Docker コンテナで避けるべき 10 のこと

コンテナが企業の IT インフラストラクチャに欠かせない要素となっていることは間違いありません。次のような多くの利点があります。

まず、コンテナは不変です。つまり、オペレーティングシステム、ライブラリのバージョン、構成、フォルダー、アプリケーションはすべてコンテナ内にパッケージ化されます。 QA でテストしたのと同じイメージが、同じ動作で本番環境に到達することを保証します。
2 つ目: コンテナは軽量です。コンテナのメモリフットプリントは小さくなります。コンテナは、数百または数千 MB ではなく、メインプロセスにのみメモリを割り当てます。
3 つ目: コンテナは非常に高速です。一般的な Linux プロセスを開始するのと同じくらい速くコンテナを開始できます。新しいコンテナを数分ではなく数秒で起動できます。

しかし、多くのユーザーは依然としてコンテナを一般的な仮想マシンのように扱い、コンテナには使い捨てであるという重要な特性があることを忘れています。

この特性により、ユーザーはコンテナの取り扱いと管理方法に関する視点を変える必要に迫られます。では、コンテナを最良の状態に保つにはどうすればよいでしょうか? Docker コンテナで避けるべき 10 のことを紹介します。

1. コンテナは停止、破壊、または交換できるため、コンテナにデータを保存しないでください。コンテナ内で実行されているアプリケーションのバージョン 1.0 は、影響やデータ損失なしに、バージョン 1.1 に簡単に置き換えられる必要があります。したがって、データを保存する必要がある場合は、バッチで保存します。この場合、2 つのコンテナーが同じボリュームにデータを書き込むと破損する可能性があるため、注意が必要です。アプリケーションが共有データストアに書き込むように設計されていることを確認してください。

2. 申請書を 2 部に分けて提出しないでください。コンテナを仮想マシンのように考える人もいますが、ほとんどの人は、実行中の既存のコンテナにアプリケーションをデプロイする必要があると考えがちです。開発フェーズでは、継続的にデプロイとデバッグを行う必要があります。これは当然のことです。ただし、QA および本番環境向けの継続的デリバリー (CD) パイプラインの場合、アプリケーションはイメージの一部である必要があります。

3. 配布が難しくなるため、大きな画像を作成しないでください。アプリケーション/プロセスを実行するために必要なファイルとライブラリのみがあることを確認してください。不要なパッケージをインストールしたり、多くのファイルを新しいイメージレイヤーにダウンロードする「更新」を実行したりしないでください。

4. 単層の画像は使用しないでください。階層化ファイルシステムを効果的に利用するには、オペレーティングシステム用の独自のベースイメージレイヤー、ユーザー名の定義用の別のレイヤー、ランタイムインストール用の別のレイヤー、構成用の別のレイヤー、最後にアプリケーション用の別のレイヤーを必ず作成します。画像の再作成、管理、配布が容易になります。

5. 実行中のコンテナからイメージを作成しないでください。つまり、イメージを作成するために「docker commit」を使用しないでください。この画像作成方法は再現不可能なので、完全に避けるべきです。常に完全に再現可能な Dockerfile またはその他の S2I (ソースからイメージ) アプローチを使用してください。Dockerfile をソース管理リポジトリ (git) に保存すると、Dockerfile への変更を追跡できます。

6. 「latest」タグだけを使用しないでください。Maven ユーザーにとって、latest タグは「SNAPSHOT」のようなものです。コンテナの階層化ファイルシステムの性質上、タグの使用が推奨されます。数か月後にイメージをビルドし、親レイヤー (Dockerfile の FROM) が下位互換性のない新しいバージョンまたはバグのあるバージョンに置き換えられ、ビルドキャッシュから「最新」バージョンが取得されたためにアプリケーションが実行されないことがわかっても、驚くことはありません。また、コンテナを本番環境にデプロイするときには、「最新」タグの使用を避ける必要があります。そうしないと、実行しているイメージのバージョンがわからなくなってしまいます。

7. 単一のコンテナ内で複数のプロセスを実行しないでください。コンテナは単一のプロセス (http デーモン、アプリケーションサーバー、データベース) を実行するのに最適ですが、複数のプロセスがある場合は、プロセスを個別に管理、ログを取得、更新するのが面倒になる可能性があります。

8. 資格情報を画像に保存しないでください。環境変数を使用してください。イメージ内にユーザー名やパスワードをハードコードしないでください。環境変数を使用して、コンテナ外部からその情報を取得します。この原則の良い例は、Postgres ミラーリングです。

9. プロセスを root ユーザーとして実行しないでください。「デフォルトでは、Docker コンテナはルートユーザーとして実行されます。Docker が成熟するにつれて、より安全なデフォルトが提供される場合があります。現在、ルートユーザーを要求することは他のユーザーにとって危険であり、すべての環境で利用できるとは限りません。イメージでは、USER ディレクティブを使用して、コンテナを実行するための非ルートユーザーを指定する必要があります。

10. IP アドレスに依存しないでください。各コンテナには独自の内部 IP アドレスがあり、コンテナを起動および停止すると変更される可能性があります。アプリケーションまたはマイクロサービスが別のコンテナと通信する必要がある場合は、環境変数を使用して、正しいホスト名とポートをあるコンテナから別のコンテナに渡します。

<<: ハイブリッドクラウドは重要なデータの潜在的な漏洩を減らすことができる

>>: 進化: Web プロキシサーバーから分散プッシュサーバーへの Tengine