도커 기본개념

1컨테이너당 1프로세스

변경 불가능한 인프라 이미지로 생성

경량의 도커이미지로 생성

dnf/yum이나 apt 패키지로 설치 후 캐시 삭제를 하거나, 멀티 스테이지 빌드로 필요한 파일만 추가, 또는 삭제하는 방법
알파인 리눅스나 distroless를 쓴다. 또는 최적화로 레이어를 줄이거나, 스쿼시를 활용해 경량화 할 수 있다

실행 계정은 root외 사용자로 한다

실행 계정 권한을 최소화 하는 것 으로 생각해야됨