第41回 「ホステッドレジストリ」を知る――NASAも使っているDockerイメージ管理:古賀政純の「攻めのITのためのDocker塾」(3/3 ページ)
ホステッドレジストリにおけるセキュリティの考慮点
インターネットを経由するサービスを利用する際に重要な要素の1つとして、情報の機密性が挙げられます。Dockerイメージの入手やアップロードを行う場合は、暗号化通信が欠かせません。また、Dockerイメージ自体が第三者の手に渡らない仕組みも考慮する必要があります。さらに、Docker Hubで提供されているコミュニティのDockerイメージを利用する場合は、Dockerイメージ自体にセキュリティの観点で問題がないかをチェックすることも必要になります。
例えば、Docker社が提供するクラウドサービスの「Docker Cloud」では、「Docker Security Scanning」と呼ばれるDockerイメージのセキュリティ脆弱(ぜいじゃく)性チェック機能があります。また、Quay.ioでも、Dockerイメージをアップロードし、ブラウザ上のGUI管理画面でDockerイメージのセキュリティスキャンの結果を簡単に確認できます。これらのサービスを使えば、Dockerイメージに含まれるどのパッケージにセキュリティの脆弱性があるのかをGUI画面で素早く知ることができるため、Dockerコンテナのセキュリティ向上に関する工数を大幅に削減できます。
また、ユーザー認証の仕組みなどを企業内で標準化している場合は、既存の自社システムで採用している認証機構とホステッドレジストリの認証機構が連携できるかどうかも検討する必要があります。
どのDockerイメージの配布方法を選択すべきなのか?
ホステッドレジストリのDocker HubやQuay.io、さらには、gcr.io、Docker Cloudなど、現在では、多くのパブリッククラウドサービスでDockerイメージの配布が可能になっています。しかし、Dockerイメージの配布は、パブリッククラウドサービスだけでなく、オンプレミス環境に構築した社内プライベートレジストリや、社内FTPサーバを使ったファイルサービスの仕組みを使う場合もあります。また、研究開発の現場では、情報セキュリティの観点から、インターネットにアクセスできない環境において、GitLabなどの開発者向けのリポジトリを使ってDockerイメージを管理するケースもあります。
このように、多様なDockerイメージの配布手段が存在しますが、自社にとって妥当と思われる配布方法を選択するには、多面的な検討が必要です。Docker環境において、Dockerイメージを配布する手段としては、一般的に、Docker Hubからイメージを入手する方法が有名ですが、それが最適かどうかは、利用するDockerイメージの品質、自社のITに関する利用ポリシーなどを加味して検討する必要があります。
Dockerイメージの配布方法が自社にとって妥当かどうかの判断は、システム要件によって大きく異なりますが、検討項目としては、IT基盤に求められる柔軟性(自由度)と複雑さのバランスが挙げられます。柔軟性が高いIT基盤は、非常に高度な運用ができる半面、オペレーションなどの複雑性が増加しないかどうかを検討しなければなりません。逆に、非常に単純なシステムは、機能面において、できることが限定される傾向にあるため、要件を満たすことができるかどうかの検討をしなければなりません。
例えば、クラウドを利用したホステッドレジストリは、非常に簡単に利用できる反面、与えられた機能のみを利用するしかありません。逆に社内のプライベートレジストリは、機能の追加や削除などを柔軟にIT部門で決定できますが、社内にプライベートレジストリ専用のシステムを構築し、IT部門自身で管理しなければなりません。
以上で、Dockerイメージの保管庫となる、リポジトリを提供するホステッドレジストリの概要や選定する際の考慮点について解説しました。次回は、ホステッドレジストリを利用する具体的な手順を紹介します。
古賀政純(こがまさずみ)
日本ヒューレット・パッカード オープンソース・Linuxテクノロジーエバンジェリスト。兵庫県伊丹市出身。1996年頃からオープンソースに携わる。2000年よりUNIXサーバのSEおよびスーパーコンピューターの並列計算プログラミング講師、SIを経験。2006年、米国ヒューレット・パッカードからLinux技術の伝道師として「OpenSource and Linux Ambassador Hall of Fame」を2年連続受賞。プリセールスMVPを4度受賞。現在は日本ヒューレット・パッカードにて、Hadoop、Spark、Docker、Linux、FreeBSDなどのサーバ基盤のプリセールスSE、文書執筆を担当。日本ヒューレット・パッカードが認定するオープンソース・Linux テクノロジーエバンジェリストとして、メディアでの連載記事執筆、講演活動なども行っている。Red Hat Certified Virtualization Administrator, Novell Certified Linux Professional, Red Hat Certified System Administrator in Red Hat OpenStack, Cloudera Certified Administrator for Apache Hadoopなどの技術者認定資格を保有。著書に「Mesos実践ガイド」「OpenStack 実践ガイド」「Docker 実践ガイド」「CentOS 7実践ガイド」「Ubuntu Server実践入門」などがある。趣味はレーシングカートとビリヤード。古賀氏の最新記事が読めるブログはこちら。
関連記事
- 古賀政純の「攻めのITのためのDocker塾」
第37回 Dockerでソフトウェア定義型ネットワーキングツール「pipework」を活用する
前回まで、3回に渡ってOpenStackでも利用されているソフトウェア定義型ネットワーキングを実現するOpen vSwitch(OVS)とovs-dockerを使ってホストOSとコンテナを同一LANセグメントに所属させ、マルチホストのコンテナ間通信を実現しました。今回は、Docker基盤で古くから利用されている「pipework」を使ったネットワーキングをご紹介します。
第38回 pipeworkでDockerコンテナに固定IPアドレスを付与する(構築編その1)
ソフトウェア定義型ネットワークを実現する「pipework」のコンテナを実際に使って、ホストOSとDockerコンテナを同一LANセグメントに所属させることで、マルチホストのコンテナ間通信を行う手順を解説します。
第39回 DHCPとpipeworkでDockerコンテナに動的IPアドレスを付与する(構築編その2)
Open vSwitch(OVS)を構築したホストOS上で、ソフトウェア定義型ネットワークを実現する「pipework」を利用し、DHCPクライアントの機能を使って、Dockerコンテナに動的にIPアドレスを割り当てる手順を紹介します。
第40回 pipeworkでDockerコンテナの送信帯域幅制御を行う(構築編その3)
今回は、ソフトウェア定義型ネットワークを実現する「pipework」を使って、Dockerコンテナのネットワーク帯域幅を制御する具体的な手順をご紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。