기본 이미지

이 페이지에서는 Google에서 제공되는 기본 컨테이너 이미지를 간략히 소개합니다.

기본 이미지란 무엇인가요?

대부분의 컨테이너 기반 개발은 기본 이미지 및 그 위의 레이어로 시작합니다. 여기에는 애플리케이션 실행에 필요한 필수 라이브러리, 바이너리, 구성 파일이 포함됩니다. 기본 이미지는 대부분의 컨테이너 기반 개발 워크플로의 시작 지점입니다.

대부분의 기본 이미지는 기본 또는 최소한의 Linux 배포판(Debian, Ubuntu, Redhat, Centos, Alpine)입니다. 개발자는 일반적으로 Docker Hub 또는 기타 소스에서 직접 이러한 이미지를 사용합니다. 공식 공급업체가 있고 고객 요구에 맞게 소프트웨어를 계층화하는 다양한 다운스트림 재판매업체가 있습니다.

Google은 기본 이미지에 대해 다음 두 가지 솔루션을 제공합니다.

  • Google은 자체 애플리케이션 빌드를 위해 기본 이미지를 유지보수합니다. 이러한 이미지는 Google Cloud Marketplace에서 사용자에게 제공됩니다. Google은 이러한 이미지를 최선의 방식으로 유지보수합니다.

  • Google은 자체 보안 기본 이미지를 생성하고 유지보수할 수 있게 해주는 오픈소스 도구인 보안 이미지 파이프라인을 제공합니다. Google Cloud 프로젝트에서 이러한 이미지를 사용할 수 있습니다.

Google에서 제공하는 기본 이미지

Google에서 제공하는 기본 이미지는 다음 OS 배포판에 대해 제공됩니다.

OS 소스 저장소 경로 Google Cloud Marketplace 목록
CentOS 7 GitHub marketplace.gcr.io/google/centos7 Google Cloud Marketplace
CentOS 8 GitHub marketplace.gcr.io/google/centos8 Google Cloud Marketplace
Debian 9 'Stretch' GitHub marketplace.gcr.io/google/debian9 Google Cloud Marketplace
Debian 10 'Buster' GitHub marketplace.gcr.io/google/debian10 Google Cloud Marketplace
Debian 11 'Bullseye' GitHub marketplace.gcr.io/google/debian11 Google Cloud Marketplace
Ubuntu 18.04 GitHub marketplace.gcr.io/google/ubuntu1804 Google Cloud Marketplace
Ubuntu 20.04 GitHub marketplace.gcr.io/google/ubuntu2004 Google Cloud Marketplace

기본 이미지에 적용되는 라이선스에 대한 자세한 내용은 기본 이미지 라이선스 파일을 참조하세요.

Google에서 제공되는 기본 이미지에는 다음과 같은 이점이 있습니다.

알려진 취약점 스캔

이러한 이미지는 CVE 데이터베이스에서 제공하는 취약점을 정기적으로 스캔합니다.

이 스캔은 Artifact Registry 취약점 스캔과 같은 기능을 사용합니다. 발견한 취약점에 대한 패치가 제공되면, Google은 해당 패치를 적용합니다.

재현 가능하도록 빌드

이러한 이미지는 재현 가능하도록 제작되었기 때문에 소스 코드에서 바이너리까지 검증할 수 있는 경로가 존재합니다.

이미지를 GitHub 소스와 비교해 빌드의 결함 발생 여부를 확인하면 이미지를 검증할 수 있습니다.

Google Cloud에 저장됨

이러한 이미지는 Google Cloud에 저장되며, 따라서 네트워크를 거치지 않고 환경에서 바로 가져올 수 있습니다.

보안 이미지 파이프라인

모든 즉시 사용 가능한 기본 이미지는 소비자가 안에 포함된 내용을 감사할 수 없습니다. 소스, 빌드, 테스트 프로세스 또는 이미지 처리 방법에 대한 가시성이 없습니다. 악의적인 행위자가 기본 이미지에 악의적인 소프트웨어 다운스트림을 추가하는 경우가 자주 있습니다. 사용자가 공개 저장소에서 기본 이미지를 사용할 때 애플리케이션 환경의 루트에서 소프트웨어 공급망을 제어할 수 있는 방법이 없습니다.

따라서 소비자가 실행하는 소프트웨어의 모든 부분과 실행되는 환경을 감사해야 하는 규정 준수 요구가 있는 경우 내부에서 필요한 기능을 빌드해야 합니다. 이를 위한 작업은 빌드 및 유지보수에 대한 노력이 요구됩니다.

보안 이미지 파이프라인을 사용하면 자체 보안 기본 이미지를 생성하고 관리할 수 있습니다. Google Cloud 프로젝트에서 생성된 기본 이미지를 사용할 수 있습니다.

다음 OS 배포판에 대해 기본 이미지를 생성할 수 있습니다.

  • Debian
  • Ubuntu
  • CentOS
  • Alpine

보안 이미지 파이프라인 설정에 대한 자세한 내용은 보안 이미지 파이프라인 만들기를 참조하세요.

대체 옵션

기본 이미지가 필요하지 않은 경우 mirror.gcr.io에 저장된 자주 요청되는 Docker Hub 이미지인 * 캐시된 이미지를 사용할 수 있습니다. 캐시된 이미지를 사용하도록 Docker 데몬을 구성하면 클라이언트는 Docker 허브에서 직접 이미지를 가져오기 전에 항상 Docker Hub 이미지의 캐시된 사본을 확인합니다.

캐시된 이미지 가져오기에 대해 자세히 알아보세요.

이미지 검증을 비롯한, 소프트웨어 공급망을 보호하는 다른 방법은 Google Kubernetes Engine에서 소프트웨어 공급망 보안 강화를 참조하세요.

다음 단계