はてなブックマーク

今回は Distroless を使う時に root 以外のユーザーで実行する方法を試してみました。 結論 COPY --chown=nonroot:nonroot USER nonroot を使う。 FROM gcr.io/distroless/nodejs:14 WORKDIR /app COPY --chown=nonroot:nonroot --from=build /app /app USER nonroot EXPOSE 3000 CMD ["dist/main"] #================================================== # Build Layer FROM node:14-slim as build WORKDIR /app COPY package.json yarn.lock ./ COPY . . RUN yarn inst

この記事では GraphQL 自体の説明や GraphQL 特有の用語の説明などは行いません。 Rails をつかって GraphQL の API をサクっと作ってみるという趣旨で作成しています。

$ bin/rails g graphql:install Running via Spring preloader in process 50049 create app/graphql/types create app/graphql/types/.keep create app/graphql/rails_graphql_api_schema.rb create app/graphql/types/base_object.rb create app/graphql/types/base_argument.rb create app/graphql/types/base_field.rb create app/graphql/types/base_enum.rb create app/graphql/types/base_input_object.rb create app/graph

今回は NestJS を使っていますが、ビルド後のファイルと node_modules を使っているだけですので、Express やほかの FW でも同様にできると思います。 Distroless とは？ Google 製の Docker イメージです。 アプリケーションとそのランタイムの依存関係だけが含まれています。 本番環境に特化したイメージであり、ランタイムに不要なプログラム（シェルなど）を含まないのでパフォーマンスの向上・セキュリティ向上が見込めます。 また alpine ではなく Distroless を使う理由はこちらの記事が参考になるので、気になる方はこちらを参照してください。 Distroless で本番環境を作ろうとなったきっかけの記事でもあります。 結果 削減対策なし slim マルチビルド slim マルチビルド distroless