관리형 기본 이미지

관리형 기본 이미지는 Google에서 보안 취약점을 해결할 수 있도록 프로젝트 업스트림(예: GitHub)에서 제공하는 최신 패치를 사용하여 자동으로 패치하는 기본 컨테이너 이미지입니다. 모든 GCP 고객이 이러한 이미지를 사용할 수 있습니다.

이 문서는 관리형 컨테이너 이미지와 이미지 유지 관리 방법을 설명합니다.

관리형 기본 이미지에 적용되는 라이선스에 대한 자세한 내용은 관리형 기본 이미지 라이선스 파일을 참조하세요.

컨테이너 이미지 및 운영 체제

컨테이너를 배포할 때 별도의 두 가지 운영체제와 이미지를 선택합니다.

  • 노드 또는 호스트 이미지

    컨테이너를 실행하는 운영 체제입니다.

  • 컨테이너 이미지

    컨테이너 자체에 사용되는 운영 체제입니다.

컨테이너 이미지는 운영체제 기본 이미지를 가져오고 애플리케이션에 필요한 패키지, 라이브러리, 바이너리를 추가해 빌드됩니다.

관리형 기본 이미지 유지 관리 방법

Google은 Google App Engine과 같은 Google Cloud 서비스를 포함하여 자체 애플리케이션을 빌드할 수 있도록 기본 이미지를 관리합니다.

관리형 기본 이미지에는 특정 용도에 적합한 보안 속성이 있습니다.

  • 이러한 이미지는 CVE 데이터베이스를 통해 취약점을 정기적으로 검사합니다.

    이 검사는 Container Registry 취약점 스캔과 동일한 기능을 사용합니다. 발견한 취약점에 대한 패치가 제공되면, Google은 해당 패치를 적용합니다.

  • 이러한 이미지는 재현 가능하도록 빌드되었으므로 소스 코드에서 바이너리까지 검증할 수 있는 경로가 존재합니다.

    이미지를 GitHub 소스와 비교해 빌드에 결함 발생 여부를 확인하면 이미지를 확인할 수 있습니다.

  • 이러한 이미지는 Google Cloud에 저장되므로 네트워크를 거치지 않고 환경에서 직접 가져올 수 있습니다.

    비공개 Google 액세스를 사용하여 이러한 이미지를 가져올 수 있습니다. 여전히 Google Cloud 외부에서도 사용할 수 있습니다.

사용 가능한 이미지

관리형 기본 이미지는 GCP Marketplace에서 제공됩니다.

관리형 기본 이미지는 다음 OS 배포에서 사용할 수 있습니다.

OS 소스 저장소 경로 GCP Marketplace 목록
CentOS GitHub marketplace.gcr.io/google/centos7 GCP Marketplace
Debian 9 'Stretch' GitHub marketplace.gcr.io/google/debian9 GCP Marketplace
Ubuntu 16.04 GitHub marketplace.gcr.io/google/ubuntu1604 GCP Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 GCP Marketplace

운영체제 수명 주기 및 지원 정책

관리형 기본 이미지에 대한 지원은 해당 OS 배포의 수명 주기에 따릅니다. 달리 명시되지 않는 한 Google은 최소한 매월 업데이트된 이미지를 게시합니다. 게시되는 업데이트에는 보안 업데이트와 함께 기본 수명 주기 지원 단계에 있는 운영체제 버전에 설치되는 기타 업데이트가 포함됩니다.

운영체제 버전이 연장된 수명 주기 단계로 전환되면 Google은 더 이상 업데이트된 이미지를 제공하지 않습니다. Google은 일반적으로 연장 수명 주기 단계에 있거나 연장 수명 주기가 경과한 버전으로 새 기능을 백포트하지 않습니다.

대체 옵션

관리형 기본 이미지가 적합하지 않다면, 적절한 대체 방법이 있습니다.

  • Distroless 이미지는 언어 중심의 최소 이미지입니다.

    GitHub에서 확인하세요.

  • Container Registry의 Docker Hub 미러는 기본 이미지를 비롯한 자주 요청되는 Docker Hub 이미지를 제공합니다.

    Container Registry의 Docker Hub 미러 사용에 대해 자세히 알아보세요.

이미지 검증을 비롯한 소프트웨어 공급망을 보호하는 다른 방법은 Google Kubernetes Engine에서 소프트웨어 공급망 보안 강화를 참조하세요.