Dockerとは？ツールの解説

コンテナの概要

Dockerはコンテナを扱うツールなので、まずはコンテナとは何かを理解することが大切です。 

コンテナは実行可能なソフトウェアの小さな単位であり、ライブラリ、アプリやソリューションのコードスニペット、モジュールの依存関係などを含みます。 

コンテナは、これらの要素をどの環境からでも利用できるようにし、アプリの仮想化を実現し、プロセスを分離します。

control-groupsやnamespacesなどのリソース管理機能が重要なのは、これらによってアプリの複数モジュールが単一インスタンスのリソースを共有し、ハイパーバイザーを利用して1台のハードウェアサーバーのメモリやCPUをVMで共有できるようにするためです。

この戦略的なリソース共有は、VMの利点を得ながら、その弱点を軽減してくれます。

‍

Dockerとは？

これはコンテナ運用を幅広く行うために世界中で利用されているプラットフォームです。オープンソースツールであり、コンテナの開発、デプロイ、実行、更新、管理に必要となる機能やリソースを包括的に提供します。 

コンテナ化されたアプリの需要が高まっていることから、Dockerは広く採用されています。たとえDockerがなくてもコンテナを開発することはできますが、その作業は面倒になりがちです。 

このプラットフォームを使うことでLinuxをはじめとする主要OSと直接やりとりできるようになり、多くの開発上の労力が減り、コンテナ化はこれまで以上に手軽かつ効率的になります。現在1,300万人を超える開発者がDockerを利用しているのも当然と言えます。

このソフトウェアはDocker Inc.によって提供されており、バージョン更新リリースやトラブルシューティング、新製品リリースも同社が担っています。

‍

Dockerの歴史

現在のDockerの基盤は、2008年にSolomon Hykes氏、Kamel Foundi氏、Sebastien Pahl氏がパリでDocker Inc.を設立したことから始まりました。このスタートアップはすぐに注目を集め、当初はDotCloudによるPaaSツールとして提供されていました。当時はプラットフォームのコアであるコンテナを広く使えるようにするという目的がありました。

2013年、Hykes氏がPyConカンファレンスでDockerを公開し、DotCloudの中核技術を公開するよう開発者コミュニティから強い要望があったことを明かしました。そして同年3月、LXC環境で動作するフリーのツールとしてリリースされました。

公開からおよそ1年後の2014年にはDocker 0.9がリリースされ、Go言語で書かれたlibcontainerが導入されました。日を追うごとに採用はさらに広がっていきます。 

2014年にはMicrosoftやAmazonがDockerを採用し、2015年にはOracle Cloudがその可能性を活かし、専用のDockerコンテナサポートを提供しました。その後、2017年にModyプロジェクトがローンチされました。 

2020年にはWindows 10バージョン向けのWSL2サポートが開始され、現在ではDocker Kubernetesも非常に注目を集め、幅広く使われています。

‍

なぜDockerを使うのか？

このソリューションが開発者コミュニティで高い人気を得ているのは、それなりの理由があります。Dockerは豊富な機能や手厚いサポートを提供しており、例えば以下のようなものが挙げられます。

• LinuxやUbuntuなど、各OSが備えるコンテナ化機能をスムーズに扱えます。複雑なコマンドを大量に使う必要はなく、APIを使うことでプロセスをほぼ自動化できます。
• LXCコンテナには欠けていたポータビリティを実現できます。Dockerなら、コンテナに手を加えなくてもあらゆるクラウド環境やOSで動かせます。
• 軽量かつ細やかなアップデートが容易です。単一コンテナに複数のプロセスをまとめられるので、柔軟な更新を実現できます。 
• 高速なバージョン管理や容易なロールバックが可能です。誰がどのようにビルドしたのか追跡もでき、さらに既存バージョンと新バージョンの差分アップロードにも対応しています。
• アプリのソースコードをもとにDockerがコンテナを自動生成してくれるため、完全自動化が実現します。
• 再利用性が高く、開発の手間が減ります。コンテナをベースイメージやテンプレートとして新たなイメージを作ることも可能です。
• バージョン管理が手軽で、過去バージョンへのロールバックも簡単です。 
• 多くのコンテナが公開されている分散型のライブラリを利用できます。
• 各種OSやクラウド環境との高い互換性があります。Windows、macOS、Linuxなどで動作し、AWSやIBM Cloud、Azureなどのクラウド環境でも問題なく利用できます。

‍

Dockerの用語解説

Dockerは複数のパーツやコンポーネントで構成されています。実際に使うにあたっては、主要なコンポーネントや用語の意味を理解しておくことが重要です。ここでは主な用語を紹介します。

• Docker images

これらは、実行可能なアプリケーションのソースコード、ライブラリ、ツール、依存関係などを含むファイルです。Docker Imageを実行すると、1つまたは複数のコンテナインスタンスとして動作します。

イメージはゼロから作成することも、既存のリポジトリから入手することもできます。構造的には複数のレイヤーで成り立っており、一つの変更があるたびにひとつ上のレイヤーとして積み重なります。

• DockerFile

Dockerコンテナの構築の土台となるテキストファイルで、コンテナ化されたイメージの作り方をステップごとに示します。DockerFileを使うことでコンテナ生成を自動化でき、Docker Engine用のCLIコマンドの基本ソースとして機能します。

• Docker containers

これはDockerイメージを実行した実体となるコンテナです。実行可能な状態で稼働し、ユーザーはこれとやりとりできます。

• Docker Desktop

WindowsやMac向けのアプリで、Docker CLI、Docker Engine、Kubernetes、Docker Composeなどのコンポーネントを含みます。Docker Hubにも直接アクセスできます。

• Docker daemon

クライアント側のコマンドを受けてイメージを作成・管理するDockerの中心的なサービスです。最も基本的なところでは、デプロイを制御する中核ユニットとして機能します。

• Docker registry

大規模なイメージの保管・配布システムで、Dockerイメージを管理するために利用されます。自由に使えるサービスで、イメージのバージョンを追跡することも容易です。

• Docker Hub

一般的に利用できるDockerイメージの包括的なコレクションで、平均して10万を超えるコンテナイメージが登録されています。開発者や企業はDocker Hubを通してDockerイメージを自由に共有できます。

Dockerのメリットとデメリット

あらゆる技術と同様、Dockerにも明確な利点と欠点があります。Dockerを活用しようとする際は、メリットとデメリットの両面を理解しておくことが大切です。

まずDocker DocumentationによるDockerのメリットから見ていきましょう。もっとも注目すべきはそのミニマルな設計と高いポータビリティです。 

• ネイティブ環境でアプリを実行・管理するための仕組みを提供しているため、システムが複雑化しにくいです。アプリを分離することで、移植性に優れ、より細かい制御が可能になります。
• ‍コンポーザビリティ：開発者はブロックを切り替え可能なパーツとしてひとつの単位にまとめ、開発のスピードアップやデバッグの効率化を図れます。 
• ‍スケーラビリティとオーケストレーションも容易です。Dockerコンテナは非常に軽量で、一括で立ち上げることが可能なので、サービスを柔軟に拡張できます。

一方でDockerコンテナを使う場合、以下のような弱点もあることを理解しておきましょう。 

• コンテナはVMほど厳密な隔離ができず、OSリソースの一部のみを活用するためVMほどの汎用性がありません。
• 軽量ではあるもののベアメタルと同等のスピードは得られず、高パフォーマンスを求める現場では負荷が大きくなる可能性があります。
• コンテナはイメージを元に起動されるためステートレスであり、主要な中身が固定化されています。
• イメージは一度作成すると変更されず、コンテナのインスタンスが削除されると紐づいていたメモリは完全に消去されます。

これらの弱点を克服しながら、オープンソースのDockerを上手に活用する方法を検討することが大切です。

‍

Dockerのセキュリティ

コンテナ型アプリの基盤としてDockerが広く使われる以上、そのセキュリティは非常に重要です。しかしコンテナには基本的にいくつかの課題やセキュリティ上の弱点があり、VMほど完全に隔離されていないのでホストOSを共有します。そのため、ホストOS自体が攻撃を受ければ、すべてのコンテナがリスクにさらされます。

代表的なコンテナの脆弱性としては、Dockerイメージへの不正アクセス、ネットワークトラフィックのハッキング、マルウェアの挿入などが挙げられます。Docker側もセキュリティを強化し続けていますが、完全ではありません。

Dockerコンテナのセキュリティを高める主な方法としては、以下が挙げられます。

• セキュリティ上の影響を減らすため、VM上でコンテナを動かす
• Kata ContainersやgVisorのように、従来のVMよりオーバーヘッドが小さいVMを使う
• NGINXベースのフィルタリングノードを採用する選択肢もあります。強固なDockerセキュリティを構築し、その時々のニーズに合わせてカスタマイズできます。Wallarmは多様なフィルタリングノードを提供しており、「Docker NGINXベースのイメージを実行する方法」については、こちらをご参照ください。

Conclusion

コンテナが広く使われるなか、Dockerはコンテナを効率的かつ高品質に運用するための重要な存在になっています。本記事ではDockerについて詳しく解説しました。Dockerネットワーキングに大きく依存する場合は、ぜひサイバーセキュリティのベストプラクティスを導入することを強く推奨します。セキュリティ対策が不十分な状態でDockerコマンドを運用すると、重大なトラブルを招く可能性があります。