What is Containerization?

コンテナ化は、アプリケーションのすべてのコンポーネントが単一のコンテナイメージにバンドルされ、同じ共有オペレーティングシステム上の分離されたユーザー空間で実行できる仮想化の一種です。

コンテナは軽量で持ち運びに便利で、自動化に非常に適しています。 その結果、コンテナ化は、さまざまなユースケースの開発パイプラインとアプリケーションインフラストラクチャの基礎となっています。 コンテナ化とは何か、そしてそれを安全に実装する方法を理解することは、組織のテクノロジースタックのモダナイズと拡張に役立ちます。

無償評価版 コンテナセキュリティガイド

コンテナ化の仕組み

コンテナ化は、特定のアプリケーションの必要なすべての部分を1つのユニットに仮想化することで機能します。

 

つまり、内部的には、コンテナーには、アプリに必要なすべてのバイナリ、ライブラリ、構成が含まれています。 ただし、コンテナーには、仮想化されたハードウェアやカーネル リソースは含まれません。

 

代わりに、コンテナは、リソースを抽象化するコンテナランタイムプラットフォームの「上」で実行されます。 コンテナには、アプリケーションの基本的なコンポーネントと依存関係のみが含まれており、肥大化することなく、仮想マシンやベアメタルサーバーなどの代替手段よりも高速で軽量です。 また、異なる環境で同じアプリを実行することに関連する問題を抽象化することもできます。 基盤となるコンテナー エンジンを指定できる場合は、コンテナー化されたアプリケーションを実行できます。

コンテナ化と仮想化

初心者は、コンテナ化(Dockerなどのコンテナ化ソフトウェアが可能にするもの)と従来のサーバー仮想化(HyperVやVMware ESXiなどのハイパーバイザーが可能にするもの)の違いに混乱しがちです。 簡単に言えば、違いはこれに要約されます。

 

サーバーの仮想化とは、ハードウェアを抽象化し、オペレーティング システムを実行することです。 コンテナ化とは、オペレーティングシステムを抽象化し、アプリを実行することです。 

 

どちらもリソースを抽象化し、コンテナ化はサーバー仮想化の「上」の段階にすぎません。 実際、コンテナ化とサーバー仮想化は相反するものではありません。 コンテナー化されたアプリは、仮想マシン内にデプロイされたコンテナー エンジン上で実行できます。

コンテナ化のレイヤー

コンテナ化がどのように機能するかを正確に理解するために、ハードウェアからコンテナ化されたアプリケーションまで、すべての要素がどのように組み合わされているかを詳しく見てみましょう。

 

  • ハードウェア インフラストラクチャ:どのようなアプリケーションでも、すべてはどこかの物理的なコンピューティングリソースから始まります。これらのリソースは、自分のラップトップであろうと、複数のクラウドデータセンターに分散している場合でも、コンテナが機能するためになくてはならないものです。
  • ホスト・オペレーティング・システム: ハードウェア層の上にある次の層は、ホストオペレーティングシステムです。 ハードウェア層と同様に、これは、Windowsまたは*nixオペレーティングシステムを自分のコンピューター上で実行するのと同じくらい単純なものでも、クラウドサービスプロバイダーによって完全に抽象化される場合もあります。
  • コンテナエンジン: ここからが面白くなってくるところです。 コンテナー エンジンは、ホスト オペレーティング システム上で実行され、コンテナー化されたアプリのリソースを仮想化します。 このレイヤーの最も単純な例は、自分のコンピューターで Docker を実行することです。
  • コンテナー化されたアプリ: コンテナー化されたアプリは、アプリケーションの実行に必要なすべてのライブラリ、バイナリ、および構成を含むコードの単位です。 コンテナ化されたアプリケーションは、「ユーザー空間」(オペレーティングシステムのカーネルの外部)で分離されたプロセスとして実行されます。

コンテナ輸送の利点

わかっていることから、コンテナ化では、アプリに必要なものだけが1つのユニットにバンドルされ、コンテナエンジンが存在する場所ならどこでもアプリを実行できることがわかります。 このことを念頭に置いて、コンテナ化には次のようなメリットがあることが容易に理解できます。

 

  • ポータビリティ: 過去の従来の「開発対運用」の課題の1つは、特定のアプリが1つの環境で機能する理由でした(例: staging)ではなく、別のもの(例: 生産)。 通常、問題は 2 つの環境の違いに調整されます。 たとえば、特定の依存関係の別のバージョンがインストールされた可能性があります。 コンテナ化は、依存関係を含むまったく同じコンテナイメージをどこでも実行できるため、この問題を解決します。
  • 速度: コンテナは、仮想マシンやベアメタルサーバーが要する時間のほんの一部で起動する傾向があります。 具体的な起動時間はリソースやアプリのサイズによって異なりますが、一般的に、コンテナは数秒で起動し、仮想マシンは数分で起動します。
  • 効率: コンテナーにはアプリの実行に必要なものしか含まれていないため、仮想マシンよりも大幅に軽量です。 通常、コンテナのサイズはメガバイトですが、仮想マシンのサイズは通常ギガバイトです。 その結果、コンテナにより、チームはサーバーリソースをより効率的に使用できるようになります。
  • デプロイメントのシンプルさ: コンテナは持ち運び可能で軽量であるため、ほぼどこにでも簡単に導入できます。 基盤となるコンテナー エンジンを実行できる場合は、コンテナー化されたアプリケーションを実行できます。
  • スケーラビリティ: コンテナ化されたアプリケーションは、起動が速く、スペースをあまり取らず、デプロイも簡単です。 その結果、コンテナ化により、デプロイメントのスケーリングがはるかに簡単になります。 これが、コンテナがマイクロサービスやクラウドベースのアプリケーションの基盤となっている理由です。

コンテナ化の具体的なユースケース

コンテナ化のメリットを知ることは重要ですが、実際のユースケースを理解することで、その知識を実践することができます。 ここでは、コンテナ化の一般的なユースケースの例をいくつか紹介します。

 

  • マイクロサービス: マイクロサービス アーキテクチャは、多数の小規模で独立した疎結合サービスが連携して動作するという考え方に基づいて構築されています。 コンテナは分離されたコードユニットをデプロイするための優れた方法であるため、マイクロサービスをデプロイするためのデファクトスタンダードとなっています。
  • CI/CD: 継続的インテグレーション/継続的デプロイメント (CI/CD) とは、信頼性の高いソフトウェアを迅速にテストしてデプロイすることです。 コンテナ化は、アプリケーションを移植性が高く、軽量で統一されたコード単位にバンドルすることで、コンテナが自動化しやすく、依存関係の問題を軽減し、リソース消費を最小限に抑えるため、CI/CDを向上させることができます。
  • レガシ アプリのモダナイゼーション: 多くのチームは、従来のモノリシック アプリケーションをクラウドに移行しています。 ただし、そのためには、アプリが実際にクラウドで実行されることを確認する必要があります。 多くの場合、これはコンテナ化を活用して、アプリをどこにでもデプロイできるようにすることを意味します。

Kubernetesとコンテナ

Kubernetes は K8s とも呼ばれ、コンテナーのデプロイメントのスケーリングと管理に役立つ一般的なツールです。 DockerやLXCなどのコンテナ化ソフトウェアには、大規模なコンテナのデプロイメントを調整する機能が欠けており、K8sはそのギャップを埋めます。 他にもコンテナオーケストレーションツール(Apache MesosやDocker Swarmなど)がありますが、K8sが圧倒的に人気があります。

 

もちろん、「管理」と「オーケストレーション」は曖昧な用語です。 では、Kubernetesは具体的に何ができるのでしょうか? 見てみましょう:

 

  • ロールアウトとロールバック:K8sを使用すると、リソース使用率に関する事前定義されたルールに基づいて、新しいコンテナの作成とデプロイメント、またはコンテナクラスタ内の既存のコンテナの削除を自動化できます。
  • ストレージの取り付け: Kubernetesを使用すると、コンテナのストレージリソースを自動的にマウントできます。
  • 資源配分: CPU と RAM の消費量を大規模に分散させることは、困難な作業です。 K8sを使用すると、CPUとRAMの要件を定義でき、リソース(ノード)の制約内でコンテナの最適なデプロイメントを自動的に処理します。
  • 自己修復機能: K8sでは、ヘルスチェックを定義でき、コンテナが要件を満たしていない場合は、自動的に復元または交換されます。
  • 構成管理: K8sは、トークンやSSHキーなどの機密データを含むコンテナ構成を安全に管理するのに役立ちます。
  • 負荷分散: Kubernetesは、複数のコンテナ間で負荷分散を自動的に実行して、効率的なパフォーマンスとリソース使用率を実現しますコンテナを保護します。

 

コンテナは隔離されているので「安全」だと思うかもしれません。 残念ながら、それはそれほど単純ではありません。 コンテナがユーザー空間で互いに分離されているのは事実ですが、設定ミス、脆弱性、悪意のあるアクターはすべて脅威をもたらします。 簡単に言えば、コンテナの固定は必須です。

 

アプリケーションをコンテナ化する際に考慮しなければならない 特定のコンテナセキュリティ の考慮事項が多数あります。 たとえば、コンテナレジストリの継続的な監視と新しい脆弱性の検出、およびコンテナファイアウォールの活用は、包括的なコンテナセキュリティの重要な側面です。 さらに、コンテナエンジンが稼働するホストオペレーティングシステムのセキュリティ保護も必須です。

 

もちろん、コンテナ化されたアプリケーションを保護するということは、 アプリケーションセキュリティ(AppSec) も真剣に受け止める必要があることを意味します。 つまり、環境の全体像を把握し、セキュリティプロファイルを作成し、脅威を特定し、必要に応じてインタラクティブアプリケーションセキュリティテスト(IAST)ソリューションや Webアプリケーションファイアウォール(WAF) などのツールを活用する必要があります。

チェック・ポイントによるコンテナ化のセキュリティ

CloudGuardなどのチェック・ポイント製品は、DevOpsパイプラインとコンテナのセキュリティを念頭に置いて構築されています。コンテナ化セキュリティ分野の業界リーダーとして、コンテナセキュリティを適切に実現するために何が必要かを知っています。 コンテナ化セキュリティの世界を深く掘り下げるには、 無料の「コンテナとKubernetesのセキュリティに関するガイド」を今すぐダウンロードしてください。 この無料ガイドでは、次のことを学びます。

 

  • 最新のマイクロサービス、K8、コンテナセキュリティのアプローチ。
  • コンテナセキュリティのベストプラクティス。
  • クラウドネイティブ環境におけるワークロード保護と脅威対策を自動化する方法。

また、マルチクラウド環境の保護を担当している場合は、 無料のホワイトペーパー「高度な脅威の時代において自信を持ってクラウドを実現する」をお読みください。 このホワイトペーパーでは、マルチクラウド環境における脅威対策とインフラストラクチャの可視性に関する確固たる洞察を得ることができます。

スタート

CloudGuardワークロード保護

CloudGuard Workload Protection Solution Brief

ブログ:ワークロード保護の自動化

CloudGuardで実現するサーバレス セキュリティ

コンテナ セキュリティ向けCloudGuard

関連トピック

コンテナ セキュリティ

ワークロードの保護

Kubernetesとは

DevSecOps

Cloud Workload Protection Platform (CWPP)

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK