейнер, тем меньше ошибок и угроз безопасности
Вы сократите использование хранилища в ваших системах

Перейдите в репозиторий DockerSlim GitHub в разделе «INSTALLATION»:

https://github.com/docker-slim/docker-slim

и скачайте последние бинарники для своей системы.

DockerSlim в настоящее время может работать только в системах Linux и UNIX (включая Mac).

Установка DockerSlim на Linux

Выберите «Latest Linux Binaries», чтобы загрузить бинарник для системы Linux с помощью команды wget.

wget https://downloads.dockerslim.com/releases/1.34.0/dist_linux.tar.gz

mv dist_linux/* /usr/local/bin

Использование DockerSlim для минимизации и оптимизации контейнеров Docker

DockerSlim имеет интерактивную оболочку, которую вы можете использовать для уменьшения размера и защиты ваших контейнеров.

build – анализирует, профилирует и оптимизирует образ контейнера, а затем создает поддерживаемые профили безопасности.
xray – используется для статического анализа образа контейнера, вы можете использовать эту команду, если захотите увидеть, что делает контейнер большим.
lint – используется для анализа инструкций контейнера в DockerFile.
profile – используется для анализа образа контейнера без создания оптимизированного образа.

Существуют и другие параметры, которые используются вместе с приведенными выше командами, например:

--target – Целевой DockerFile или образ

--target-type – явно указать целевой тип команды, если это образ или DockerFile

--http-probe – Включить http probing

Вы можете ознакомиться с множеством других примеров из репозитория DockerSlim GitHub.

Давайте рассмотрим несколько примеров по работе этого инструмента.

Создадим оптимизированный образ Nginx

Чтобы создать оптимизированный образ, сначала необходимо скачать базовый образ:

$ docker pull nginx:latest
Мы можем проверить размер загруженного образа с помощью следующей команды:
$ docker images nginx:latest
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest 519e12e2a84a 2 hours ago 133MB
Теперь мы можем создать оптимизированный образ с помощью команды:
$ docker-slim build --target nginx:latest
Пример вывода:

.....
cmd=build info=event message='HTTP probe is done'
cmd=build state=container.inspection.finishing
cmd=build state=container.inspection.artifact.processing
cmd=build state=container.inspection.done
cmd=build state=building message='building optimized image'
cmd=build state=completed
cmd=build info=results status='MINIFIED BY 12.00X [133108601 (133 MB) => 11089969 (11 MB)]'
cmd=build info=results  image.name=nginx.slim image.size='11 MB' data=true
cmd=build info=results  artifacts.location='/tmp/docker-slim-state/.docker-slim-state/images/519e12e2a84a9eb18094635ae1edfd97b26f95dbc66e317eefb657a1cb08c8dc/artifacts'
cmd=build info=results  artifacts.report=creport.json
cmd=build info=results  artifacts.dockerfile.original=Dockerfile.fat
cmd=build info=results  artifacts.dockerfile.new=Dockerfile
cmd=build info=results  artifacts.seccomp=nginx-seccomp.json
cmd=build info=results  artifacts.apparmor=nginx-apparmor-profile
cmd=build state=done
cmd=build info=commands message='use the xray command to learn more about the optimize image'

.....

cmd=build info=event message='HTTP probe is done'

cmd=build state=container.inspection.finishing

cmd=build state=container.inspection.artifact.processing

cmd=build state=container.inspection.done

cmd=build state=building message='building optimized image'

cmd=build state=completed

cmd=build info=results status='MINIFIED BY 12.00X [133108601 (133 MB) => 11089969 (11 MB)]'

cmd=build info=results image.name=nginx.slim image.size='11 MB' data=true

cmd=build info=results artifacts.location='/tmp/docker-slim-state/.docker-slim-state/images/519e12e2a84a9eb18094635ae1edfd97b26f95dbc66e317eefb657a1cb08c8dc/artifacts'

cmd=build info=results artifacts.report=creport.json

cmd=build info=results artifacts.dockerfile.original=Dockerfile.fat

cmd=build info=results artifacts.dockerfile.new=Dockerfile

cmd=build info=results artifacts.seccomp=nginx-seccomp.json

cmd=build info=results artifacts.apparmor=nginx-apparmor-profile

cmd=build state=done

cmd=build info=commands message='use the xray command to learn more about the optimize image'

В выходных данных выше указано, что образ был уменьшен с 133 МБ до 11 МБ.
Это в 12 раз!

Мы можем подтвердить это, проверив размер нового образа.
$ docker images nginx.slim
Вывод:

$ docker images nginx.slim
REPOSITORY   TAG       IMAGE ID       CREATED         SIZE
nginx.slim   latest    98bc8a53012f   3 minutes ago   11.1MB

$ docker images nginx.slim

REPOSITORY TAG IMAGE ID CREATED SIZE

nginx.slim latest 98bc8a53012f 3 minutes ago 11.1MB

Теперь мы можем создать контейнер из нового образа и посмотреть, может ли он правильно функционировать как исходный.

$ docker run -it -d --name slim-webserver -p 86:80 nginx.slim

В приведенной выше команде мы запустили контейнер в автономном режиме (-d), имя которого – slim-webserver, и открыли 80 -ый порт контейнера на 86-ый порт хоста.
Мы также использовали nginx.slim в качестве образа.
Проверить статус контейнера можно с помощью команды docker ps -a.

docker ps -a
CONTAINER ID   IMAGE          COMMAND                  CREATED         STATUS               PORTS                NAMES
7d29874994ee   nginx.slim     "/docker-entrypoint.…"   3 minutes ago   Up 3 minutes         0.0.0.0:86->80/tcp   slim-webserver

docker ps -a

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

7d29874994ee nginx.slim "/docker-entrypoint.…" 3 minutes ago Up 3 minutes 0.0.0.0:86->80/tcp slim-webserver

Мы можем получить доступ к веб-серверу через порт 86 хоста.

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Centos

минимизировать, оптимизировать и защитить контейнеры Docker с помощью DockerSlim

Установка DockerSlim на Linux

Использование DockerSlim для минимизации и оптимизации контейнеров Docker

Создадим оптимизированный образ Nginx

https://github.com/midnight47/