はじめに 前回は複数のパブリッククラウドのAPIと連携したコンテナ実行用ホストの起動についてご紹介いたしました。第3回となる今回はRancherの機能の中でも目玉といえる、コンテナ実行ホスト間のオーバーレイネットワークについて解説致します。 オーバーレイネットワークとは 通常Dockerを使用した場合、起動されたコンテナはホストの中に自動的に生成されるDocker用ネットワーク(docker0, 172.17.0.0/16)に自動的に接続されますが、このネットワークはあくまでホストの中だけで完結するネットワークであり、外部からアクセスしたり、別のDocker実行用ホスト内のDocker用ネットワークと相互に疎通することができません。 この制限はDockerを共通基盤とする際に大きな障壁となっており、現在さまざまなソリューションが発表されています。(TIS株式会社の松井様が非常にわかりやすく
20 Jul 2016 12:28pm, by Joab Jackson Dockerの専門家を困らせていた課題の一つは、内部のプロセスの権限に関わらず、Dockerコンテナ自体がroot権限で稼働している、という点。 Dockerメンテナーの一人、Jessie Frazelle(元Docker, 現Google)は、Dockerコミュニティの有識者(特にGnome関係)と共にこの課題に取り組んでいる人間の一人。 厳密に言うと、DockerはLinuxカーネルのrootコマンドを丸々使える環境を残しているわけではなく、半分以上のコマンドは落としているのが現状。さらに、Dockerは危険度の高いシステムコールなどもブロックしている。 それでも、Dockerのrunコマンドを実行するたびに ユーザに対して管理者権限を提供するためのsudo コマンドを実行する必要がある。これを逐一行う代わりに、
本稿は INTRODUCING DOCKER SECRETS MANAGEMENT(2017/2/9) の和訳記事です。 コンテナセキュリティ、Dockerセキュリティ、Secret Mnagement コンテナは我々のアプリとインフラストラクチャの見方を変えます。 コンテナの中のコードが大きくても小さくても、コンテナアーキテクチャはハードウェアに対するそのコードの振る舞いを変化させます。すなわち、根本的にコードはインフラストラクチャから抽象化されているのです。 Docker社は、コンテナセキュリティは3つの主要な項目で構成されており、それらによってアプリが本質的に安全になると信じています。 安全なアプリを構築するための重要な要素は、他のアプリやシステムと安全に通信する方法を持つことです。そのためは、通常はアプリケーションの機密データとして参照される、証明書・トークン・パスワード・その他形
本稿は DOCKER TO DONATE CONTAINERD TO THE CLOUD NATIVE COMPUTING FOUNDATION(2017/3/15) の和訳記事です。 本日、DockerがCloud Native Computing Foundation(CNCF)に対して、containerdプロジェクトを寄贈する事を発表。 Containerdに絡むタイムライン: 2016年12月:Dockerが自社のコンテナランタイム環境を独立したコンポーネントして切り離し、containerdと命名 2017年始め:containerdをDocker社とは別の独立した団体に寄贈することを表明 2017年3月15日:CNCFのポリシーに従い、CNCF TOC(Technical Oversight Committee)に対してCNCFプロジェクトとすべく案を提出 2017年3月末:
本稿は A Look Back at One Year of Docker Security (2016/4/20) の和訳です。 セキュリティは現在、コンテナのエコシステム内で最も重要なトピックの一つです。 我々のチームとコミュニティはこの一年間を通して、Dockerプラットフォームにセキュリティに焦点を当てた新しい機能や改善点を追加するべく励んできました。 セキュリティはプラットフォームの一部であるべき 企業はより多くのインフラをパブリックやプライベートのクラウドに移行するのに伴い、セキュリティは後から追加するのではなく、プラットフォームの基盤に組み込まれていなければならないことを実感しています。最初のDocker Security White Paper (Docker セキュリティ白書)とCIS Benchmark for Docker 1.6がリリースされてから一年たった今でも私
こんにちは。木内です。年末から十分に設定されていないMongoDBをターゲットにしデータを消去したうえで、復元料を要求する攻撃が続いています。最近同様の攻撃と思われるものが elasticsearch にも行われていることがわかりました。 [MongoDBに関する情報] ZDNet Japan - 「MongoDB」狙うランサムウェア攻撃で2万7000超のデータベースが被害に--研究者ら報告 http://japan.zdnet.com/article/35094721/ [elasticsearchに関する情報] Elastic Forum - Ransom attack on Elasticsearch cluster? https://discuss.elastic.co/t/ransom-attack-on-elasticsearch-cluster/71310 PC World
こんにちは。木内です。elasticsearchは分散アーキテクチャで可用性を確保するデータベースです。今回はelasticsearchクラスタでノード障害が起きたときに、どのような挙動を取るかについて解説します。 elasticsearchのプライマリシャードとレプリカシャード elasticsearchのデータを考える際に、キーとなる要素は「プライマリシャード」と「レプリカシャード」です。それぞれ以下のような役割を果たします。 プライマリシャード : ドキュメント(つまりインデックスに保存されるデータのうちの1つ)がelasticsearchに記録されるときに、あらかじめ定義された関数に従い、できるだけ分散されるようにプライマリシャードに配置されます。(elasticsearchクラスタの中に、インデックスごとに作成される)プライマリシャード数のデフォルト値は 5 です。 レプリカシャ
Neo4j Docker版を動かしてみました。Neo4j On Dockerは、コミュニティ版とエンタープライズ版がありますが、ここではコミュニティ版のNeo4j On Dockerを利用して起動方法などを簡略に紹介します。 事前準備 LinuxサーバーにDockerをインストールしてください。ここでは、AWSを使っています。 CentOS 7.2 Small Docker 1.12.2 Neo4j Community 3.0.6 ホストにDockerをインストールしましょう。 $ yum update -y $ sudo tee /etc/yum.repos.d/docker.repo <<-'EOF' [dockerrepo] name=Docker Repository baseurl=https://yum.dockerproject.org/repo/main/centos/7/
本稿は Docker Hub Hits 5 Billion Pulls(2016/8/11) の和訳記事です。 先週、Docker Hub Repository Service からのイメージ取得数の合計が50億回に達しました。2月からという短い期間で150%もの増加を成し遂げたのです。3年目のプロジェクトとしては非常に素晴らしい成果です。Docker Hubがデペロッパーの日常の一部となったのには次のような理由があるからなのです。 ・Docker Hubはレポジトリをホストし、高品質のイメージにアクセスすることができる安全で信頼のおける主流のサービスです。 ・レポジトリサービスはDocker Cloud repoを提供しています。実は、すでにお使いのコンテンツやサブスクリプションにも提供しています。 これは、65万以上の登録ユーザーが1分間に1万3000回以上もイメージを取得しているとい
本稿は Docker Built-In Orchestration Ready For Production: Docker 1.12 Goes GA(2016/7/28) の和訳記事です。 Docker1.12製品版が完成したことは、我々の大きなマイルストーンであり、これを実現するために多大なご協力をいただいたコミュニティの皆さまに感謝申し上げます。Docker1.12のリリースは、Dockerプロジェクト全体でみても最も多くの機能、最も洗練された機能を盛り込んだものになります。バージョン1.12のオーケストレーションのすべてにおいて、コア・アルゴリズム、Docker エンジンへの統合、ドキュメンテーション、テストに至るまで、Docker社内外の多数の技術者の方々が素晴らしい貢献をしてくれました。 コミュニティの皆さまにはフィードバック、バグ報告、新しいアイデアのご提案などでサポートいた
本稿は The 10 Most Common Questions IT Admins Ask About Docker(2016/7/27) の和訳記事です。 私たちは6週間の全行程で、HPE Discover、DockerCon、RedHat Summit 、Cisco Live など一連のイベントに参加しました!それぞれのイベントにおいてDockerの代表のひとりとして参加者とお話しすることができ、とてもうれしく思いました。IT運用部門で働いている人もいれば、開発部門で働いている人もいました。また、会社のインフラストラクチャチームでIT管理者として働いている多くの人々とも話をしました。そのうちに私は、そのような人たちが私にする質問に共通の傾向があることに気づきました。そこで私は考えたのです。IT管理者たちからの質問の中から最も多かったものを集めてリストを作ってみてはどうだろうかと。つま
こんにちは。木内です。先日の参議院選挙では自民党が改選議席の過半数を獲得し、勝利しました。昨今ではネットを活用した選挙活動も活発に行われています。 そこで今回はElasticsearchを活用して参議院選挙を振り返ってみましょう。 はじめに まずは分析のデータソースが必要です。今回はTwitter社が提供しているPublic stream( https://dev.twitter.com/streaming/public )を使用しました。Public streamの受信とElasticsearchへの書き込みにはApache Sparkを使用しています。以下は簡単なシステム構成図です。 Elasticsearchに取り込んだツイートはKibanaで簡単に見ることができます。以下はKibanaでPublicストリームのツイートを表示した例です。 Twitterで「選挙」が含まれるツイートを
本稿は BUILDING SERVERLESS APPS WITH DOCKER(2016/6/21) の和訳記事です。 時々、これまでのテクノロジーを陳腐化させる新しいテクノロジーの波に脅かされます。"サーバーレス"のアプリを書くためのテクニックについてこれまで非常に多く議論されて来ました。その考えは、あなたのアプリケーションを一連の機能のようにデプロイするもので、必要とされるときに動作する、オンデマンドと呼ばれるものです。この、オンデマンドと呼ばれるクラスタ上で動作する機能により、サーバーを管理する悩みから解放されるとともにその機能は必要なだけスケールします。 しかし、サーバーレスと言うことがDocker不要と言うことを意味するものではありません。事実、Dockerはサーバーを必要としないのです。Dockerを使うことによりこれらの機能をコンテナ化し、Swarm上でオンデマンドで動作さ
本稿は Docker Swarm Exceeds Kubernetes Performance at Scale (2016/3/9) の和訳です。 コンテナのオーケストレーションについては既に結論が出ていると、コミュニティで話す人が何人かいます。 現実 は真実を越えられません。500人以上を対象に行ったDevOpsとマイクロサービス、パブリッククラウドに関する最近の調査によって、Docker Swarm、Google Kubernetes、そして Amazon EC2 Container Service (ECS)の間でのオーケストレーションに関する競合の存在が明らかになりました。 あなたは今どのコンテナ・オーケストレーションツールとマネージメントツールを使っていますか? 回答数:501、無回答数:0 どのオーケストレーションツールが自分の環境にあっているかを考えるためには、次の三つのキ
本稿は Five Tips for the Advanced Swarm User (2016/3/10) の和訳です。 Jerome Petazzoniが出演しているオーケストレーション・チュートリアルのビデオ(orchestration tutorial video featuring Jérôme Petazzoni)に加え、Swarm clusterの作成や使用により慣れ親しんでいただけるよういくつかのヒントを紹介したいと思います。 ヒント1:ラベルのチートシート 各Docker Engineにはdisk=ssdのような任意の文字列ラベルをひとつ以上付けることができます。そうしておくことで、docker run コマンドの制限(constraint)に同じラベルを指定すると、どこにコンテナをスケジュールするかを制御できます。 ラベルや制限の利用方法を思い出すためのチートシートが必要
本稿は Docker containerd integration (2016/4/13) の和訳です。 より高性能かつ小型化された優れた Docker エンジンを開発するには、既存の Docker エンジンのコンポーネントの中の幾らかを改良する必要があり、それぞれをプロジェクト化し研究するに至っています。 そのうちの一つが、コンテナ管理を行う Docker ランタイムです。runc のような独立したランタイムを使うにあたり、アプリケーション・スタックはもちろん 100 を超えるコンテナ管理にruncを追加するには、明確な統合ポイントが必要です。 コンテナ監視を Docker エンジン本体から別のデーモンに移す仕組みの開発を目的とした containerd プロジェクトを始動しました。 containerdは、OCI バンドルの起動とそのライフサイクル管理を完全にサポートします。 これによ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く