관리형 기본 이미지

관리형 기본 이미지는 보안 취약성 해소를 위해, Google이 프로젝트 업스트림(예: GitHub)에서 이용 가능한 최신 패치를 이용해 자동으로 패치하는 기본 컨테이너 이미지입니다. 이 이미지는 모든 GCP 고객이 사용할 수 있습니다.

이 문서는 관리형 컨테이너 이미지와 이미지 유지 관리 방법을 설명합니다.

관리형 기본 이미지에 적용되는 라이선스에 대한 자세한 내용은 관리형 기본 이미지 라이선스 파일을 참조하세요.

컨테이너 이미지 및 운영 체제

컨테이너를 배포할 때는 별도의 두 가지 운영 체제와 이미지를 선택하게 됩니다.

  • 노드 또는 호스트 이미지

    컨테이너를 실행하는 운영 체제입니다.

  • 컨테이너 이미지

    컨테이너 자체에 사용되는 운영 체제입니다.

컨테이너 이미지는 운영 체제 기본 이미지를 가져오고, 애플리케이션에 필요한 패키지, 라이브러리, 바이너리를 추가해 빌드합니다.

관리형 기본 이미지 유지 관리 방법

Google은 Google App Engine 등의 Google Cloud 서비스 같은 자체 애플리케이션을 개발을 위해 기본 이미지를 관리합니다.

관리형 기본 이미지에는 특정 용도에 적합한 보안 속성이 있습니다.

  • 이러한 이미지는 CVE 데이터베이스에서 제공하는 취약점을 정기적으로 스캔합니다.

    이 스캔은 Container Registry 취약점 스캔과 같은 기능을 사용합니다. 발견한 취약점에 대한 패치가 제공되면, Google은 해당 패치를 적용합니다.

  • 이러한 이미지는 재현 가능하도록 제작되었기 때문에 소스 코드에서 바이너리까지 검증할 수 있는 경로가 존재합니다.

    이미지를 GitHub 소스와 비교해 빌드의 결함 발생 여부를 확인하면 이미지를 검증할 수 있습니다.

  • 이러한 이미지는 Google Cloud에 저장되며, 따라서 네트워크를 거치지 않고 환경에서 바로 가져올 수 있습니다.

    비공개 Google 액세스를 사용하여 이러한 이미지를 가져올 수 있습니다. 물론 Google Cloud 외부에서도 계속 사용할 수 있습니다.

사용 가능한 이미지

관리형 기본 이미지는 GCP Marketplace에 제공됩니다.

관리형 기본 이미지는 다음 OS 배포에서 사용할 수 있습니다.

OS 소스 저장소 경로 GCP Marketplace 목록
CentOS GitHub marketplace.gcr.io/google/centos7 GCP Marketplace
Debian 9 'Stretch' GitHub marketplace.gcr.io/google/debian9 GCP Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 GCP Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 GCP Marketplace

운영체제 수명 주기 및 지원 정책

관리형 기본 이미지에 대한 지원은 해당하는 OS 배포의 수명 주기에 종속됩니다. 달리 명시되지 않는 한, Google은 최소한 매월 업데이트된 이미지를 게시합니다. 게시되는 업데이트에는 보안 업데이트와 함께 기본 수명 주기 지원 단계에 있는 운영 체제 버전을 위해 설치되는 기타 업데이트가 포함됩니다.

운영 체제 버전이 연장된 수명 주기에 들어가면, Google은 업데이트된 이미지 제공을 중단합니다. Google은 일반적으로 새 기능을 연장 수명 주기 단계에 있거나 연장 수명 주기가 경과한 버전으로 백포트하지 않습니다.

대체 옵션

관리형 기본 이미지가 적합하지 않다면, 적절한 대체 방법이 있습니다.

  • Distroless 이미지는 언어 중심의 최소 이미지입니다.

    GitHub에서 확인해 보세요.

  • Container Registry의 Docker Hub 미러는 기본 이미지를 비롯한 자주 요청되는 Docker Hub 이미지를 제공합니다.

    캐시된 이미지 가져오기에 대해 자세히 알아보기

이미지 검증을 비롯한, 소프트웨어 공급망을 보호하는 다른 방법은 Google Kubernetes Engine에서 소프트웨어 공급망 보안 강화를 참조하세요.