【发布时间】:2022-11-07 23:50:32
【问题描述】:
我想在来自 Java 映像的nonroot 用户(用户名已存在)下运行容器:gcr.io/distroless/java:8。该用户已存在于映像中,并且我已向 Dockerfile 添加了一个命令:
USER nonroot
现在我想将它添加到 K8s 清单文件中,它只需要 UID/GID(不是文字用户名):
securityContext:
runAsUser: <USER_ID>
runAsGroup: <GROUP_ID>
runAsNonRoot: true
那么,问题是如何从 distroless 映像中获取nonroot 用户 ID 和组 ID(没有外壳)?
如果我不向清单文件添加任何内容,则容器以用户 nonroot 开头(在日志中可见)。这是否意味着不再使用该根目录(并且足以保证容器的安全性)?
【问题讨论】:
标签: docker kubernetes java-8 terraform distroless