容器镜像加密

January 26, 2022

如果我在创建镜像时把源码也打包了进去，要怎么防止别人通过这个镜像把源码给窃取了呢？ 加密 镜像加密 源码加密：在COPY源码进去之前先加密；这种适合服务器不是自己的，并且在局域网里的（接过医院系统的应该都懂吧）；留这样一份加密源码也只是在方便有bug时可以快速修复的同时，还可以稍微保护一下源码； 先使用zip压缩源码：`zip -q -r code.zip ./code`； 再使用gpg加密：`gpg --yes --batch --passphrase=123 -c ebpf.zip`； -- 通过`--yes --batch --passphrase`三个选项避免键盘交互，最后生成`ebpf.zip.gpg`。 后续进入容器后，使用gpg解密：`gpg -o ebpf2.zip -d ebpf.zip.gpg`； 再使用unzip解压：`unzip -d ebpf2 ebpf2.zip`。 在镜像构建后，还要防止docker history -H cb0b42c0cb03 --no-trunc=true查看镜像构建历史时，泄露秘钥等信息。– 可使用多阶段构建：在前一阶段使用密钥加密源码，后一阶段复制加密源码，从而避免密钥泄露。因为一般只需要把后一阶段构建出来的镜像分发出去就好了，而查看后一阶段构建出来的镜像的构建历史，是看不到密钥信息的（查看前一阶段的构建历史才会看到）。 dockerfile COPY before mkdir will get a no such file or directory error # error: ```dockerfile # … RUN mkdir -p /abc COPY –from=builder /opt/efg /abc/efg ``` 没有指定创建/abc/efg目录，会导致后续想读取该目录内容时报错：no such file or directory success: ```dockerfile # … ...