コンテナ化テクノロジーは、現代のアプリケーションの開発とスケーラビリティのバックボーンとなっています。企業はコンテナ化されたワークロードに依存しているため、DockerやKubernetesなどの主要なテクノロジーを理解することが不可欠です。

Dockerは、単一のホスト上でコンテナを作成、管理、共有する汎用性の高いプラットフォームです。Kubernetesは、複数ノードにまたがるコンテナクラスターの管理、展開、モニタリングを担当するコンテナオーケストレーションツールです。

この記事では、KubernetesやDockerなどのコンテナ化テクノロジーが、スケーラブルで回復力が高く、プラットフォームに依存しないアプリケーションのワークロードを管理する方法について説明しています。コンテナ、コンテナランタイム、オーケストレーションエンジンについて説明します。次に、KubernetesとDockerを併用するメリットについて取り上げています。

コンテナの概要

コンテナ化とは、エンジニアが、アプリケーションコードとアプリケーション固有の依存関係を、コンテナと呼ばれる軽量パッケージにグループ化できるようにするテクノロジーです。コンテナは、予想されるリソース消費量に基づいて、オペレーティングシステムとマシンリソース(CPUやRAMなど)を仮想化します。これが、今日の分散アプリケーションの多くがコンテナ上に構築されている理由です。各コンテナが独自のファイルシステムを持ち、リソースを共有しないことで、依存関係の競合を防いでいます。この点が仮想マシンとは異なります。仮想マシンは、オペレーティングシステムとリソースが事前に確保された、ホストのデジタルレプリカです。

コンテナランタイムとコンテナオーケストレーションエンジンを使用する理由

コンテナランタイムは、ホストオペレーティングシステム上でコンテナのライフサイクルを管理するソフトウェアコンポーネントです。コンテナオーケストレーションエンジンと連携して動作し、コンテナの分散クラスターを簡単かつ効率的に操作します。Dockerは、Kubernetesオーケストレーションエンジンとともに一般的に使用されるコンテナテクノロジーの1つです。

Kubernetesのようなコンテナオーケストレーションエンジン (COE) は、コンテナ管理を簡素化し、次のような複雑なタスクを自動化します。

  • 自動スケーリングコンテナ
  • ネットワークの設定
  • ロードバランシング
  • 正常性チェックの実行

COEは、コンテナ化されたワークロードの展開における効率的な運用を保証します。

DockerとKubernetesの概要

Docker

コンテナランタイムはDockerの重要なコンポーネントであり、コンテナを実行および管理するための環境を提供します。コンテナ化テクノロジーであるDockerは、人間が判読可能なインターフェースを提供します。このインターフェースは、Dockerクライアントと呼ばれ、コンテナランタイム(Containerd)と対話することでホストマシン上のワークロードを管理します。

Dockerクライアントには、次の2つのタイプがあります。

  • Docker compose:複数のコンテナで構成されるアプリケーションの管理に役立ち、単一コマンドでそれらのコンテナを開始または停止できます。
  • docker:コンテナを個別に管理して、開始、停止、または削除します。

Dockerは、以下のコンテナ化プロセスもサポートしています。

  • Dockerイメージは、Dockerfileと呼ばれる設定ファイルを使用して作成され、ステートレスアプリケーション(Dockerレジストリー)内に保存されます。イメージは、ローカルまたはクラウドで(例えば、DockerHubを通じて)ホストできます。
  • マウントポイントは、ホストファイルシステムのディレクトリまたはファイルがマウントされるファイルシステムです。コンテナを起動すると、Dockerはマウントポイントを作成し、カーネルにアラートを送信して、必要なCPU、メモリ、ディスク、およびホストポートを割り当てます。

Dockerには多くの長所がありますが、以下の点では制限があります。

  • 分散ノードにまたがるコンテナの複数クラスターの単一セッションでの管理。
  • マルチノード環境(自動スケーリングコンテナなど)での一括操作。

ただし、Kubernetesを使用して、コンテナ化されたワークロードをノードのクラスター全体で管理することで、これらの制限を克服できます。

Kubernetes

Kubernetesは、複数のホストにまたがるコンテナをコンテナランタイムインターフェース (CRI) を使用して管理する、強力なオーケストレーションツールです。KubernetesはCRIを使用して、Dockerなどのコンテナ化プラットフォームをサポートし、サーバーノード上のコンテナを作成、削除、管理できます。

Kubernetesは、展開などのリソースオブジェクトを使用して、アプリケーションポッドのグループ(コンテナの小規模クラスター)を1つのユニットとしてターゲットにすることで、クラスター管理を合理化します。これにより、単一コマンドで簡単に、ポッドのスケーリングやコンテナイメージの更新を行うことができます。

Kubernetesは、次の3つの異なる詳細度レベルでログを記録することで、クラスターに対する広範な可視性をオペレーターに提供します。

  • コンテナレベルのログは、アプリケーションからのstdoutstderrをキャプチャして生成されます。
  • ノードレベルのログは、アプリケーションのコンテナから収集され、各展開の設定に対して定義されたログローテーションポリシーに従って保持されます。
  • クラスターレベルのログは、etcdkube-proxyなどのKubernetesコンポーネントに関する詳細なインサイトを提供します。

詳細

このガイドでは、クラウドセキュリティのKubernetesの部分に焦点を当て、攻撃対象領域、セキュリティライフサイクル、12のベストプラクティスについて説明します。読む:Kubernetesセキュリティガイド

DockerとKubernetesを併用する理由

KubernetesとDockerは、互いに補完し合うテクノロジーです。両方のテクノロジーを組み合わせて統合することで、機能が向上し、大きなメリットを得ることができます。

  • 高可用性
  • 自動スケーリング
  • ストレージ
  • ダッシュボードのモニタリング

高可用性

単一のホストノード上でのみのコンテナ管理、およびサーバーの状態を変更できないというDockerの制限は、複数のノード間でコンテナをスケジュールできるKubernetesで打開できます。Kubernetesは、既存ノードのクラッシュや異常が発生した際に、新しいノードを展開します。このアプローチでは、バランスの取れたワークロード分散を維持することで、高可用性を常時確保します。

自動スケーリング

Kubernetesには、サーバークラスターでの自動スケーリングのサポートが組み込まれているため、ユーザーは複数のメトリック(CPUやRAM使用率など)のしきい値などのスケーリング基準を定義できます。これらのしきい値(例えば、高トラフィック、高CPU使用率)に達したときに、Kubernetesはコンテナを自動的にスケールアップできます。同様に、使用率がしきい値を下回った場合、コンテナをスケールダウンできます。これにより、コスト効率よく低遅延を維持できます。

ストレージ

コンテナは短期間しか維持されないことも珍しくありません。これに対処するために、Dockerはボリュームマウントとバインドマウントの2つの永続ストレージモードを提供しています。ただし、Kubernetesの場合は、コンテナからストレージレイヤーを抽象化することで、複数のストレージ統合オプションが使用可能になっています。これにより、以下のオプションが提供されます。

  • 非永続ストレージ
  • 永続ストレージ(ネットワークファイルシステム、ファイバーチャネルなど)
  • 短期ストレージ(emptyDirsやConfigMapsなど)

ダッシュボードのモニタリング

モニタリングは、今やアプリケーションライフサイクル管理に欠かせない機能となっています。Kubernetesは、さまざまなモニタリングダッシュボードの統合をサポートし、インシデントに迅速に対応するために必要な、堅牢なモニタリングメカニズムと迅速なアラートメカニズムを提供します。PrometheusとGrafanaのダッシュボードと視覚化は、マイクロサービスインフラストラクチャ全体のさまざまなメトリックのアラート、可視性、分析を備えた使いやすいインターフェースを提供しているため人気があります。

Example of Prometheus dashboard

Prometheusダッシュボード

サマリー

コンテナ化テクノロジーは、現代のアプリケーションに不可欠な要素となっています。DockerなどのコンテナプラットフォームとKubernetesなどのコンテナオーケストレーションエンジンは互いに補完し合い、連携してコンテナ管理を簡素化します。

Dockerは、アプリケーションをその依存関係と共にパッケージ化することで、複数環境におけるアプリケーション展開の問題を解決する軽量ソリューションです。Kubernetesは、その高度な機能でコンテナ化を活用し、複雑なワークロードを実行するクラスターの可視性と制御を幅広く実現します。

DockerとKubernetesを統合すると、大規模で複雑な分散エコシステムの展開とスケーリングが簡素化され、管理しやすくなります。