Go(Golang)용 Docker 이미지 작고 빠른 Docker 이미지 및 보안

주말 동안 저는 특히 Go(Golang) 애플리케이션에 사용할 Docker 이미지에 대해 조사를 하고 있었습니다. 따라서 기술 프로젝트 작업을 위해 동일한 내용을 탐색하는 사람에게 유용할 수 있는 흥미로운 결과를 공유하려고 생각했습니다.

여기에서는 Golang용 이미지를 구축할 수 있는 몇 가지 다양한 방법을 자세히 설명하고 하나를 선택할 때 고려해야 할 몇 가지 보안 고려 사항을 강조하겠습니다.

이번 연습에서는 Gin Framework를 사용하여 Go(Golang)를 사용하여 개발된 간단한 Rest API를 사용했습니다.

Gin 프레임워크는 빠르고 사용하기 쉬우며 효율성이 뛰어나도록 설계된 Go(Golang)용 인기 웹 프레임워크입니다.
 
주요 기능과 특징을 간략하게 요약하면 다음과 같습니다.

주요 기능

• 성능: 진은 성능이 좋기로 유명합니다. 다른 프레임워크에 비해 최소한의 오버헤드를 제공하는 가장 빠른 Go 웹 프레임워크 중 하나입니다.

• 빠른 HTTP 라우터: Gin은 빠른 HTTP 라우터를 사용하며 GET, POST, PUT, DELETE 등과 같은 방법으로 라우팅을 지원합니다. 또한 미들웨어 및 경로 그룹화도 지원합니다.

• 미들웨어 지원: Gin은 미들웨어를 사용하여 로깅, 인증, 기타 요청 전처리 또는 후처리와 같은 작업을 처리하는 방법을 제공합니다.

• JSON 유효성 검사: 이 프레임워크는 JSON 유효성 검사 및 요청 데이터를 Go 구조체에 바인딩하는 기본 지원을 제공하므로 JSON 페이로드 작업이 더 쉬워집니다.

• 오류 처리: Gin은 구조화된 오류 처리 방식을 갖추고 있으며 중앙 오류 관리 시스템을 제공하므로 오류를 원활하게 처리할 수 있습니다.

• 템플릿 렌더링: Gin은 주로 API 개발을 위해 설계되었지만 필요한 경우 HTML 템플릿 렌더링을 지원합니다.

• 요청 처리: 양식 데이터, JSON 페이로드, URL 매개변수 등 다양한 요청 처리 방법을 지원합니다.

• 내장 디버깅: Gin은 개발 중에 유용할 수 있는 자세한 오류 메시지와 디버깅 정보를 제공합니다.

주요 구성 요소

• 라우터: 적절한 핸들러로의 HTTP 요청 라우팅을 처리하는 핵심 구성 요소입니다.

• 컨텍스트: 요청 및 응답 데이터를 전달하는 구조 및
  처리할 수 있는 방법을 제공합니다. 핸들러 내에서 광범위하게 사용됩니다.

• 엔진: 경로, 미들웨어 및 기타 설정으로 구성된 Gin 애플리케이션의 기본 인스턴스입니다.

• 미들웨어: 요청 수명 주기 동안 실행되어 로깅, 인증 등과 같은 작업을 수행할 수 있는 기능

Gin Framework에 대해서는 이쯤하세요 :) 이제 본론으로 들어가서 진행된 테스트에 대해 이야기해 보겠습니다.

테스트 1(일반 Docker 빌드)

이 테스트에서는 공식 표준/일반 Go Base 이미지를 사용합니다

# Official Go Base Image
FROM golang:1.21.0

# Create The Application Working Directory
WORKDIR /app

# Copy and Download Dependencies
COPY go.mod go.sum .
RUN go mod download

# Copy Source and Build The Application
COPY . .
RUN go build -o main .

# Expose The Port
EXPOSE 8081
CMD ["./main"]

이미지 크기

---

테스트 2(Alpine 이미지를 사용한 다단계 Docker 빌드)

이번 테스트에서는 조금 더 가벼운 Go Base 이미지의 Alpine 버전을 사용하겠습니다

# Official Go Apline Base Image
FROM golang:1.21.0-alpine as builder

# Create The Application Directory
WORKDIR /app

# Copy and Download Dependencies
COPY go.mod go.sum .
RUN go mod download

# Copy The Application Source & Build
COPY . .
RUN go build -o main .

# Final Image Creation Stage
FROM alpine:3.19

WORKDIR /root/

# Copy The Built Binary
COPY --from=builder /app/main .

# Expose the port
EXPOSE 8081
CMD ["./main"]

이미지 크기

다단계 빌드를 사용하면 이미지 크기가 크게 줄어드는 것을 확인할 수 있습니다.

---

테스트 3(Distroless 빌드)

이 테스트에서는 Google의 Distroless Go Base 이미지를 사용합니다. Distroless 이미지는 필요한 최소한의 파일만 포함하여 가볍고 안전한 것으로 알려져 있습니다. 여기서 이러한 디버그 셸과 불필요한 패키지가 제거되었습니다. 따라서 패키지 관리자와 셸의 유연성을 희생하게 됩니다.

# Build Stage
FROM golang:1.21.0 as builder

# Set The Application Directory
WORKDIR /app

# Copy and Download Dependencies
COPY go.mod go.sum .
RUN go mod download

# Copy The Application Source and Build the application
COPY . .
RUN CGO_ENABLED=0 go build -o main .

# Final Image Creation Stage
FROM gcr.io/distroless/static-debian12

# Copy the built binary
COPY --from=builder /app/main /
CMD ["/main"]

이미지 크기

---

CGO_ENABLED=0: CGO(C-Go)를 비활성화하는 환경 변수 설정입니다. CGO는 Go 패키지가 C 코드를 호출할 수 있게 해주는 Go의 기능입니다. CGO_ENABLED=0으로 설정하면 빌드가 C 라이브러리에 의존하지 않고 완전히 정적 바이너리가 생성됩니다. 이는 추가 종속성 없이 모든 시스템에서 실행할 수 있는 가볍고 휴대 가능한 Go 바이너리를 만드는 데 유용합니다.

모두 종합하면 RUN CGO_ENABLED=0 go build -o main .은 Docker가 명령을 실행하여 현재 디렉터리에 Go 애플리케이션을 빌드하고, 그렇지 않은 main이라는 정적 바이너리를 생성한다는 의미입니다. C 라이브러리에 의존합니다.

요약

이미지 크기

Distroless 이미지가 Alpine 이미지보다 약간 크더라도 보안 위협/취약성을 고려하여 Distroless를 선택해야 할 수도 있습니다!. 따라서 이러한 모든 사실을 고려하여 귀하의 요구 사항에 맞는 것을 선택하십시오

Alpine with Multi-Stage Builds는 빌드 프로세스에 대한 더 많은 제어가 필요하고 musl libc와의 호환성 문제가 아닌 경우 좋은 선택입니다. 걱정. 이는 유연성을 제공하고 다른 많은 기본 이미지보다 작지만 잠재적인 보안 취약성/위협으로 이어질 수 있는 Distroless 이미지보다 더 많은 구성 요소를 포함합니다.

Google Distroless 이미지는 보안을 극대화하고 공격 표면을 최소화하는 데 이상적입니다. 이는 보안이 최우선인 프로덕션 시스템에 도움이 될 수 있는 매우 최소한의 런타임 환경을 제공합니다. 그러나 패키지 관리자와 셸의 유연성이 희생됩니다.

추천:

빌드 환경에 대한 유연성과 제어가 필요하고

musl libc와의 호환성 문제가 문제가 되지 않는다면 Alpine을 사용하세요.

Google Distroless를 사용하세요 보안과 공격 표면 최소화가 최우선 과제이고 애플리케이션의 모든 종속 항목이 올바르게 번들되어 있는지 확인할 수 있습니다.

재미있었기를 바라며 시간을 내주셔서 감사합니다!

위 내용은 Go(Golang)용 Docker 이미지 작고 빠른 Docker 이미지 및 보안의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!