コンテナ化されたセキュアなCephとUbuntuのコンテナイメージ

by Canonical on 10 August 2023

Cephalocon 2023(オランダ・アムステルダム)で発表したように、CanonicalはCephのコンテナイメージを公開しました。これによってUbuntuでCephを使用している、またはCephをデプロイしたい平均的なCephユーザーにどんな影響があるのか、ブースには多くの質問が寄せられました。

このブログ記事では、CephのコンテナイメージをUbuntuで実行するユーザーのメリットと、それらが具体的にどのようにセキュリティを改善するかを解説します。

OCIとは

OCIイメージ(Open Container Initiative)とは、対応する各種のホスト環境で使用可能な標準化されたソフトウェアコンテナです。長年、ソフトウェアの配布には通常のパッケージが使用されてきました。しかし、環境によっては、言語ランタイム、システムライブラリ、その他の依存ファイルが異なり、使用したいソフトウェアとの協調がテストされていない場合があります。

ソフトウェアコンテナは、ソフトウェアとそれを取り巻く環境の両方をカプセル化することで、この問題を解決します。これによりユーザーは、多くのパッケージを管理することなく、必要なソフトウェアを含むコンテナイメージからインスタンス化した1つのコンテナを実行するだけで済みます。イメージのプロバイダー(この場合はCanonical)は、周辺のオペレーティングシステムとCephオーケストレーションツールを使用して互換性テストを実行するだけでなく、イメージ内のパッケージを速やかに更新します。これが最も重要な点です。

Ubuntuのコンテナイメージを使用する理由

コンテナレジストリからダウンロードするコンテナイメージの出所を知ることは、ユーザーにとって重要です。そしてもちろん誰でも、豊富なコンテナレジストリのいずれかにイメージを公開することができます。

Cephに関して言えば、アップストリームの開発チームは複数のコンテナイメージを提供し、Cephの最新の数リリースをサポートしています。これらのイメージは大手コンテナレジストリのquay.ioで公開されているため、その出所を信用することができます。

しかし、実運用環境でパッチが絶対に必要なのに、アップストリームがまだ修正ファイルを公開していない場合はどうすれば良いのでしょう? 親切なユーザーがパッチ済みのイメージを公開してくれるかもしれませんが、信用できるでしょうか? 他のパッケージが追加されているかもしれませんし、セキュリティバグのある旧いバージョンが誤って混ざっているかもしれません。

Ubuntu Pro + インフラサポートは、幅広いオープンソースソフトウェアに対して通常は24時間以内にホットフィックスを作成できるCephのプロを集め、この状況に対応しています。これならパッチ済みの信用できるコンテナイメージを提供できます。

Ubuntuリポジトリとスポンサー付きのコンテナレジストリを通じて、Canonicalは自社ソフトウェアのユーザーに修正ファイルをアップストリームプロジェクトより速く提供します。

Ubuntu OCIとアップストリームイメージの違い

提供されるCeph OCIは、cephadmで管理されるCephクラスターと完全な互換性を持ちます。またCanonicalは、Rookでデプロイされたクラスターとの完全な互換性にも努めています。

唯一の違いは、CanonicalがUbuntuリポジトリに含まれるCephパッケージを使用してイメージを構築することです。このためCanonicalはイメージのコンテンツに関して完全な知識と制御力を持ち、パッチが緊急に必要な場合に特に力を発揮します。

またCanonicalは、Ubuntu上のCephの最新バージョンでテストを実行し、パッケージを使用したインストールと、cephadmやRookによるコンテナを使用したデプロイの両方に対応しています。

入手方法

現在、GitHubのコンテナレジストリ(こちら)でイメージを公開しています。

使用方法

以下の2つの方法でテスト済みです。

  1. Cephadm – インストール方法はこちら
  2. Rook – インストール方法はこちら

イメージの使用についてご不明な点があれば、Cephに関するディスコースページ(こちら)をご覧ください。

詳細情報

ニュースレターのサインアップ

Ubuntuニュースレターの配信登録

お客様が購読登録を行われる場合、以下の条件に同意されたことになります。Canonicalのプライバシーに関するお知らせ個人情報保護ポリシー

関連記事

AI対応のCephストレージ

オープンソースのCephストレージでAIビジョンを強化 今やあらゆる企業がAIの活用に関心を持っています。既存のデータから業務の分析情報や利益を引き出し、コストを削減できることから、AI技術は変化に消極的な企業にさえ驚くほどの速度で広がっています。 しかしこのような情報、節約、利益をもたらすAIシステムは大量のデータへのアクセスに依存します。性能と信頼性の高いストレージシステムがなければ、たとえ最先端のAIソリューションでも速やかに結果は出せません。しかも新しいAI関連のワークロードが既存のビジネスアプリケーションに影響を与えてはなりません。どちらも協調して動作する必要があります。 このブログ記事では、AIソリューションが必要とするストレージシステムおよび使用するデータの […]

CentOSのサポート終了(EOL)– Cephストレージへの影響は?

暗闇から光の中へ、新たな前進 2020年に、CentOS ProjectはCentOS Streamのみに注力することを発表しました。つまりCentOS 7がRed Hat Enterprise Linuxと共通性を持つ最後のリリースです。2024年6月30日のCentOS 7のサポート終了(EOL)により、OSのセキュリティ更新、パッチ、新機能のリリースがなくなります。 このバージョンのCentOSにCephをデプロイすると、将来の困難は見えています。EOLの課題を切り抜ける方法はいくつかありますが、それぞれに短所があります。 リスク 何もしなければ、デプロイメントが古くなるにつれてCephの新しいバージョンにアップグレードする道がなくなり、新しい機能を得られなくなりま […]

クラウドストレージのセキュリティに関するベストプラクティス

Cephのセキュリティ機能でデータを保護 クラウドストレージシステムにデータを安全に保存するには データはあらゆる組織にとって貴重な資産であり、紛失や漏洩は大惨事になりかねません。システム障害を防げなければ、業務データを失い、営業不能に陥って経営破綻に至る可能性もあります。機密データが漏洩すれば、企業は評判を落とすだけでなく巨額の罰金を科されます。 今回のブログ記事では、こうしたリスクに注目するとともにCephのセキュリティ機能でリスクを軽減する方法を説明します。まず、最も一般的なデータ侵害の例を挙げましょう。 物理的な盗難/輸送 ストレージ関連のハードウェア、ディスク、またはストレージシステム全体が失われると、機密情報が漏洩する可能性があります。たとえば従来の盗難です。 […]