第45回 「プライベートレジストリ」を知る――HPEが使っているDockerイメージ管理：古賀政純の「攻めのITのためのDocker塾」（1/2 ページ）

ホステッドレジストリは、インターネット経由でクラウドサービスのように利用できますが、インターネットを経由せずに、プライベートLAN内で、Dockerイメージをユーザーに配布したいといったニーズもあります。そんなときに活用したいのが、プライベートLAN内でDockerイメージを配布する「社内プライベートレジストリ」です。

[古賀政純（日本ヒューレット・パッカード），ITmedia]

　連載第41回から第44回でご紹介した「ホステッドレジストリ」は、インターネット経由でDockerイメージの管理を行うものでした。しかし、インターネットにアクセスすることなく、社内LANの中に閉じた形でDockerイメージのレジストリを確保したい場合があります。

　利用者の組織内に閉じたDockerレジストリ（Dockerイメージの保管庫）は、一般に、「プライベートレジストリ」と呼ばれます。プライベートレジストリにおいて、Dockerイメージ自体は、社内サーバ、あるいは、認証機能付きの社外クラウド基盤上に保存されます。Dockerイメージのレジストリ自体は、登録したユーザーや組織内に閉じた形で利用する仕組みが提供されるのが一般的です。インターネットに接続できない社内LAN上のDockerホスト群に対して、Dockerイメージを提供するDockerプライベートレジストリは、国内外問わず、広く利用されています。

【補足】

厳密には、インターネットを経由するホステッドレジストリにおいても、ユーザー認証と暗号化通信を組み合わせて組織内に閉じた形で利用するDockerレジストリは、プライベートレジストリと呼ぶ場合があります。今回は、インターネットにアクセスしない社内LAN条に構築されたDockerイメージ配信サーバのことを「Dockerプライベートレジストリ」、または、単に「プライベートレジストリ」と呼ぶことにします。

　一般に、「Docker Hub」や「Quay.io」などに代表されるホステッドレジストリでは、インターネットを経由したDockerイメージの登録（docker push）、あるいは、入手（docker pull）が可能ですが、社外のDocker Hubといったホステッドレジストリを使わずに、社内のみでDockerイメージを登録、あるいは、入手したいケースがあります。このような場合、コミュニティが提供しているDockerイメージが大量に保管されているDockerハブを直接利用するのではなく、社内用のDockerイメージの保管庫が必要になります。

　企業の研究開発部門などのように、機密情報の漏えいを防止する観点からインターネットへの直接アクセスが厳しく制限されている環境などにおいて、Dockerイメージを社内のみに配布したい場合や、インターネット経由でのデータ転送が困難であるといった場合に、プライベートレジストリが威力を発揮します。Dockerイメージを社外にさらすことなく、docker pullによるDockerイメージの入手や、docker pushによるプライベートレジストリへのDockerイメージの登録など、Docker Hubと同様の操作を行えます。データの機密性やユーザー認証などの情報セキュリティに関する厳しいシステム要件がある場合は、社内LAN内に閉じた暗号化通信やユーザー認証、証明書付きのDockerプライベートレジストリを構築する必要があります。

　また、企業内におけるDockerホスト群が、社外のDockerハブにアクセスせずにDockerプライベートレジストリにアクセスするようになるため、インターネットの通信量の大幅な低減が期待できます。

　こうした理由から、以下のようなIT基盤に対する要件がある場合は、Dockerプライベートレジストリの導入を検討してみるのがよいでしょう。

1. 社内ITの利用ポリシー上、社外クラウドの利用が厳しく制限されている
2. Docker Hubにある膨大なDockerイメージを社内にキャッシュしておきたい
3. 社内独自のノウハウや知的財産などの機密情報を含むDockerイメージを社内で管理・配信したい

プライベートレジストリ