[Azure]コンテナセキュリティ

-

コンテナー

コンテナーとは仮想化の一種で、アプリケーションのコードと関連する構成ファイルおよびライブラリ、そのアプリの実行に必要な依存関係などがまとめられた状態で実行できるため、さまざまな環境にデプロイできる。

また、コンテナーを仮想化し、1つのOS上で複数のコンテナーを起動することができる。これにより従来のサーバー仮想化よりも、手軽に素早くアプリケーションの展開、移動、削除などが可能になる。

Azureコンテナーの主なサービス

ACI (Azure Container Instances)

ACIはAzure上でコンテナーを動作させる環境で、タスクの自動化、ジョブの作成などの様々なシナリオ向けのソリューションを提供する。

ACIを構成する要素
  • イメージ
    コンテナーを構成する元になる要素で、OSとの関係性を維持するための情報やミドルウェア、実行環境などを含む。
  • Dockerfile
    イメージに必要な構成情報を定義するファイル。
  • コンテナー
    イメージから生成される実際のアプリケーションを含む環境。
  • コンテナーグループ
    複数のコンテナーを組み合わせてグループ化したもの。
  • Azure Container Registry
    イメージを登録してACIで利用する際の保存場所になる。認証などのセキュリティ制御を加えることができる。

Azure Container Registry

Azure Conteiner Registryを構成する要素
  • レジストリ
    レジストリを使用してイメージの登録と配布を行う。
  • リポジトリ
    レジストリ内のイメージをグループ化する。レジストリ内のイメージをまとめて、所有権の識別や管理に利用する。
  • アーティファクト
    リポジトリ内の個別のイメージを指す。
SKU (サービスレベル)毎の機能と制限

サービスレベルはBasic、Standard、Premiumの3種類で以下のように機能や制限が異なる。

リソース Basic Standard Premium
記憶域(GiB) 10 100 500
ストレージ制限(TiB) 20 20 20
ReadOps / 1m 1,000 3,000 10,000
WriteOps / 1m 100 500 2,000
ダウンロード帯域幅(Mbps) 30 60 100
アップロード帯域幅(Mbps) 10 20 50
Geoレプリケーション
可用性ゾーン
イメージの署名
アクセス制御

Azure Container Registryはロールベース(RBAC)によるアクセス制御が可能になっている。主なロールと役割は以下の通り。

Role Push Pull Delete Sign
Owner (開発者)
Contributor (共同作成者)
Reader (閲覧者)
AcrPush
AcrPull
AcrDelete
AcrImageSigner
  • AcrImageSignerはイメージに署名をつける際に必要になるロール。安全なイメージを配布するためにはイメージをに署名をつけることで安全性を確保できる。

AKS (Azure Kubernetes Service)

Kubernetesは、コンテナーのデプロイやスケーリングといった作業を管理する仕組みを提供する。

大規模なコンテナーを利用したアプリケーションでは、複数のノード上でコンテナーを動作させる必要があり、さらに状況に応じてスケーリングが必要となる。そういった作業を事前に定義し、維持できるように自動で制御する仕組みを提供する。

AKSの主な機能

クラスターマスター

クラスターマスターは、AKSを構成すると自動で作成される。以下のコンポーネントを持つ。

  • kube apiserver
    APIサーバーは管理ツールに対する操作を提供する。
  • etcd
    クラスターの構成情報を保持するKeyValueストアを持ち、データベースの役割を担う。kube apiserverにより操作される。
  • kube-scheduler
    アプリケーションの作成、およびスケジュールを行い、ワークロードの開始を判定する。
  • kube-controller-manager
    ポッドの状態を管理して調整を行う。

AKSのセキュリティ

Azure ADによるアクセス制御

AKSクラスターを作成すると、自動的にサービスプリンシパルが作成される。AKSでContainer Registryを利用する場合は、このサービスプリンシパルにContainer Registryへのアクセス権を与えてやることでアクセスが可能となる。

RoleBinding

RoleBindingを利用すると、AKSのロールをAzure ADのユーザーやグループに割り当てを行うことができる。ロールで指定した名前空間に対してい、権利の割り当てが可能になる。

ClusterRoleBinding

ClusterRoleBindingを利用すると、クラスター全体の管理権をAzure ADユーザーやグループに対して割り当てることができる。

コメント

コメントを投稿

このブログの人気の投稿

docker-compose up で proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host

-
いつものように docker-compose コマンドでコンテナを起動し作業しようとしたところ、件名のエラーが発生するようになりました。 特に何も構成等を変更した覚えはないのですが、調査・復旧したので対応した内容をまとめておきます。 環境、バージョン等 $ cat /etc/issue Ubuntu 20.04.3 LTS \n \l $ docker --version Docker version 20.10.8, build 3967b7d $ docker-compose --version docker-compose version 1.26.0, build d4451659 発生事象 コンテナを起動する docker-compose up -d でコンテナを起動します。 $ docker-compose up -d Pulling mysql (mysql:5.7)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host 「プロキシーサーバーが見つからない」と言われているようですが、全く見に覚えがありませんでした。 テスト用Dockerプロジェクトで試す 以前の記事 で紹介したテスト用プロジェクトでも一応試したましたが同様のエラーでした。 $ docker-compose up -d Pulling web (nginx:alpine)... ERROR: Get "https://registry-1.docker.io/v2/": proxyconnect tcp: dial tcp: lookup proxy.example.com: no such host Docker ログイン Dockerへのログインを試したところ、こちらも同様のエラーが出ました。 $ docker login Authenticating with existing credentials... Login did not succeed, error: Error response from daemon: G
Read more »

docker-compose で起動したweb、MySQLに接続できない事象

-
イメージ
概要 以前作成したPHP + MySQL + LaravelのDockerプロジェクトがコンテナを立ち上げても画面にアクセスできなくなってしまったときの解決方法です。 以前の記事は以下です。 【Laravel + MySQL】Dockerで開発環境を作る https://www.s-watanabe.work/2020/12/laravel-mysqldocker.html 発生事象 コンテナを起動 $ docker-compose up -d Starting laravel-project_mysql_1 ... done Starting laravel-project_app_1 ... done Starting laravel-project_web_1 ... done ブラウザでアクセス いつものようにブラウザでアクセスしますが接続できません。 http://localhost:8000 ※この時Docker側のログには何も出力されません。 MySQLへ接続 MySQLも確認してみましたが同じく接続できなくなりました。 $ mysql -h 127.0.0.1 -u user -ppassword -D test mysql: [Warning] Using a password on the command line interface can be insecure. ERROR 2013 (HY000): Lost connection to MySQL server at 'reading initial communication packet', system error: 2 調査・確認 まず以下の記事を参考に新規のDockerプロジェクトが起動・接続できるかを確認しました。 https://www.digitalocean.com/community/tutorials/how-to-install-and-use-docker-compose-on-ubuntu-20-04-ja # docker-compose はインストール済み $ docker-compose --version docker-compose version 1.26.0, build d
Read more »

【PHP】PHP_CodeSnifferを使う(コーディングルールのカスタマイズ)

-
phpcsを社内独自のコーディン規約などにあわせてカスタマイズする方法をまとめます。 インストールディレクトリ 以下のディレクトリにインストールされてます。 ~/.composer/vendor/squizlabs/php_codesniffer/ -rw-r--r-- 1 638 10 28 13:36 CONTRIBUTING.md -rw-r--r-- 1 187 11 26 12:08 CodeSniffer.conf.dist -rw-r--r-- 1 6399 10 28 13:36 README.md -rw-r--r-- 1 10085 10 28 13:36 autoload.php drwxr-xr-x 6 192 10 28 13:36 bin -rw-r--r-- 1 1083 10 28 13:36 composer.json -rw-r--r-- 1 1533 10 28 13:36 licence.txt -rw-r--r-- 1 6280 10 28 13:36 phpcs.xml.dist -rw-r--r-- 1 7054 10 28 13:36 phpcs.xsd -rw-r--r-- 1 340 10 28 13:36 phpstan.neon drwxr-xr-x 5 160 10 28 13:36 scripts drwxr-xr-x 16 512 10 28 13:36 src drwxr-xr-x 9 288 10 28 13:36 tests 設定ファイルを用意する CodeSniffer.conf.dist が雛形なのでこれをcpしてやればOKです。 cd ~/.composer/vendor/squizlabs/php_codesniffer/ cp CodeSniffer.conf.dist CodeSniffer.conf コーディングルールのカスタマイズ CodeSniffer.conf <?php $phpCodeSnifferConfig = array ( 'default_standard' => 'PSR2', 'repo
Read more »