クリーンアップでは Docker の頑固な問題を解決することはできません。

著者: 徐潔成

校正：Yun Zhao

Docker にとっては本当にひどい一週間でした。 3月15日、Dockerは最新の有料サブスクリプションプランを発表し、すべての無料チームDocker Hubユーザーにメールを送信し、1か月以内に有料チームにアップグレードしない場合はアカウントが削除されることを通知しました。

このことは業界に大騒動を引き起こした。複数の組織からの圧力を考慮して、Docker はすぐに公式に謝罪しました。「Docker Free Team の終了を発表する際に、不適切な対応をしました。」しかし、予想通り、ユーザーの激しい感情を鎮めることはできなかった。 Docker の行動を批判する一方で、多くのユーザーは Docker の使用とサポートを断念すると表明しました。

現在、Docker が解決できなかったセキュリティ問題であれ、すでに問題を抱え、さらに悪化しつつある生態系環境であれ、それらすべてが、かつて「シリコンバレーの寵児」として知られていたこの「巨大なクジラ」をゆっくりと避けられないデッドゾーンへと引きずり込んでいます。

1. セキュリティ上の問題を排除するのは困難

長年にわたり、Docker は開発者ツールボックスの重要な部分であり、開発者が標準的な方法でアプリケーションを構築、配布、展開できるようにしてきました。しかし、コンテナ技術の発展とその応用の拡大に伴い、Docker のセキュリティ問題がますます顕著になり、ユーザーが徐々に Docker を放棄する主な理由となっています。

Docker はコードの拡張を効果的に削減し、優れた互換性を提供できるため、仮想マシンの置き換えによく使用されます。まさにこの理由から、企業はコンテナを使用する傾向が高まっています。ただし、仮想マシンと比較すると、Docker の分離性が低いため、ユーザーにとってセキュリティ上の問題が発生する可能性があります。

仮想マシンは、ハイパーバイザーによって管理される独自のオペレーティング システムを備えた個別のステート マシンを作成することによって、リソース割り当てを実装します。 Docker では、これらのコンテナはコンテナ エンジン上に構築され、コンテナ エンジンはホスト オペレーティング システム上のアプリケーション内で実行されます。さらに、Linux の chroot や cgroups などのアップデートにより、リソース分割の点でコンテナが仮想マシンに近づくようになります。

Docker は、これらの機能を使いやすいサービスにパッケージ化し、イメージ、Docker ファイル、Docker CLI などの概念を追加することができました。また、システム管理者はサーバー上に大量のコンテナを迅速に展開できるようになりました。しかし、これにはセキュリティ上のリスクが伴います。システム管理者は、事前に展開されたインフラストラクチャ上で Docker コンテナを実行する権限をユーザーに付与することができます。

ただし、デフォルトでは、Docker はユーザーにルート レベルの権限を付与します。Linux ベースのルート レベルのユーザー アクセスは、Windows の管理者アクセスに似ていますが、より強力です。ルートレベルのユーザー アクセスにより、攻撃者はファイル システム全体を削除したり、通常のユーザーをルートレベルの権限を持つユーザーに昇格させて、通知や警告なしに追加のマルウェアをインストールしたりすることができます。

保護されていない Docker コンテナにアクセスすることで、攻撃者は実行権限とアクセス権限を取得して、コンテナ内のコードを簡単に制御できます。これは、悪意のある攻撃者が権限のないアカウントを自由に制御できるようになり、新たな攻撃ベクトルが多数生まれることを意味します。

このような攻撃は Docker コミュニティでは目新しいものではなく、今日に至るまで、攻撃者は Docker システム内のさらに悪用可能な脆弱性を発見するためにこれらの攻撃を続けています。 ZDNET が最近発表したレポートでも次のように述べられています。「管理者のアクセス権を露出させる誤った構成を見つけるのは非常に簡単なので、Docker は 2021 年以降、サイバー犯罪者の主なターゲットの 1 つになっています。」

Docker がリリースされてから最初の数年間は勢いが非常にあったことは否定できません。また、業界関係者の多くは、これほど業界の関心を集める新興技術はめったに見られないと述べています。しかし、興奮が実際の導入に変わると、多くの企業が Docker のセキュリティ上の脆弱性に気づき始めました。特に、安全な運用と管理、および機密性、整合性、可用性に関する共通制御のサポートに関しては、Docker はほとんどの人にとって満足できるものではありませんでした。

2. 傲慢さからK8sを見逃すとエコシステムの衰退につながる

自身の脆弱性やアーキテクチャ上の欠陥によって引き起こされるセキュリティ問題は、この「クジラ」の尻尾に繋がれた鎖であると考えられます。そうすると、近年の Docker エコシステムの継続的な喪失は、チェーンのもう一方の端に人為的に結び付けられた岩と見なすことができます。

Docker の歴史を通じて、初期の成功により同社は Docker 製品を中心に大規模なコミュニティを構築し、次々に資金調達を進めることができました。これにより Docker はますます傲慢になり、Kubernetes の出現によって大きな打撃を受けるまでになりました。 Docker は、オープンソース コミュニティの寵児である Kubernetes の取り扱いにおいて、自らに何の恩恵ももたらしていない。

Kubernetes は当初 Docker コンテナを好んでいましたが、当時の傲慢な Docker は Google が支援するこの新しい友人に対して敵対的な態度を取り、独自のコンテナ オーケストレーション プラットフォーム Docker Swarm の立ち上げを主張しました。しかし、Kubernetes がさらなる最適化を施した Swarm のすべての機能を無料で提供し、自らが作り上げたゲームで Docker に勝つまでには、それほど時間はかかりませんでした。

Kubernetes が成長を続けるにつれ、Docker チームは自分たちが犯した間違いに徐々に気づき始めています。その後のインタビューで、Docker 創設チームのメンバーである Jérôme Petazzoni 氏は次のように語っています。「Docker は Kubernetes を GitHub 上の一流 Docker プロジェクトにできたはずですが、Kubernetes を見逃してしまいました。私たちは集団思考のバブルの中にいて、社内では Kubernetes は複雑すぎると考え、Swarm の方が成功するだろうと考えていました。これに気づかなかったのが私たちの集団的失敗でした。」

Docker は 2015 年に Open Container Initiative (OCI) を立ち上げて再び業界をリードしようとしましたが、結局は Docker の動きが自ら足を引っ張る結果となりました。オープン スタンダードの作成が短期的には Docker のエコシステムの発展に役立ったことは否定できませんが、同時に Docker の競合他社に無料チケットを提供することにもなり、その後の長期的な競争により Docker の業界における地位は深刻に損なわれました。

最終的に、2019年に、市場、財務、その他の理由により、Dockerは多数の従業員を解雇し、ほぼすべての中核事業をミランティスに売却することを選択しました。この売却により、一連の性急な商業化改革、収益源の制限、以前に合意された契約のライセンス条件の変更がもたらされ、すでに不安定だった Docker のエコシステムに再び一定の影響が及んだ。その後まもなく、Kubernetes v1.2 でも Docker を完全に放棄すると発表されました。この時点で、かつては輝かしいスターだった Docker は、その輝きを完全に失っています。

3. 慢性的な自殺、徐々に減少

Docker は今でも業界で最も人気のあるコンテナ構築ツールの 1 つであり、非常に大きなユーザーベースを持っています。しかし、多くの開発者が徐々に Podman や Containerd などの他の代替手段に目を向け始めています。特に Docker がオープンソース計画を変更した今、この傾向は今後さらに加速し、顕著になるでしょう。

Docker の現状について、Reddit ユーザーは次のようにまとめています。「Docker は現在、緩やかな死を迎えつつあります。」 Docker テクノロジーとその背後にある企業は、もはや何も提供できないため、栄光を取り戻す可能性をほぼ失っています。

4. 最後の言葉

現在予測できることは、今後数年間は Docker が依然としてコンテナ市場の一定の割合を占めるということですが、10 年後の IT 環境では Docker が開発者のテクノロジー スタックの不可欠な部分とは見なされなくなることは明らかです。おそらく、OCI に依存する他のコンテナ化されたソフトウェアがその時までに市場リーダーの地位を獲得するでしょうが、Docker の現在の開発軌道から判断すると、Docker はこのリストには載らなくなるでしょう。

もちろん、Docker が以前のエンタープライズ指向から開発者重視へと変更するなど、自らを救おうとしていることもわかりますが、全体的な傾向は不可逆的です。最後に、偉大なものは他人に負けるのではなく、自分自身に負けることが多いということを言いたいです。

参考リンク:

https://analyticsindiamag.com/kubernetes-parting-ways-with-docker-what-does-it-really-mean/

https://analyticsindiamag.com/kubernetes-docker-container-orchestration-race/