第43回 Dockerイメージを「Quay.io」で管理する(セキュリティ編):古賀政純の「攻めのITのためのDocker塾」(2/2 ページ)
そこで今回は、別のコンテナ「c0002」を起動し、パッケージを全て最新に更新したDockerイメージ「c68websvr02」として登録し、Quay.ioでセキュリティの脆弱性をチェックし、Dockerイメージ「c68websvr01」と比較してみましょう。まずは、入手済みのOSテンプレートから、コンテナ「c0002」を起動し、コンテナ「c0002」上で、パッケージを最新に更新した後に、iprouteパッケージと、Webサーバーのhttpdパッケージをインストールしてみます。
local # docker run -itd --name c0002 -h c0002 centos:6.8 /bin/bash local # docker exec -it c0002 /bin/bash [root@c0002 /]# echo "proxy=http://proxy.your.site.com:8080" >> /etc/yum.conf [root@c0002 /]# yum update -y && yum install -y iproute httpd [root@c0002 /]# exit
再びホストOSのコマンドラインに戻り、コンテナ「c0002」をDockerイメージとして保存します。Quay.ioに作成したユーザーアカウント「masazumi_koga」のパブリックリポジトリ「testrepo01」にDockerイメージを保存します。
local # docker commit c0002 quay.io/masazumi_koga/testrepo01:c68websvr02 local # docker images REPOSITORY TAG IMAGE ID ... SIZE quay.io/masazumi_koga/testrepo01 c68websvr02 71ee9441afac ... 498 MB quay.io/masazumi_koga/testrepo01 c68websvr01 7182c728b90d ... 286 MB
作成したDockerイメージをホステッドレジストリのQuay.ioにアップロードします。
local # docker login quay.io Username: masazumi_koga Password: xxxxxxxxxxxxx Login Succeeded local # docker push quay.io/masazumi_koga/testrepo01:c68websvr02
Quay.ioの「testrepo01」リポジトリの管理画面で、Dockerイメージ「c68websvr02」を確認してみます。すると、セキュリティスキャンの結果、クリティカルレベルのものが存在しないことが分かります。
画面中の「SECURITY SCAN」列の「1 High ・1 fixable」をクリックし、パッケージごとの脆弱性も確認しておきましょう。
このように、ホステッドレジストリのQuay.ioは、Dockerイメージに含まれるパッケージごとのセキュリティに関する脆弱性をチェックできるため、Dockerイメージのセキュリティ対策を行う際の意思決定に有用な判断材料を提供してくれます。
古賀政純(こがまさずみ)
日本ヒューレット・パッカード オープンソース・Linuxテクノロジーエバンジェリスト。兵庫県伊丹市出身。1996年頃からオープンソースに携わる。2000年よりUNIXサーバのSEおよびスーパーコンピューターの並列計算プログラミング講師、SIを経験。2006年、米国ヒューレット・パッカードからLinux技術の伝道師として「OpenSource and Linux Ambassador Hall of Fame」を2年連続受賞。プリセールスMVPを4度受賞。現在は日本ヒューレット・パッカードにて、Hadoop、Spark、Docker、Linux、FreeBSDなどのサーバ基盤のプリセールスSE、文書執筆を担当。日本ヒューレット・パッカードが認定するオープンソース・Linux テクノロジーエバンジェリストとして、メディアでの連載記事執筆、講演活動なども行っている。Red Hat Certified Virtualization Administrator, Novell Certified Linux Professional, Red Hat Certified System Administrator in Red Hat OpenStack, Cloudera Certified Administrator for Apache Hadoopなどの技術者認定資格を保有。著書に「Mesos実践ガイド」「OpenStack 実践ガイド」「Docker 実践ガイド」「CentOS 7実践ガイド」「Ubuntu Server実践入門」などがある。趣味はレーシングカートとビリヤード。古賀氏の最新記事が読めるブログはこちら。
関連記事
第42回 Dockerイメージを「Quay.io」で管理する(準備編)
ホステッドレジストリは、一般に「Docker Hub」が有名ですが、今回はNASAやeBayも利用しているホステッドレジストリの「Quay.io」を使って、実際にDockerイメージを管理してみます。
第41回 「ホステッドレジストリ」を知る――NASAも使っているDockerイメージ管理
今回からは、Dockerイメージの管理サービスについて紹介していきます。NASAのジェット推進研究所でも利用されているDockerイメージの管理サービスを例に、具体的な操作方法も披露します。
第37回 Dockerでソフトウェア定義型ネットワーキングツール「pipework」を活用する
前回まで、3回に渡ってOpenStackでも利用されているソフトウェア定義型ネットワーキングを実現するOpen vSwitch(OVS)とovs-dockerを使ってホストOSとコンテナを同一LANセグメントに所属させ、マルチホストのコンテナ間通信を実現しました。今回は、Docker基盤で古くから利用されている「pipework」を使ったネットワーキングをご紹介します。
第38回 pipeworkでDockerコンテナに固定IPアドレスを付与する(構築編その1)
ソフトウェア定義型ネットワークを実現する「pipework」のコンテナを実際に使って、ホストOSとDockerコンテナを同一LANセグメントに所属させることで、マルチホストのコンテナ間通信を行う手順を解説します。
第39回 DHCPとpipeworkでDockerコンテナに動的IPアドレスを付与する(構築編その2)
Open vSwitch(OVS)を構築したホストOS上で、ソフトウェア定義型ネットワークを実現する「pipework」を利用し、DHCPクライアントの機能を使って、Dockerコンテナに動的にIPアドレスを割り当てる手順を紹介します。
第40回 pipeworkでDockerコンテナの送信帯域幅制御を行う(構築編その3)
今回は、ソフトウェア定義型ネットワークを実現する「pipework」を使って、Dockerコンテナのネットワーク帯域幅を制御する具体的な手順をご紹介します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。