連載
» 2017年05月29日 08時00分 公開

古賀政純の「攻めのITのためのDocker塾」:第41回 「ホステッドレジストリ」を知る――NASAも使っているDockerイメージ管理 (3/3)

[古賀政純(日本ヒューレット・パッカード),ITmedia]
前のページへ 1|2|3       

ホステッドレジストリにおけるセキュリティの考慮点

 インターネットを経由するサービスを利用する際に重要な要素の1つとして、情報の機密性が挙げられます。Dockerイメージの入手やアップロードを行う場合は、暗号化通信が欠かせません。また、Dockerイメージ自体が第三者の手に渡らない仕組みも考慮する必要があります。さらに、Docker Hubで提供されているコミュニティのDockerイメージを利用する場合は、Dockerイメージ自体にセキュリティの観点で問題がないかをチェックすることも必要になります。

 例えば、Docker社が提供するクラウドサービスの「Docker Cloud」では、「Docker Security Scanning」と呼ばれるDockerイメージのセキュリティ脆弱(ぜいじゃく)性チェック機能があります。また、Quay.ioでも、Dockerイメージをアップロードし、ブラウザ上のGUI管理画面でDockerイメージのセキュリティスキャンの結果を簡単に確認できます。これらのサービスを使えば、Dockerイメージに含まれるどのパッケージにセキュリティの脆弱性があるのかをGUI画面で素早く知ることができるため、Dockerコンテナのセキュリティ向上に関する工数を大幅に削減できます。

 また、ユーザー認証の仕組みなどを企業内で標準化している場合は、既存の自社システムで採用している認証機構とホステッドレジストリの認証機構が連携できるかどうかも検討する必要があります。

セキュリティ脆弱性をチェック ホステッドレジストリが提供するGUI画面でDockerイメージに含まれるパッケージのセキュリティ脆弱性をチェック

どのDockerイメージの配布方法を選択すべきなのか?

 ホステッドレジストリのDocker HubやQuay.io、さらには、gcr.io、Docker Cloudなど、現在では、多くのパブリッククラウドサービスでDockerイメージの配布が可能になっています。しかし、Dockerイメージの配布は、パブリッククラウドサービスだけでなく、オンプレミス環境に構築した社内プライベートレジストリや、社内FTPサーバを使ったファイルサービスの仕組みを使う場合もあります。また、研究開発の現場では、情報セキュリティの観点から、インターネットにアクセスできない環境において、GitLabなどの開発者向けのリポジトリを使ってDockerイメージを管理するケースもあります。

 このように、多様なDockerイメージの配布手段が存在しますが、自社にとって妥当と思われる配布方法を選択するには、多面的な検討が必要です。Docker環境において、Dockerイメージを配布する手段としては、一般的に、Docker Hubからイメージを入手する方法が有名ですが、それが最適かどうかは、利用するDockerイメージの品質、自社のITに関する利用ポリシーなどを加味して検討する必要があります。

 Dockerイメージの配布方法が自社にとって妥当かどうかの判断は、システム要件によって大きく異なりますが、検討項目としては、IT基盤に求められる柔軟性(自由度)と複雑さのバランスが挙げられます。柔軟性が高いIT基盤は、非常に高度な運用ができる半面、オペレーションなどの複雑性が増加しないかどうかを検討しなければなりません。逆に、非常に単純なシステムは、機能面において、できることが限定される傾向にあるため、要件を満たすことができるかどうかの検討をしなければなりません。

 例えば、クラウドを利用したホステッドレジストリは、非常に簡単に利用できる反面、与えられた機能のみを利用するしかありません。逆に社内のプライベートレジストリは、機能の追加や削除などを柔軟にIT部門で決定できますが、社内にプライベートレジストリ専用のシステムを構築し、IT部門自身で管理しなければなりません。

Dockerイメージ配布の仕組み さまざまなDockerイメージ配布の仕組み

 以上で、Dockerイメージの保管庫となる、リポジトリを提供するホステッドレジストリの概要や選定する際の考慮点について解説しました。次回は、ホステッドレジストリを利用する具体的な手順を紹介します。

古賀政純(こがまさずみ)

日本ヒューレット・パッカード オープンソース・Linuxテクノロジーエバンジェリスト。兵庫県伊丹市出身。1996年頃からオープンソースに携わる。2000年よりUNIXサーバのSEおよびスーパーコンピューターの並列計算プログラミング講師、SIを経験。2006年、米国ヒューレット・パッカードからLinux技術の伝道師として「OpenSource and Linux Ambassador Hall of Fame」を2年連続受賞。プリセールスMVPを4度受賞。現在は日本ヒューレット・パッカードにて、Hadoop、Spark、Docker、Linux、FreeBSDなどのサーバ基盤のプリセールスSE、文書執筆を担当。日本ヒューレット・パッカードが認定するオープンソース・Linux テクノロジーエバンジェリストとして、メディアでの連載記事執筆、講演活動なども行っている。Red Hat Certified Virtualization Administrator, Novell Certified Linux Professional, Red Hat Certified System Administrator in Red Hat OpenStack, Cloudera Certified Administrator for Apache Hadoopなどの技術者認定資格を保有。著書に「Mesos実践ガイド」「OpenStack 実践ガイド」「Docker 実践ガイド」「CentOS 7実践ガイド」「Ubuntu Server実践入門」などがある。趣味はレーシングカートとビリヤード。古賀氏の最新記事が読めるブログはこちら


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ