Docker Hubで利用可能な幅広いパブリックイメージを活用することで、開発者は開発ワークフローを加速し、生産性を向上させ、最終的には時計仕掛けのように実行されるスケーラブルなアプリケーションを出荷することができます。パブリックコンテンツを使用して構築する場合、適切な認証なしでそのコンテンツを使用することに関連する潜在的な運用リスクを認識することが重要です。
この投稿では、これらのリスクを軽減し、コンテナのセキュリティと信頼性を確保するためのベストプラクティスについて説明します。
公開コンテンツをローカルにインポートする
パブリックコンテンツをローカルにインポートすることには、いくつかの利点があります。 これにより、パブリック コンテンツ パイプラインの可用性と信頼性が向上し、CI ビルドの失敗から保護されます。 パブリックコンテンツをインポートすることで、イメージを簡単に検証、検証、展開して、ビジネスをより確実に運営できます。
このベストプラクティスの詳細については、Open Container Initiativeのパブリック コンテンツの利用に関するガイドをご覧ください。
パブリック・コンテンツを使用するためのアーティファクト・キャッシュの構成
もう1つのベストプラクティスは、パブリック・コンテンツを消費するように アーティファクト・キャッシュ を構成することです。 Azure Container Registry (ACR) の成果物キャッシュ機能を使用すると、プライベート ネットワークの場合でも、コンテナー成果物を独自の Azure Container Registry にキャッシュできます。 このアプローチでは、レート制限の影響が制限され、geo レプリケートされた ACR と組み合わせるとプルの信頼性が大幅に向上し、Azure リソースに最も近いリージョンから成果物をプルできます。
さらに、ACR には、プライベート ネットワーク、ファイアウォール構成、サービス プリンシパルなど、コンテナー ワークロードをセキュリティで保護するのに役立つさまざまなセキュリティ機能が用意されています。 ACR Artifact Cache でパブリック コンテンツを使用する方法の詳細については、 Artifact Cache の技術ドキュメントを参照してください。
パブリック・レジストリーを使用したプルの認証
Docker Hub へのプル要求は、 サブスクリプション の資格情報を使用して認証することをお勧めします。 Docker Hubは、パブリックライブラリのコンテンツを使用してビルドするときに認証する機能を開発者に提供します。 認証されたユーザーは、プライベートリポジトリから直接コンテンツを取得するためのアクセス権も持っています。詳細については、 Docker サブスクリプション のページを参照してください。 Microsoft Artifact Cache は、他のパブリック レジストリでの認証もサポートしており、コンテナー ワークロードのセキュリティの追加レイヤーを提供します。
Docker Hub のパブリック コンテンツを使用する際にこれらのベスト プラクティスに従うと、開発および運用サイクルにおけるセキュリティと信頼性のリスクを軽減できます。 パブリック・コンテンツをローカルにインポートし、アーティファクト・キャッシュを構成し、優先認証方法を設定することで、コンテナ・ワークロードの安全性と信頼性を確保できます。
コンテナの保護についてさらに詳しく
- Docker Scout を試して、イメージのセキュリティ リスクを評価します。
- 立ち上げて実行したいとお考えですか? クイックスタートガイドを使用してください。
- 質問がありますか? Docker コミュニティがお手伝いします。
- Docker Newsletter を購読して、Docker のニュースや発表の最新情報を入手してください。