Docker 18.09 新機能 (イメージビルド&ã‚»ã‚ュリティ)
NTTã®é ˆç”°ã§ã™ï¼ŽMoby (≒Docker),BuildKit,containerdãªã©ï¼Œã‚³ãƒ³ãƒ†ãƒŠé–¢é€£ã®ã‚ªãƒ¼ãƒ—ンソースソフトウェアã®ãƒ¡ãƒ³ãƒ†ãƒŠ (開発委員.コミッタã¨ã‚‚.)ã‚’å‹™ã‚ã¦ã„ã¾ã™ï¼Ž
本記事ã§ã¯ï¼Œ2018å¹´11月8æ—¥ã«ãƒªãƒªãƒ¼ã‚¹ã•ã‚ŒãŸDocker 18.09ã®æ–°æ©Ÿèƒ½ã‚’紹介ã—ã¾ã™ï¼Ž
BuildKitã®æ£å¼çµ±åˆ
Dockerfileã‹ã‚‰ã‚³ãƒ³ãƒ†ãƒŠã‚¤ãƒ¡ãƒ¼ã‚¸ã‚’ビルドã™ã‚‹æ©Ÿèƒ½ã§ã‚る,docker build ã®æ–°ã—ã„ãƒãƒƒã‚¯ã‚¨ãƒ³ãƒ‰ã¨ã—ã¦ï¼ŒBuildKitãŒDocker 18.06より実験的ã«æŽ¡ç”¨ã•ã‚Œã¦ã„ã¾ã—ãŸãŒï¼ŒDocker 18.09ã«ã¦ï¼Œæ£å¼ãªæ©Ÿèƒ½ã«æ ¼ä¸Šã’ã•ã‚Œã¾ã—ãŸï¼Ž
BuildKitã¯ï¼Œé ˆç”°ãŒ2017å¹´4月ã«æ案ã—㟠docker build並列化ã®pull requestを契機ã¨ã—ã¦ï¼ŒDocker社 Tõnis Tiigiæ°ã®ä¸»å°Žã«ã‚ˆã‚Šï¼ŒMoby傘下ã®ã‚ªãƒ¼ãƒ—ンソースプãƒã‚¸ã‚§ã‚¯ãƒˆã¨ã—ã¦åŒå¹´å¤ã«ç™ºè¶³ã—ã¾ã—ãŸï¼Žãƒ—ãƒã‚¸ã‚§ã‚¯ãƒˆç™ºè¶³æ™‚ã‚ˆã‚Šï¼Œé ˆç”°ã‚‚ãƒ¡ãƒ³ãƒ†ãƒŠã¨ã—ã¦é–‹ç™ºã«å‚åŠ ã—ã¦ã„ã¾ã™ï¼Ž
BuildKitã¯ï¼ŒDockerfileã®å„命令間ã®ä¾å˜æ€§ã‚’DAG (有å‘éžå·¡å›žã‚°ãƒ©ãƒ•)ã¨ã—ã¦è¡¨ç¾ã™ã‚‹ã“ã¨ã«ã‚ˆã‚Šï¼Œå‘½ä»¤ã®ä¸¦åˆ—実行や,æ£ç¢ºãªã‚ャッシュ判定を実ç¾ã—ã¾ã™ï¼Ž
ã¾ãŸï¼Œãƒ“ルドコンテã‚ストã®å·®åˆ†è»¢é€ãªã©ã®æœ€é©åŒ–ã‚‚ãªã•ã‚Œã¦ã„ã¾ã™ï¼Ž
高速化ã®ç¨‹åº¦ã¯å ´åˆã«ã‚ˆã‚Šã‘ã‚Šã§ã™ãŒï¼ŒDockerを用ã„ã¦Docker自体(厳密ã«ã¯Moby)をビルドã™ã‚‹ãƒ™ãƒ³ãƒãƒžãƒ¼ã‚¯ã®å ´åˆï¼Œç´„2å€é€Ÿããªã‚‹ã¨ã®å ±å‘ŠãŒãªã•ã‚Œã¦ã„ã¾ã™ï¼Ž
LLB
BuildKitã¯ï¼ŒDockerfileãã®ã‚‚ã®ã‚’ビルドã™ã‚‹ã®ã§ã¯ãªã,Dockerfileã‹ã‚‰ã‚³ãƒ³ãƒ‘イルã•ã‚Œã‚‹ä¸é–“言語ã§ã‚ã‚‹LLBをビルドã—ã¾ã™ï¼Ž (clangãŒC言語を機械語ã«ç›´æŽ¥ã‚³ãƒ³ãƒ‘イルã™ã‚‹ã®ã§ã¯ãªã,LLVM IRを介ã™ã‚‹ã®ã«ä¼¼ã¦ã„ã¾ã™ï¼Ž)
LLBã¯ï¼ŒDockerfile以外ã®ã‚¤ãƒ¡ãƒ¼ã‚¸è¨˜è¿°è¨€èªžã‹ã‚‰ã‚³ãƒ³ãƒ‘イルã™ã‚‹ã“ã¨ã‚‚å¯èƒ½ã§ã™ï¼Žä¾‹ãˆã°ï¼ŒHerokuã‚„Cloud Foundryã§ç”¨ã„られã¦ã„る,Buildpacksã®YAMLã‹ã‚‰LLBをコンパイルã™ã‚‹ã“ã¨ã‚‚å¯èƒ½ã§ã™ï¼ŽYAMLã®1行目ã«shebangã®ã‚ˆã†ã« # syntax = tonistiigi/pack ã¨è¨˜è¿°ã—ã¦ãŠã‘ã°ï¼Œ docker build コマンドã‹ã‚‰ç›´æŽ¥YAMLを扱ã†ã“ã¨ãŒã§ãã¾ã™ï¼Ž
$ cat manifest.yaml
# syntax = tonistiigi/pack
---
applications:
- name: myapp
memory: 128MB
disk_quota: 256MB
random-route: true
buildpack: python_buildpack
command: python hello.py$ docker build –f manifest.yml
ãªãŠï¼Œ # syntax = ... ã§æŒ‡å®šã™ã‚‹æ–‡å—列ã¯ï¼ŒDockerã§äºˆç´„ã•ã‚Œã¦ã„ã‚‹æ–‡å—列ã§ã¯ãªã,LLBを出力ã™ã‚‹ãƒ—ãƒã‚°ãƒ©ãƒ (フãƒãƒ³ãƒˆã‚¨ãƒ³ãƒ‰)ã®ã‚³ãƒ³ãƒ†ãƒŠã‚¤ãƒ¡ãƒ¼ã‚¸ã®referenceæ–‡å—列ã§ã™ï¼Žã§ã™ã®ã§ï¼ŒDockerfileã§ã‚‚Buildpacksã§ã‚‚ãªã„,独自ã®ã‚¤ãƒ¡ãƒ¼ã‚¸è¨˜è¿°è¨€èªžã®ãƒ•ãƒãƒ³ãƒˆã‚¨ãƒ³ãƒ‰ã‚’ユーザãŒå®Ÿè£…ã—,利用ã™ã‚‹ã“ã¨ã‚‚å¯èƒ½ã§ã™ï¼Ž
Cache Mount
従æ¥ã® docker build ã§ã¯ï¼Œã‚³ãƒ³ãƒ‘イラやパッケージマãƒãƒ¼ã‚¸ãƒ£ã®ã‚ャッシュを有効ã«æ´»ç”¨ã§ãã¾ã›ã‚“ã§ã—ãŸï¼Ž
例ãˆã°ï¼Œæ¬¡ã®ã‚ˆã†ãªDockerfileãŒã‚ã‚‹ã¨ã—ã¾ã™:
FROM golang
...
RUN go build -o /foo ./pkg/fooGoã®ã‚³ãƒ³ãƒ‘イラã¯ã‚ャッシュをコンテナ内㮠/root/.cache/go-build ã«ä¿å˜ã—ã¾ã™ãŒï¼Œå¾“æ¥ã® docker build ã§ã¯ï¼ŒGoã®ã‚½ãƒ¼ã‚¹ã‚„,Dockerfileã® RUN go build … 以å‰ã®è¡Œã‚’書ãæ›ãˆã‚‹ãŸã³ã«ï¼Œã‚³ãƒ³ãƒ‘イラã®ã‚ャッシュをå«ã‚€ã‚¤ãƒ¡ãƒ¼ã‚¸ãƒ¬ã‚¤ãƒ¤ã‚’ç ´æ£„ã—ãªãã¦ã¯ãªã‚Šã¾ã›ã‚“ã§ã—ãŸï¼Ž
BuildKitã§ã¯ï¼Œ RUN --mount=type=cache 命令を用ã„ã‚‹ã“ã¨ã§ï¼Œã‚ャッシュをä¿æŒã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ï¼ŽãŸã ã—, 今ã®ã¨ã“ã‚éžæ¨™æº–命令ã§ã‚ã‚‹ãŸã‚,Dockerfileã®1行目㫠# syntax = docker/dockerfile:experimental ã¨è¨˜è¿°ã™ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ï¼Ž
# syntax = docker/dockerfile:experimental
FROM golang
...
RUN --mount=type=cache,target=/root/.cache/go-build \
go build -o /foo ./pkg/fooRUN --mount=type=cache 命令をã†ã¾ã活用ã™ã‚‹ã¨ï¼Œå¾“æ¥ã® docker build より33å€ä»¥ä¸Šé€Ÿã„ビルドもå¯èƒ½ã§ã™ï¼Ž
RUN --mount=type=cache 命令ã¯ï¼Œ apt ãªã©ã®ãƒ‘ッケージマãƒãƒ¼ã‚¸ãƒ£ã®ã‚ャッシュã®ä¿æŒã«ã‚‚利用ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ï¼Ž
# syntax = docker/dockerfile:experimental
FROM ubuntu
RUN rm -f /etc/apt/apt.conf.d/docker-clean; \
echo 'Binary::apt::APT::Keep-Downloaded-Packages "true";' > \
/etc/apt/apt.conf.d/keep-cache
RUN \
--mount=type=cache,target=/var/cache/apt \
--mount=type=cache,target=/var/lib/apt \
apt update && apt install -y gccSecret Mount
従æ¥ã® docker build ã§ã¯ï¼ŒDockerfileã®ä¸ã‹ã‚‰ï¼Œãƒ—ライベートãªGitリãƒã‚¸ãƒˆãƒªã‚„,S3ãªã©ã¸ã‚¢ã‚¯ã‚»ã‚¹ã™ã‚‹ã“ã¨ãŒãŒå›°é›£ã§ã—ãŸï¼Ž
éµãƒ•ã‚¡ã‚¤ãƒ«ã‚’ COPY ( ADD )ã™ã‚Œã°ã„ã„ã ã‘ã®ã‚ˆã†ã«æ€ã‚れるã‹ã‚‚知れã¾ã›ã‚“ãŒï¼Œã“ã®ã‚ˆã†ãªæ–¹æ³•ã¯å±é™ºã§ã™ï¼Žéµã®ãƒ•ã‚¡ã‚¤ãƒ«ã‚’後㧠RUN rm ã—ã¦ã‚‚, COPY 命令ã«å¯¾å¿œã™ã‚‹ã‚¤ãƒ¡ãƒ¼ã‚¸ãƒ¬ã‚¤ãƒ¤ã®tarã®ä¸ã«ã¯ï¼Œéµãƒ•ã‚¡ã‚¤ãƒ«ãŒæ®‹ã‚‹ãŸã‚ã§ã™ï¼Žéµãƒ•ã‚¡ã‚¤ãƒ«ã‚’å«ã‚€ã‚¤ãƒ¡ãƒ¼ã‚¸ã‚’,ä¸ç‰¹å®šå¤šæ•°ã®ãƒ¦ãƒ¼ã‚¶ãŒå‚ç…§å¯èƒ½ãªãƒ¬ã‚¸ã‚¹ãƒˆãƒªã«pushã™ã‚‹ã¨ï¼ŒGitã‚„S3ãªã©ã®ã‚¢ã‚¯ã‚»ã‚¹æ¨©é™ã‚’奪å–ã•ã‚Œã‚‹æã‚ŒãŒã‚ã‚Šã¾ã™ï¼Ž
COPYã—ãŸéµãƒ•ã‚¡ã‚¤ãƒ«ãŒã‚¤ãƒ¡ãƒ¼ã‚¸ã«æ®‹å˜ã™ã‚‹ã“ã¨ã‚’防ãã«ã¯ï¼Œãƒžãƒ«ãƒã‚¹ãƒ†ãƒ¼ã‚¸ãƒ“ルドや, docker build --squash を注æ„æ·±ã用ã„ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ï¼Ž
BuildKitã§ã¯ï¼Œ RUN --mount=type=secret 命令を用ã„ã‚‹ã“ã¨ã§ï¼Œéµãƒ•ã‚¡ã‚¤ãƒ«ã‚’イメージã«æ®‹ã•ãšå®‰å…¨ã«ãƒžã‚¦ãƒ³ãƒˆã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ï¼Ž
# syntax = docker/dockerfile:experimental
FROM ...
RUN --mount=type=secret,id=ssh,target=/root/.ssh/id_rsa git clone ...上ã®ä¾‹ã®Dockerfileã¯ï¼Œ docker build --secret id=ssh,src=$HOME/.ssh/id_rsa ã®ã‚ˆã†ã«ï¼Œä»»æ„ã®éµãƒ•ã‚¡ã‚¤ãƒ«ã‚’ç´ä»˜ã‘ã¦ãƒ“ルドã™ã‚‹ã“ã¨ãŒå‡ºæ¥ã¾ã™ï¼Ž
SSH Mount
上記㮠RUN --mount=type=secret 命令ã¯ï¼Œãƒ‘スフレーズ付ãã®SSH秘密éµã«ã¯å‘ã‹ãªã„å•é¡ŒãŒã‚ã‚Šã¾ã™ï¼Ž ビルドコンテナã«ã¯æ¨™æº–入力ãŒæŽ¥ç¶šã•ã‚Œãšï¼Œãƒ‘スフレーズを入力ã§ããªã„ãŸã‚ã§ã™ï¼Ž
パスフレーズ付ãã®SSH秘密éµã«ã¤ã„ã¦ã¯ï¼Œä»£ã‚ã‚Šã« RUN --mount=type=ssh 命令を使用ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ï¼Ž
# syntax = docker/dockerfile:experimental
FROM ...
RUN --mount=type=ssh git clone ...docker build 実行å‰ã« ssh-agent ã‚’èµ·å‹•ã™ã‚‹ã“ã¨ã§ï¼Œãƒ‘スフレーズを入力ã™ã‚‹ã“ã¨ãŒå¯èƒ½ã§ã™ï¼Ž
$ eval $(ssh-agent)
$ ssh-add ~/.ssh/id_rsa
Enter passphrase for /home/penguin/.ssh/id_rsa: (パスフレーズを入力)
$ docker build --ssh default=$SSH_AUTH_SOCK .BuildKitã®æœ‰åŠ¹åŒ–
BuildKitを有効化ã™ã‚‹ã«ã¯ï¼Œ docker buildコマンド実行å‰ã«ç’°å¢ƒå¤‰æ•°DOCKER_BUILDKIT=1 ã‚’è¨å®šã—ã¦ãŠãå¿…è¦ãŒã‚ã‚Šã¾ã™ï¼Žã‚ã‚‹ã„ã¯ï¼Œ /etc/docker/daemon.json ã« {"features":{"buildkit":true}} ã¨è¨˜è¿°ã—ã¦ã‚‚有効化ã§ãã¾ã™ï¼Ž
図ã®é€šã‚Šï¼Œdocker build コマンドã®å‡ºåŠ›ãŒå¾“æ¥ã¨å¤§ãã変ã‚ã£ã¦ã„ã‚Œã°ï¼ŒBuildKitãŒæœ‰åŠ¹ã«ãªã£ã¦ã„ã¾ã™ï¼Ž
リモートDockerホストã¸ã®SSH接続
dockerコマンドã¯ï¼Œãƒªãƒ¢ãƒ¼ãƒˆã®Dockerホストã«REST APIを用ã„ã¦æŽ¥ç¶šã™ã‚‹ã“ã¨ãŒå‡ºæ¥ã¾ã™ï¼ŽDockerホストãŒæ”»æ’ƒè€…ã«ä¹—ã£å–られるã“ã¨ã‚’防ãã«ã¯ï¼ŒTLSを有効化ã—ãŸã‚Šï¼Œãƒãƒ¼ãƒˆã¸ã‚¢ã‚¯ã‚»ã‚¹å¯èƒ½ãªIPアドレスを絞ã£ãŸã‚Šã™ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ï¼Žã—ã‹ã—ãªãŒã‚‰ï¼Œã“ã†ã—ãŸè¨å®šã¯å®¹æ˜“ã§ã¯ã‚ã‚Šã¾ã›ã‚“.実際,Dockerホストã®è¨å®šä¸å‚™ã‚’çªã„ã¦ä»®æƒ³é€šè²¨ã‚’発掘ã™ã‚‹ãƒžãƒ«ã‚¦ã‚§ã‚¢ãŒç¢ºèªã•ã‚Œã¦ã„ã¾ã™ï¼Ž
Docker 18.09ã§ã¯ï¼Œé ˆç”°ãŒ2017年よりæ案ã—ã¦ããŸï¼ŒSSHを用ã„ãŸãƒªãƒ¢ãƒ¼ãƒˆDockerホスト接続機能ãŒæŽ¡ç”¨ã•ã‚Œã¦ã„ã¾ã™ï¼ŽSSHã¯ï¼Œãƒªãƒ¢ãƒ¼ãƒˆã®Linuxホストã«æŽ¥ç¶šã™ã‚‹æœ€ã‚‚一般的ãªæ–¹æ³•ã§ã‚り,TLSã«æ¯”ã¹ã¦ç°¡å˜ã«è¨å®šã™ã‚‹ã“ã¨ãŒå‡ºæ¥ã¾ã™ï¼Ž
ã“ã®æ©Ÿèƒ½ã¯ï¼Œç’°å¢ƒå¤‰æ•° DOCKER_HOST=ssh://ユーザ@ホスト ã‚’è¨å®šã—ãŸçŠ¶æ…‹ã§ docker コマンドを実行ã™ã‚‹ã¨åˆ©ç”¨ã™ã‚‹ã“ã¨ãŒå‡ºæ¥ã¾ã™ï¼Žå˜ã« ssh -l ユーザ ホスト -- docker コマンドを実行ã™ã‚‹å ´åˆã¨ç•°ãªã‚Šï¼Œã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆã® ~/.docker/config.json ã«ä¿å˜ã•ã‚Œã¦ã„るレジストリèªè¨¼æƒ…å ±ã‚„ï¼Œãƒ“ãƒ«ãƒ‰ã‚³ãƒ³ãƒ†ã‚ストã«ã‚¢ã‚¯ã‚»ã‚¹ã™ã‚‹ã“ã¨ãŒå¯èƒ½ã§ã™ï¼Ž
ãã®ä»–ã®å¤‰æ›´ç‚¹
Docker 18.09ã‹ã‚‰ã¯ï¼Œä»¥ä¸‹ã®ã‚¹ãƒˆãƒ¬ãƒ¼ã‚¸ãƒ‰ãƒ©ã‚¤ãƒãŒéžæŽ¨å¥¨(deprecated)ã¨ãªã£ã¦ã„ã¾ã™:
devicemapperoverlay
ã“れらã®ã‚¹ãƒˆãƒ¬ãƒ¼ã‚¸ãƒ‰ãƒ©ã‚¤ãƒã¯ï¼Œå°†æ¥ã®ãƒªãƒªãƒ¼ã‚¹ã§ã¯å‰Šé™¤ã•ã‚Œã‚‹äºˆå®šã¨ãªã£ã¦ã„ã¾ã™ï¼Žã¾ãŸï¼Œ aufs ドライãƒã«ã¤ã„ã¦ã‚‚,Docker 19.03を目処ã«éžæŽ¨å¥¨ã¨ã™ã‚‹ã“ã¨ãŒäºˆå®šã•ã‚Œã¦ã„ã¾ã™ï¼Žãƒ¦ãƒ¼ã‚¶ã¯ï¼Œå¯èƒ½ãªé™ã‚Šæ—©æœŸã« overlay2 ドライãƒãªã©ã«ä¹—ã‚Šæ›ãˆã‚‹ã“ã¨ãŒæŽ¨å¥¨ã•ã‚Œã¦ã„ã¾ã™ï¼Ž overlay2 ドライãƒã¸ã®ä¹—ã‚Šæ›ãˆæ–¹ã«ã¤ã„ã¦ã¯ Dockerã®ãƒ‰ã‚ュメントをã”覧ãã ã•ã„.
今後ã®ãƒªãƒªãƒ¼ã‚¹
Docker 17.03より18.06ã¾ã§ã¯edge版ãŒæ¯Žæœˆï¼Œstable版ãŒ3ヶ月毎ã«ãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã¦ã„ã¾ã—ãŸãŒï¼Œ18.09以é™ã¯ï¼Œ6ヶ月毎ã®ãƒªãƒªãƒ¼ã‚¹ãŒäºˆå®šã•ã‚Œã¦ã„ã¾ã™ï¼Ž
今後ã®ãƒªãƒªãƒ¼ã‚¹ã¸å‘ã‘,Docker・Mobyコミュニティã§ã¯ä¸»ã«ä»¥ä¸‹ã®ä½œæ¥ã«å–り組んã§ã„ã¾ã™:
RUN --mount=type=cacheãªã©ã®æ–°Dockerfile命令ã®æ£å¼æŽ¡ç”¨- éžrootユーザã§Docker daemonを実行å¯èƒ½ã¨ã™ã‚‹æ©Ÿèƒ½ (Rootless モード)
- containerdã¨ã®é‡è¤‡ã‚³ãƒ¼ãƒ‰ã®é™¤åŽ»ï¼Œè»½é‡åŒ–
ãŠã‚ã‚Šã«
ç§ãŸã¡NTTã¯ï¼Œã‚ªãƒ¼ãƒ—ンソースコミュニティã§å…±ã«æ´»å‹•ã™ã‚‹ä»²é–“を募集ã—ã¦ã„ã¾ã™ï¼Žãœã²å¼Šç¤¾ ソフトウェアイノベーションセンタ紹介ページåŠã³ï¼ŒæŽ¡ç”¨æƒ…å ±ãƒšãƒ¼ã‚¸ã‚’ã”覧ãã ã•ã„.
