データアプリケーションのコンテナ化と保守

by Canonical on 3 March 2025

信頼できるオープンソースのデータベースコンテナの導入

「クラウドネイティブこそ未来」と叫ぶのはそろそろやめましょう。このほどKubernetesが10周年を迎え、最新のCNCF Annual Surveyの回答者の76%が、本番環境の開発とデプロイの大部分またはすべてに、コンテナなどのクラウドネイティブ技術を採用していると報告しています。つまりクラウドネイティブは未来ではなく、現在なのです。

データを多用するワークロードも例外ではありません。それどころか、「The Voice of Kubernetes Experts Report 2024」によると、97%の組織がクラウドネイティブのプラットフォームでデータワークロードを実行し、データベースの72%、分析サービスの67%がKubernetes上で実行されています。

データベースコンテナにより、拡張性、柔軟性、運用の簡素化、コストの面で大幅な改善がもたらされます。しかし、このようなステートフルなソリューションを、複数のオープンソースコンポーネントで構築されることの多いコンテナ上で管理することは、サイト信頼性エンジニア、プラットフォームエンジニア、CISOに少なからず頭痛をもたらします。コンテナの導入には、かなりの複雑性に加え、セキュリティおよびコンプライアンス面のリスクが伴います。特に開発者が最新バージョンのオープンソースコンポーネントを使用してコンテナを構築する場合、イメージの出所が不明、攻撃対象領域が大きい、速やかなCVE修正がないなどの要因があるためです。

このブログ記事では、データコンテナのジレンマに対するCanonicalの答えを示します。つまり、安全に設計され、最小限でありながら完全に管理されたデータアプリケーションコンテナイメージのポートフォリオを作成しました。これにより、セキュリティを犠牲にしたり、運用を複雑化したりすることなく、クラウドネイティブアーキテクチャのメリットを最大限に享受できます。

Canonicalのデータベースコンテナ

Canonicalは、20年以上の経験から、オープンソースソフトウェアの保守に関してそれなりの知識を持っています。そしてこれはUbuntuだけでなく、広範なオープンソースエコシステム全体の36,000以上にも及ぶパッケージもその対象となっています。そして現在では、このようにして培ってきた業界をリードする専門知識をデータアプリケーションコンテナにも拡大しています。

これは具体的にどういうことなのでしょう。まずCanonicalは、業界のベストプラクティスに従い、最初からセキュリティを念頭に置いてエンタープライズグレードのコンテナイメージを設計しています。次に、コンテナに影響を与えるCVEを常に監視し、迅速に対処し、重大な脆弱性は平均24時間以内に修正します。さらにUbuntu Proでは最長12年まで各コンテナイメージを保守およびサポートします。

当社のデータベースコンテナはOCIに完全に準拠しているため、Azure Kubernetes Service（AKS）、Amazon Elastic Kubernetes Service（EKS）、Red Hat OpenShiftなど、OCIに準拠した任意のプラットフォーム上で実行できます。さらに、どのオペレーティングシステムでも実行できます。

Canonicalの目標は、信頼性が高く、安全に設計され、保守が行き届いたオープンソースコンテナを1社で提供し、組織の皆様に安心して実運用環境の導入していただくことです。イメージの出所は明確であり、最適かつ一貫したパッケージ化が行われています。また、更新やCVE修正が定期的に提供されます。

サプライチェーンのセキュリティは、かつてないほど重要になっています。その中核ともいえるのが、新たに施行されたEUのサイバーレジリエンス法（Cyber Resilience Act：CRA）であり、他の同様の規制もこれに追随する可能性があります。セキュリティバイデザインのCanonicalのコンテナは、このような規格に完全に対応しています。

さまざまなユーザーのニーズに応えるため、Canonicalのコンテナには2種類があります。一方は標準的なOCIコンテナで、アプリケーションの開発やデバッグのほか、ご希望のデータベースでアプリケーションを実行するために必要なものがすべて含まれています。もう一方は、攻撃対象領域を最小化した超小型コンテナで、「Chisel」と呼ばれるツールで生成します。

最小限のコンテナで攻撃対象領域を最小限に抑える

コンテナの世界ではサイズが重要です。コンテナイメージが大きくなるほど攻撃対象領域も大きくなるため、脆弱性の影響を受けやすくなります。このことを念頭に置き、当社はChiseledコンテナと呼ばれる最小限のデータベースコンテナイメージを作成しました。

Chiselで生成したコンテナは、ディストリビューションレスコンテナのコンセプトに基づいて構築されており、アプリケーションとそのランタイム依存関係のみを提供し、オペレーティングシステムレベルのパッケージ、ユーティリティ、ライブラリなどは提供しません。rootレスで、パッケージマネージャもシェルも含まれません。これによりフットプリントが最小化され、従来のコンテナと比較して攻撃対象領域が最大80%削減されます。また、通常のディストリビューションレスコンテナとは異なり、優れた運用上の柔軟性を持ち、Ubuntuエコシステムと互換性があります。Ubuntuベースのワークフローやツールとの強力な互換性を維持しているため、すでにUbuntuを使用している企業に最適ですが、どのようなOSでも実行できます。

Valkeyを例にとると、完全なValkeyコンテナのサイズが約320 MBであるのに対し、Chiselで生成したValkeyはわずか26.7 MBです。

Chiselコンテナはサイズが大幅に縮小され、潜在的な脆弱性と可能な攻撃手段の種類が本質的に減少するため、本番環境に最適です。同時に、サイズが削減されているという性質からイメージが軽量になり、CIパイプラインでの構築が高速化されるため、多くの場合、パフォーマンスが向上します。

必要なものがすべて1つのコンテナに

無駄を省いたコンテナは優れたものですが、拡張性が求められるユースケースでは、それだけでは不十分な場合もあります。ツール、ライブラリ、構成オプション、ライフサイクル管理、プラグインなど、あらゆる付加機能を備えた包括的なソリューションを必要とする組織もあるはずです。このようなシナリオに対応するため、当社のコンテナにはCharmを統合し、ソフトウェアオペレーターの利点によってイメージを補強しています。

Charmは、コンテナと統合して構成管理、監視、バックアップ、高可用性、自動化ツールを提供する完成されたソリューションであり、必要に応じて最も一般的な多数のプラグインも提供します。つまり、堅牢なコンテナのセットとデータベースの実行および運用に必要なすべてのもので構成された完全なソリューションを実現できます。

ユースケースに応じたカスタムデータベースコンテナ

クラウドネイティブの時代は、多くの場合、各企業が独自の要件に合わせて独自のコンテナを構築できる柔軟性が求められます。画一的なデータベースコンテナ構成では、あらゆる組織の多様なニーズに対応できるとは限りません。汎用のコンテナイメージは幅広い用途に適用することを想定して設計されていますが、あるワークロードにとって重要な特定のライブラリやコンポーネントが欠けている可能性があります。カスタムコンテナを構成することで、自社のユースケースに合わせて最適化され、社内ポリシーに準拠したソリューションを実現できます。

ただし、カスタムで構築されたイメージのセキュリティや一貫性、安定性を維持することは非常に困難で、時間のかかる作業です。そこで威力を発揮するのが、Canonicalのコンテナ構築サービスです。

コンテナ構築サービスでは、お客様に必要なデータソリューションに合わせた最小限かつ最適化されたコンテナをカスタム構築します。また、Ubuntuや上記の他のデータアプリケーションコンテナと同じ高度なセキュリティで最長12年間にわたりコンテナを保守します。コンテナ構築サービスを利用すれば、要件やユースケースを問わず、専門家がコンテナを構築し、セキュリティを維持します。

カスタムコンテナに関するご相談は、こちらからお問い合わせください。

Canonicalのデータソリューションの詳細については、こちらをご覧ください。