加固 Docker 容器镜像

为了简化加固 docker 镜像的过程，Istio 提供了一系列基于非发行版镜像的镜像

非发行版镜像的工作还在进行中。下列镜像尚未支持非发行版：

• proxyproxy
• proxy_debug
• kubectl
• app_sidecar为了简化安装，它们可通过带上 -distroless 后缀来使用。

安装非发行版镜像

按照安装步骤来设置 Istio。添加 —set tag=1.4.0-distroless 选项以使用非发行版镜像。

效果

非发行版镜像已经不再包含非必需的可执行文件和库。

• 攻击面减小了。包括尽可能少的漏洞。
• 镜像更小了，启动更快。请参考官方非发行版 README 的为何我选择非发行版镜像？章节。

请注意，通常的调试工具如 bash、curl、netcat、tcpdump 等在非发行版镜像中是不可用的。