Читать книгу Kubernetes - Kelsey Hightower - Страница 29

Wenn es um Sicherheit geht, sollte man keine Abstriche machen. Beim Bauen von Images, die schließlich in einem produktiven Kubernetes-Cluster laufen sollen, müssen Sie darauf achten, sich beim Packen und Verteilen von Anwendungen an den Best Practices zu orientieren. So sollten Sie zum Beispiel keine Container bauen, in denen die Passwörter »eingebacken« sind – und dazu gehört nicht nur der letzte Layer, sondern es betrifft alle Layer im Image. Eines der kontraintuitiven Probleme von Container-Layern ist, dass das Löschen einer Datei in einem Layer diese Datei nicht aus vorigen Layern entfernt. Sie nimmt weiterhin Platz ein und lässt sich von jedem mit den richtigen Werkzeugen auslesen – ein einfallsreicher Angreifer kann schlicht ein Image bauen, das nur aus den Layern mit dem Passwort besteht.

Secrets und Images sollten niemals vermischt werden. Wenn Sie das tun, werden Sie gehackt werden und damit Ihre ganze Firma oder Abteilung in Verruf bringen. Wir wollen alle irgendwann einmal berühmt sein, aber es gibt bessere Wege, das zu erreichen.