Google、Dockerデーモンに依存せずコンテナイメージをビルドできる「kaniko」オープンソースで公開

Googleは、Dockerデーモンに依存せず、ユーザー空間内でDockerfileからコンテナイメージをビルドできるツール「kaniko」をオープンソースで公開しました。

通常、Dockerfileからコンテナイメージをビルドするには、Dockerデーモンにアクセスする必要があります。Dockerデーモンは実行にルート権限を必要とするため、ルート権限に簡単にアクセスできない環境、例えばKubernetesクラスタ内のDockerコンテナ環境などではコンテナイメージのビルドが難しいとされてきました。

オープンソースで公開されたツール「kaniko」は、この課題を解決するために開発されたとGoogleは説明しています。

With kaniko, we both build an image from a Dockerfile and push it to a registry. Since it doesn’t require any special privileges or permissions, you can run kaniko in a standard Kubernetes cluster, Google Kubernetes Engine, or in any environment that can’t have access to privileges or a Docker daemon.

kanikoを用いることで、（ルート権限へのアクセスがあってもなくても）どちらでもDockerfileからコンテナイメージをビルドし、レジストリへプッシュできます。というのも、kanikoは特権的なアクセス権限を必要とせず、標準的なKubernetesクラスタやGoogle Kubernetes Engineやそのほか特権的なアクセス権限やDockerデーモンにアクセスできないあらゆる環境でも実行できるからです。

Dockerデーモンに依存せずにコンテナイメージをビルドできるツールはすでにimgとorca-buildなどがあります。下記では、kanikoがこの2つとどのように異なるのかについて説明されています。

The img tool builds as an unprivileged user within a container, while kaniko builds as a root user within a container in an unprivileged environment. The orca-build tool executes builds by wrapping runc, which uses kernel namespacing techniques to execute RUN commands. We're able to accomplish the same thing in kaniko by executing commands as a root user within a container.

imgツールはコンテナ内で非特権ユーザーとしてビルドを行いますが、kanikoは非特権環境においてコンテ内でルートユーザーとしてビルドします。orca-buildツールはruncをラッピングすることによりビルドを実行します。これはRUNコマンドを実行するためのカーネル名前空間のテクニックです。私たちもkanikoで同様のことをコンテナ内でルートユーザーとしてコマンドを実行するために行っています。

カテゴリ　Docker / コンテナ / 仮想化
タグ　 Docker , Google , Kubernetes

前の記事
Kubernetesを統合した「Docker Enterprise Edition 2.0」正式版リリース。コンテナランタイム、オーケストレーション、ネットワーク機能などを含む総合コンテナソリューション

カテゴリ

• クラウド
• Docker / コンテナ / 仮想化
• 開発ツール / 言語 / プログラミング
• DevOps / アジャイル開発
• 運用ツール / システム運用
• Web技術 / JavaScript
• Windows / Linux / OS
• サーバ / ストレージ / ネットワーク
• RDB / NoSQL / ミドルウェア
• 機械学習 / AI / ビッグデータ
• 業務アプリケーション / Office
• 働き方 / 給与 / 学び
• 業界動向 / IoT / その他
• 編集後記 / おもしろ
• 殿堂入り / オススメ

Blogger in Chief

Junichi Niino（jniino）
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
（詳しいプロフィール）

Publickeyの新着情報をチェックしませんか？
Twitterで ： @Publickey
Facebookで ： Publickeyのページ
RSSリーダーで ： Feed

新着記事 10本

• Google、Dockerデーモンに依存せずコンテナイメージをビルドできる「kaniko」オープンソースで公開
• Kubernetesを統合した「Docker Enterprise Edition 2.0」正式版リリース。コンテナランタイム、オーケストレーション、ネットワーク機能などを含む総合コンテナソリューション
• AWSを基盤に用いたレンタルサーバ「Zenlogicホスティング Powered by AWS」提供開始、ファーストサーバ
• オープンソース版Cassandraよりレイテンシ半分、スループット2倍の商用版Cassandra「DataStax Enterprise 6」リリース
• パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ
• NGINX Unitが正式リリース。PHP、Go、Pythonなどに対応した軽量アプリケーションサーバ
• Go言語がWebAssemblyをサポートへ。GOARCHは「wasm」、GOOSは「js」に
• インテルのFPGA、富士通とDell EMCが採用しx86サーバへ搭載。XeonとFPGAの統合へ第一歩
• Mozillaが「WebAssembly Studio」発表。C/Rust/AssemblyScript対応のオンラインIDE
• Open Container Initiative（OCI）がDockerイメージの配布プロトコル標準化に着手。事実上の標準であるDocker Registry HTTP API V2をベースに

PR - Books