관리형 기본 이미지

이 페이지에서는 Google 관리 기본 컨테이너 이미지를 간략하게 설명합니다.

기본 이미지란 무엇인가요?

대부분의 컨테이너 기반 개발은 애플리케이션을 실행하는 데 필요한 라이브러리, 바이너리, 구성 파일을 기반으로 기본 이미지와 레이어로 시작합니다. 기본 이미지는 대부분의 컨테이너 기반 개발 워크플로의 시작점입니다.

대부분의 기본 이미지는 Debian, Ubuntu, Redhat, Centos, Alpine과 같은 Linux의 기본 또는 최소 배포판입니다. 개발자는 일반적으로 Docker Hub 또는 다른 소스에서 이러한 이미지를 직접 사용합니다. 고객의 요구를 충족하기 위해 소프트웨어를 레이어링하는 다양한 다운스트림 리패키지 업체와 공식 제공업체가 있습니다.

Google은 기본 이미지에 대해 다음과 같은 두 가지 솔루션을 제공합니다.

  • Google은 자체 애플리케이션 빌드를 위한 기본 이미지를 유지관리합니다. 이 이미지는 Google Cloud Marketplace에서 사용자에게 제공됩니다.

  • Google에서는 자체 보안 기본 이미지를 생성 및 유지보수할 수 있는 오픈소스 도구인 보안 이미지 파이프라인을 제공합니다. Google Cloud 프로젝트에서 이러한 이미지를 사용할 수 있습니다.

Google에서 제공하는 기본 이미지

Google에서 제공하는 기본 이미지는 다음 OS 배포판에 사용할 수 있습니다.

OS 소스 저장소 경로 Google Cloud Marketplace 목록
CentOS GitHub marketplace.gcr.io/google/centos7 Google Cloud Marketplace
Debian 9 'Stretch' GitHub marketplace.gcr.io/google/debian9 Google Cloud Marketplace
Debian 10 'Buster' GitHub marketplace.gcr.io/google/debian10 Google Cloud Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 Google Cloud Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 Google Cloud Marketplace

관리형 기본 이미지에 적용되는 라이선스에 대한 자세한 내용은 관리형 기본 이미지 라이선스 파일을 참조하세요.

Google 관리 기본 이미지에는 다음과 같은 장점이 있습니다.

알려진 취약점이 있는지 검사

이러한 이미지는 CVE 데이터베이스에서 제공하는 취약점을 정기적으로 스캔합니다.

이 스캔은 Artifact Registry 취약점 스캔과 같은 기능을 사용합니다. 발견한 취약점에 대한 패치가 제공되면, Google은 해당 패치를 적용합니다.

재현 가능하도록 빌드

이러한 이미지는 재현 가능하도록 제작되었기 때문에 소스 코드에서 바이너리까지 검증할 수 있는 경로가 존재합니다.

이미지를 GitHub 소스와 비교해 빌드의 결함 발생 여부를 확인하면 이미지를 검증할 수 있습니다.

Google Cloud에 저장

이러한 이미지는 Google Cloud에 저장되며, 따라서 네트워크를 거치지 않고 환경에서 바로 가져올 수 있습니다.

보안 이미지 파이프라인

즉시 사용 가능한 모든 기본 이미지는 소비자가 이미지에 있는 내용을 감사할 수 없다는 문제를 겪습니다. 소스, 빌드, 테스트 프로세스 또는 이미지 처리 방법이 표시되지 않습니다. 악의적인 행위자는 종종 기본 이미지의 다운스트림에 악의적인 소프트웨어를 추가합니다. 사용자가 공개 저장소에서 기본 이미지를 사용하는 경우 애플리케이션 환경의 루트에서 소프트웨어 공급망을 제어할 수 없습니다.

따라서 고객이 실행하는 모든 소프트웨어와 실행되는 환경을 감사해야 하는 규정 준수 요구 사항이 있을 경우 자체적으로 무언가를 구축합니다. 이를 위한 작업에는 빌드 및 유지보수가 필요합니다.

보안 이미지 파이프라인을 사용하면 자체 보안 기본 이미지를 생성하고 유지보수할 수 있습니다. 생성된 기본 이미지를 Google Cloud 프로젝트에서 사용할 수 있습니다.

다음 OS 배포를 위한 기본 이미지를 생성할 수 있습니다.

  • Debian
  • Ubuntu
  • CentOS
  • Alpine

보안 이미지 파이프라인 설정에 대한 안내는 보안 이미지 파이프라인 만들기를 참조하세요.

대체 옵션

관리형 기본 이미지가 필요하지 않은 경우 mirror.gcr.io에 저장된 자주 요청되는 Docker Hub 이미지인 * 캐시된 이미지를 사용할 수 있습니다. 캐시된 이미지를 사용하도록 Docker 데몬을 구성하면 클라이언트는 Docker 허브에서 직접 이미지를 가져오기 전에 항상 Docker Hub 이미지의 캐시된 사본을 확인합니다.

캐시된 이미지 가져오기에 대해 자세히 알아보세요.

이미지 검증을 비롯한, 소프트웨어 공급망을 보호하는 다른 방법은 Google Kubernetes Engine에서 소프트웨어 공급망 보안 강화를 참조하세요.

다음 단계