クラウドネイティブを学ぼう!

コンテナレジストリとは?

SHARE:

コンテナレジストリは、大規模なコンテナ運用において不可欠なリソースです。コンテナイメージの保存、配布、ダウンロードを一元的に行う場所を提供することで、開発者がアプリケーションをコンテナとして公開することを支援すると同時に、ユーザーがそれらのアプリケーションを容易に見つけられるようにします。

コンテナレジストリの仕組み、利用すべき理由、利用可能なソリューションの種類、そして必要に応じて独自のレジストリを設定する方法について、引き続きご説明いたします。

コンテナレジストリとは?

コンテナレジストリとは、コンテナイメージをホストおよび配布するためのツールの一種です。

コンテナイメージとは、アプリケーションをコンテナとして実行するための設計図となるバイナリファイルです。コンテナイメージ自体はコンテナではありません。コンテナを作成するには、コンテナイメージに基づいてコンテナを実行する必要があります。ただし、コンテナイメージは、コンテナランタイムがコンテナを起動する際にどのプロセスを実行すべきかを指示します。

したがって、コンテナレジストリの役割はコンテナを実行することではなく、コンテナの実行に必要なデータを効率的かつ一元的に保管するソリューションを提供することにあります。コンテナレジストリは、チームが単一の場所で事実上無制限の数のコンテナイメージをホストできるようにすることで、開発者がアプリケーションをコンテナイメージとして公開しやすくし、ユーザーがそれらのイメージにアクセスしやすくします。

コンテナレジストリはどのように機能するのか?

コンテナレジストリは、ソフトウェア開発者がリポジトリを作成できるようにすることで機能します。このリポジトリには、さまざまな種類のコンテナイメージがホストされます。通常、単一のレジストリには複数のリポジトリが含まれます。例えば、開発者はレジストリを通じて共有したい特定のアプリケーションごとに、別々のリポジトリを設定することがあります。

リポジトリを設定した後、開発者はコンテナイメージをそれらにプッシュします。これには、Dockerコマンドラインを使用して次のようなコマンドを実行します:

docker image push someregistry.com:1234/somerepo/some-image:latest

あるいは、CI/CDソフトウェアの連携機能を利用し、イメージ構築後に自動的にコンテナレジストリへイメージをプッシュすることも可能です。

イメージがコンテナレジストリに登録されると、ユーザーはレジストリに接続し、その中からイメージをダウンロードして実行できます。例えば、Alpine Linuxのイメージをダウンロードし、それを基にしたコンテナを起動するには、以下のように実行します:

docker run alpine

一部のコンテナレジストリ(具体的にはDocker Hub)は、デフォルトでほとんどのDockerおよびKubernetes環境に統合されています。これにより、イメージ名(場合によってはリポジトリパスも)を指定するだけで、それらからイメージをダウンロードして実行することが可能です。そのため、先ほどのコマンドではレジストリ名を指定する必要がなく、「alpine」と指定するだけで済みました。これはDocker Hubに保存されているAlpine Linuxイメージの名前です。ただし、Docker Hub以外のレジストリを使用する場合は、通常、レジストリのネットワークホスト名またはサーバーアドレス、ポート番号、リポジトリパスを指定する必要があります。

多くのコンテナレジストリは、開発者がコンテナイメージの管理やアクセス制御の設定に利用できるWebインターフェースを提供しています。また、アプリケーションの利用者はこのインターフェースでイメージを検索できます。ただし、レジストリを利用して本番環境でイメージを実行するには、レジストリとイメージを指し示すためにコマンドラインツール(またはKubernetes設定ファイル)に依存することになります。この方法の利点は、必要なコンテナイメージをダウンロードし、それを基にコンテナを実行する作業を一連のステップで完了できる点にあります。つまり、まずWeb経由でコンテナイメージをダウンロードし、その後コンテナランタイム環境にアップロードするといった手間が不要となります。

コンテナレジストリの種類

コンテナレジストリはいくつかのカテゴリーに分類できます(一部は重複しています)。

プライベートレジストリとパブリックレジストリ

一部のコンテナレジストリはパブリックであり、そこにホストされているイメージはインターネット上の誰でもアクセス可能です。パブリックレジストリは、開発者が広く一般に公開したいアプリケーションを共有するために最も頻繁に使用されます。

一方、プライベートレジストリは、特定のユーザーのみがアクセス可能なため、公開すべきでないアプリケーション(例えば、企業の従業員のみが使用するアプリケーションなど)を共有するのに有用です。

フルマネージド型とセルフホスト型レジストリ

Docker Hubや主要なパブリッククラウドが提供するレジストリサービスなど、一部のコンテナレジストリは完全にホストされ管理されたソリューションとして利用可能です。ユーザーはこれらのレジストリを利用するためにインフラやソフトウェアを設定する必要がなく、アカウントを作成するだけでイメージのホスティングを開始できます。

一方、セルフホスト型レジストリを構築することも可能です(その方法については本記事の後半で説明します)。セルフホスト型レジストリは自社サーバー上で動作するため、レジストリの設定方法やコンテナイメージのホスティング場所について、より詳細な制御が可能となります。

オープンソースとプロプライエタリなレジストリ

コンテナレジストリには、完全にオープンソースで無料のもの(Docker RegistryやDockerの公式レジストリツールなど)と、プロプライエタリなレジストリが存在します。プロプライエタリなレジストリの中には無料で利用できるものもありますが、そのソースコードは公開されていません。多くのプロプライエタリなレジストリは、管理サービスとしてのみ提供されており、自社インフラにデプロイ可能なスタンドアロン型レジストリとしては利用できません(ただし、JFrog Artifactoryのようにプライベートインフラにデプロイ可能なプロプライエタリレジストリなど例外もあります)。

全体として、オープンソースレジストリはより柔軟なカスタマイズオプションを提供し、無料で利用できますが、プロプライエタリレジストリと比較すると、設定や管理に通常より多くの作業が必要となります。

コンテナレジストリの比較

利用可能なコンテナレジストリには様々な種類がございます。ここでは最も一般的なものをいくつかご紹介します。

Docker Hub

Docker HubはDocker社が提供する公式の管理型コンテナレジストリサービスです。また、ほぼ間違いなく最も広く利用されているパブリックレジストリでもあります。

Docker Hubのリポジトリはデフォルトで公開されていますが、開発者がコンテナイメージへのアクセス権を制限できるプライベートリポジトリ機能も提供されています。ただし、Docker Hubはローカル環境やオンプレミス環境でのデプロイメントには対応していないため、Docker Hubを利用するにはイメージをサードパーティのインフラストラクチャに預ける必要があります。

DockerおよびKubernetesとデフォルトで統合されている有名なコンテナレジストリとして、Docker Hubは最もシンプルなレジストリ体験を求め、レジストリに対する細かい制御がそれほど重要でない場合に適した選択肢です。

パブリッククラウドレジストリ

主要なパブリッククラウドプロバイダー各社は、管理されたコンテナレジストリサービスを提供しております:

  • AWSのコンテナレジストリであるElastic Container Registry(ECR)。
  • AzureのレジストリソリューションであるAzure Container Registry(ACR)。
  • Google Cloud Platformのコンテナレジストリ。

これらのレジストリはいずれも、各パブリッククラウドプラットフォームと緊密に連携するフルマネージドサービスです。そのため、既にそのパブリッククラウドプラットフォームに関連コンポーネントが密接に依存されている場合には、これらのレジストリが適した選択肢となります。例えば、AWSのマネージドKubernetesサービスであるElastic Kubernetes Service(EKS)を使用してコンテナ化されたアプリケーションを展開する場合、ECRが魅力的に感じられるかもしれません。ただし、明確に申し上げると、特定のパブリッククラウド上でコンテナを展開するために、そのクラウドのコンテナレジストリを厳密に使用する必要はありません。Docker Hubや任意のプライベートレジストリを利用することも可能です。

オープンソースおよびカスタムコンテナレジストリ

開発用に使用するローカルのノートパソコンやPC、自社オンプレミスサーバー、Amazon EC2のようなパブリッククラウドIaaSサービス上で動作する仮想マシンなど、任意の場所にデプロイ可能なオープンソースのコンテナレジストリが複数存在します。代表的な例としては、Dockerの公式オープンソースコンテナレジストリであるDocker Registryや、同様に広くサポートされているオープンソースレジストリであるHarborなどが挙げられます。

これらのレジストリの設定には、フルマネージドのコンテナレジストリサービスを利用するよりも手間がかかりますが、その代わりにレジストリと基盤となるホストマシンの設定をより細かく制御できるという利点があります。

基本的なDockerやKubernetesのコマンドに慣れている方であれば、独自のレジストリを設定することは特に難しいことではありません。例えば、Docker Registryをローカルにデプロイするには、以下のコマンドを使用します:

docker run -d -p 1234:1235 --name registry-server registry:2

これは、Docker Hubの公式Docker Registryイメージを基に、Docker Registryをコンテナとして起動します。

あるいは、Kubernetes内でDocker Registryを実行したい場合は、以下のようにPodとServiceを定義することができます:

apiVersion: v1

kind: Pod

metadata:

name: my-docker-registry-pod

labels:

app: registry

spec:

containers:

- name: registry

image: registry:2.8.1Code language: Perl (perl)
apiVersion: v1

kind: Service

metadata:

name: docker-registry

spec:

selector:

app: registry

ports:

- port: 1234

targetPort: 1234Code language: Perl (perl)

コンテナレジストリのセキュリティ

ネットワーク上で機密性の高い情報を扱うあらゆるサービスと同様に、コンテナレジストリにもいくつかのセキュリティ上の課題が存在します。コンテナレジストリを保護するためのベストプラクティスには、以下のものが含まれます:

  • アクセス制御の利用:コンテナレジストリにアップロードしたイメージは、多くの場合デフォルトで公開アクセス可能となりますが、ほとんどのレジストリでは、イメージのダウンロードを制限するためのアクセス制御ツールも提供されています。機密性の高いアプリケーションを保護するため、アクセス制御を活用してください。
  • 最小限のイメージを使用する:最小限のイメージは、レジストリ内のスペースを節約するだけでなく、アプリケーションの実行に必要な最小限の内容にコンテナイメージを制限することで、アプリケーションの攻撃対象領域を縮小します。
  • レジストリを分離する:レジストリを公開アクセス可能にする必要がない限り、ファイアウォールの内側に配置し、悪意のあるユーザーによる発見を防ぐようにしてください。
  • イメージの署名:ほとんどのコンテナレジストリは署名済みコンテナイメージを管理する機能を提供しています。イメージの署名は、イメージの実在性を検証し、実行前に改ざんされていないことを保証するのに役立ちます。可能な限り署名済みイメージを活用し、コンテナレジストリ内に潜む可能性のあるマルウェアから保護してください。
  • イメージスキャンの有効化:一部のマネージドレジストリサービスでは、組み込みのコンテナイメージスキャナー(例:Docker Hub Vulnerability Scanning)が提供されています。あるいは、スタンドアロンツールを使用してイメージスキャンを設定することも可能です。いずれの方法でも、イメージスキャナーはイメージ内の脆弱性を検出することで、レジストリの内容を保護するのに役立ちます。

このような対策により、コンテナ化されたアプリケーションの管理・共有を容易にするべきコンテナレジストリが、攻撃者がソフトウェアを改ざんしたり、無防備なユーザーにマルウェアを送り込むための裏口となるリスクを軽減できます。