Dockerを使用する際に注意すべき点

Dockerを使用する際に注意すべき点

公式ベースイメージを使用してアプリケーションをビルドする

アプリケーションを構築する際に、オペレーティング システム全体を最初からインストールするモードを使用しないでください。たとえば、node 環境を使用する場合は、centos または ubuntu イメージを使用するのではなく、node イメージを直接使用して、node 環境を自分でインストールする必要があります。

画像のバージョンを指定する

使用するバージョンを指定しない場合は、デフォルトで最新バージョンが使用されます。これにより、ビルドするたびに以前のバージョンとの不整合が発生する可能性があります。そのため、解決策としては、毎回ビルドするバージョンが統一されるように、指定されたバージョンを使用するということになります。

最小化されたオペレーティングシステムを使用する

CentOS や Ubuntu など、Linux オペレーティング システムには多くのバージョンがありますが、これらはアプリケーションには大きすぎて肥大化しているため、Alpine などの小規模なシステムを使用することをお勧めします。

画像レイヤーキャッシュを最適化する

Dockerfile にある各コマンドは新しいレイヤーを作成します。各レイヤーには、コマンドが実行される前と実行された後の状態のイメージに対するファイル システムの変更が含まれています。

RUN コマンドを使用すると、Docker イメージ内でコマンドを実行できます。 RUN コマンドによって生成されたレイヤーがすでにキャッシュ内に存在する場合、RUN コマンドは 1 回しか実行できません。

Dockerfile 内の COPY コマンドを使用すると、1 つ以上の外部ファイルを Docker イメージにインポートできます。これらの COPY コマンドを実行すると、依存するすべての外部ファイルの最新バージョンが確保されます。

最初の COPY コマンドのすべての外部ファイルの内容が同一の場合、レイヤー キャッシュが使用され、次の ADD または COPY コマンドまでのすべての後続コマンドはレイヤー キャッシュを使用します。

ただし、1 つ以上の外部ファイルの内容が異なる場合、後続のすべてのコマンドはレイヤー キャッシュを使用せずに実行されます。

Docker のレイヤー キャッシュを活用するには、頻繁に変更されるステップ (COPY など) が Dockerfile の末尾近くになるように Dockerfile を構成する必要があります。これにより、同じ操作の実行に関連する手順が不必要に再構築されなくなります。

.dockerignore ファイルの使い方を学ぶ

.dockerignore を使用すると多くの利点があります。 Docker イメージのサイズを縮小し、Docker ビルドを高速化し、パスワードの偶発的な漏洩を防ぐのに役立ちます。

Docker は、Docker クライアントと Docker サーバー (Docker デーモンとも呼ばれます) で構成されるクライアント サーバー アプリケーションです。 Docker クライアントのコマンドライン ツールは Docker サーバーと通信し、処理を要求します。その 1 つは Docker ビルドです。新しい Docker イメージをビルドします。 Docker サーバーは、クライアントと同じマシン上、または仮想マシン内、ローカル、リモート、クラウドで実行できます。

新しい Docker イメージを作成するには、Docker サーバーが Docker イメージの作成元となるファイルにアクセスできる必要があります。したがって、何らかの方法でこれらのファイルを Docker サーバーに送信する必要があります (Docker サーバーは別のリモート マシンになる可能性があることを覚えておいてください)。これらのファイルは Docker ビルド コンテキストです。 Docker クライアントは、すべてのビルド コンテキスト ファイルを tar アーカイブにパッケージ化し、このアーカイブを Docker サーバーにアップロードします。デフォルトでは、クライアントは現在の作業ディレクトリ内のすべてのファイル (およびフォルダー) を取得し、それらをビルド コンテキストとして使用します。

.dockerignore ファイルは、実際に必要な Docker ビルド コンテキストを定義するのに役立つツールです。このファイルを使用すると、ファイルとフォルダーに対して無視するルールとこれらのルールの例外を指定できます。これらのルールはビルド コンテキストに含まれず、アーカイブにパッケージ化されず、Docker サーバーにアップロードされません。

マルチステップビルドツールを使用して、さまざまな環境でビルドおよび実行します。

マルチステージビルドでは、Dockerfile 内で複数の FROM ステートメントを使用できます。各 FROM 命令は異なるベースイメージを使用でき、それぞれがビルドの新しいステージを開始します。あるステージから別のステージにファイルを選択的にコピーし、不要なものはすべて残しておくことができます。

最小権限ユーザーを使用する

Dockerfile で USER が指定されていない場合、Docker はデフォルトでコンテナをスーパーユーザー root として実行します。コンテナが属する名前空間、つまりイメージはルート ユーザーが所有します。つまり、コンテナは Docker ホスト システムのスーパー管理権限を取得できます。それだけでなく、コンテナをルートユーザーとして実行すると、攻撃対象領域も拡大します。コンテナ アプリケーションにセキュリティ上の脆弱性がある場合、権限昇格が発生しやすくなります。

実際には、コンテナにルート権限を与える必要は通常ありません。セキュリティの脅威を最小限に抑えるには、専用のユーザーとユーザー グループを作成し、USER を使用して Dockerfile でユーザーを指定し、コンテナー アプリケーションが最小限の権限を持つユーザーとして実行されるようにします。

ベースイメージに専用ユーザーが含まれていない場合は、Dockerfile で直接通常のユーザーを作成します。

画像をスキャンしてセキュリティ上の問題がないか確認する

Docker ローカル イメージの脆弱性スキャンにより、開発者と開発チームはコンテナ イメージのセキュリティ状態を確認し、スキャン中に見つかった問題を修正する手順を実行できるため、より安全なデプロイメントが可能になります。 Docker Scan は Snyk Engine 上で実行され、ユーザーにローカル Dockerfile とローカル イメージのセキュリティ体制の可視性を提供します。

ユーザーは CLI を通じて脆弱性スキャンをトリガーし、CLI を使用してスキャン結果を表示します。スキャン結果には、共通脆弱性識別子 (CVE)、そのソース (OS パッケージやライブラリなど)、導入されたバージョン、検出された CVE を修正するための推奨修正バージョン (利用可能な場合) のリストが含まれます。

通常、イメージ スキャンは、コンテナー イメージ ファイルで定義されているパッケージまたはその他の依存関係を解析し、それらのパッケージまたは依存関係に既知の脆弱性がないかチェックすることによって機能します。


<<:  Gラインクラウドコンピューティングシリーズ:フルスタッククラウド運用

>>:  Google Cloud Games はパフォーマンスが低いため優先順位が下がった

推薦する

Hiformance: 専用サーバー/最低 49 ドル/E3-1230v2/32g/1T/13IPv4

Hiformance は、独立サーバー、ロサンゼルス データ センター、クアドラネット コンピュータ...

今日は不安ですか? - 不安に対する私の分析と解決策

私に深く感動を与えた二つの文章すべての不安は視点の欠如によって引き起こされます。多くの人がキャリア開...

ウェブマスターはウェブサイトの掲載数の減少にどのように対処すべきでしょうか?

プロの SEO 担当者として、私たちはウェブサイトの包含に常に注意を払います。ほとんどのウェブマスタ...

AlphaVPS-15 ユーロ/256M メモリ/25g SSD/250g トラフィック/3 データセンター

AlphaVPS.bg はDA International Group Ltd の一部であり、200...

個人ウェブマスターに適した5種類のウェブサイトを紹介

オンライン ライフは、活気に欠けることも、人気に欠けることもありません。個人ウェブマスターであれば、...

ステーションBがメタバースに参入

メタバースブームの中、新たな有力プレイヤーが登場した。 2017年にメタバースの概念が普及して以来、...

初心者がウェブサイトを最適化する際に心に留めておくべき 4 つの鉄則

考えてみてください。2012 年のインターネット ウェブマスター カンファレンスからかなりの時間が経...

電子商取引の時代における SEO の将来はどこにあるのでしょうか?

春、秋、冬、そして夏。浮き沈みの連続。その道はどこに通じているのでしょうか?道はあなたの足元にありま...

Ramhost - 生涯割引 KVM VPS/ロサンゼルス/アトランタ 37% オフ

Ramhost は 2009 年 2 月に設立され、4 年以上経ちました。社長は、VPS パネルをす...

最適化を行うときは、どのように行うかよりも、何を行うかを理解することが重要です。

一般的なウェブマスターとして、また企業のウェブサイト構築者および管理者として。何度も、なぜ最適化され...

ウェブサイト最適化プロジェクト運営における誤解の分析

SEOウェブサイト最適化に関して、SEO担当者として、SEOはかなり面倒な仕事だと思いますか?プロジ...

探索の道を歩む、タオバオエージェントになるには、自分の分野をやらなければならない

Alibaba Momにログインしたすべての友人は、その横にある衝撃的な取引量に魅了され、写真に示す...

LiquidWeb: 世界トップクラスの「完全管理型」VPS、75% オフ (75% オフ)、これまでにないほどお得、cpanel/plesk パネル付き

Liquidweb は、海外業界のトップブランドの 1 つです。機器ホスティング、サーバーレンタル、...