标准云函数构建/部署过程产生的容器有时包含安全漏洞,我不知道如何解决这些漏洞,因为云函数(据我所知(在设计上并不能提供对执行环境的很大控制。解决谷歌云功能安全漏洞的最佳实践是什么?
如果我能想出如何扩展构建过程,我想我的状态会很好,但不确定如何为云函数做这件事。
情况:
-
我正在使用标准的
gcloud functions deploy命令(docs(构建我的函数。部署是成功的,我可以成功地运行该函数——它在container Registry中创建了一个容器(过程概述——听起来像是基于Ubuntu Docker镜像构建的(。 -
我使用谷歌的容器漏洞扫描,它检测到这些容器中的安全问题,可能是因为Ubuntu基本映像中的一些包已经发布了安全更新。在其他容器环境中,通过
apt或类似的方式更新这些包已经足够简单了,但我不知道如何在云功能环境中执行等效操作,因为你并没有真正自定义环境(Dockerfile等(。
简单回答:你不能。Cloud Functions通过对如何构建容器发表意见,力求尽可能易于使用。您只需提供代码。
如果你想控制一个无服务器容器,你应该切换到Cloud Run,这样你就可以部署完整的容器。它还为您提供了对其可以处理的并发请求量的更大程度的控制,通过更充分地利用虚拟机可能会为您节省资金。