2.9. コンテナーのデプロイ
各種の手法を使用して、デプロイするコンテナーが最新の実稼働に適した品質のコンテンツを保持し、改ざんされていないことを確認することができます。これらの手法には、最新のコードを組み込むためのビルドトリガーのセットアップやコンテナーが信頼できるソースから取得され、変更されないようにするための署名の使用が含まれます。
2.9.1. トリガーによるコンテナーデプロイメントの制御
ビルドプロセスで何らかの問題が生じる場合や、イメージのデプロイ後に脆弱性が発見される場合に、自動化されるポリシーベースのデプロイのためのツールを使用して修復できます。イメージの再ビルドおよび置き換えはトリガーを使用して実行し、イミュータブルなコンテナーのプロセスを確認できます。実行中のコンテナーにパッチを当てる方法は推奨されていません。
たとえば、3 つのコンテナーイメージ層 (コア、ミドルウェア、アプリケーション) を使用してアプリケーションをビルドするとします。コアイメージに問題が見つかり、そのイメージは再ビルドされました。ビルドが完了すると、イメージは OpenShift Container レジストリーにプッシュされます。OpenShift Container Platform はイメージが変更されたことを検知し、定義されたトリガーに基づいてアプリケーションイメージを自動的に再ビルドし、デプロイします。この変更には修正されたライブラリーが組み込まれ、実稼働コードが最新のイメージと同じ状態になります。
oc set triggers
コマンドを使用してデプロイメントトリガーを設定できます。たとえば、deployment-example という名前のデプロイメントのトリガーを設定するには、以下を実行します。
$ oc set triggers deploy/deployment-example \ --from-image=example:latest \ --containers=web
2.9.2. イメージソースのデプロイの制御
重要な点として、対象とするイメージが実際にデプロイされていることや、組み込まれているコンテンツを持つイメージが信頼されるソースからのものであること、またそれらが変更されていないことを確認できる必要があります。これは、暗号による署名を使用して実行できます。OpenShift Container Platform では、クラスター管理者がデプロイメント環境とセキュリティー要件を反映した (広義または狭義のものを含む) セキュリティーポリシーを適用できます。このポリシーは、以下の 2 つのパラメーターで定義されます。
- 1 つ以上のレジストリー (オプションのプロジェクト namespace を使用)
- 信頼タイプ (accept、reject、または require public key(s))
これらのポリシーパラメーターを使用して、レジストリー全体、レジストリーの一部、または個別のイメージに対して信頼関係を許可、拒否、または要求することができます。信頼されたパブリックキーを使用して、ソースが暗号で検証されていることを確認できます。このポリシールールはノードに適用されます。ポリシーは、すべてのノード全体に均一に適用されるか、異なるノードのワークロード (例: ビルド、ゾーン、または環境) ごとにターゲットが設定される場合があります。
イメージ署名ポリシーファイルの例
{ "default": [{"type": "reject"}], "transports": { "docker": { "access.redhat.com": [ { "type": "signedBy", "keyType": "GPGKeys", "keyPath": "/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release" } ] }, "atomic": { "172.30.1.1:5000/openshift": [ { "type": "signedBy", "keyType": "GPGKeys", "keyPath": "/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release" } ], "172.30.1.1:5000/production": [ { "type": "signedBy", "keyType": "GPGKeys", "keyPath": "/etc/pki/example.com/pubkey" } ], "172.30.1.1:5000": [{"type": "reject"}] } } }
ポリシーは /etc/containers/policy.json
としてノードに保存できます。このファイルのノードへの保存は、新規の MachineConfig
オブジェクトを使用して実行するのが最適な方法です。この例では、以下のルールを実施しています。
-
Red Hat レジストリー (
registry.access.redhat.com
) からのイメージは Red Hat パブリックキーで署名される必要がある。 -
openshift
namespace 内の OpenShift Container レジストリーからのイメージは Red Hat パブリックキーで署名される必要がある。 -
production
namespace 内の OpenShift Container レジストリーからのイメージはexample.com
のパブリックキーで署名される必要がある。 -
グローバルの
default
定義で指定されていないその他すべてのレジストリーは拒否される。
2.9.3. 署名トランスポートの使用
署名トランスポートは、バイナリーの署名 Blob を保存および取得する方法です。署名トランスポートには、2 つのタイプあります。
-
atomic
: OpenShift Container Platform API で管理される。 -
docker
: ローカルファイルとして提供されるか、Web サーバーによって提供される。
OpenShift Container Platform API は、atomic
トランスポートタイプを使用する署名を管理します。このタイプの署名を使用するイメージは OpenShift Container レジストリーに保存する必要があります。docker/distribution extensions
API はイメージ署名のエンドポイントを自動検出するため、追加の設定は不要になります。
docker
トランスポートタイプを使用する署名は、ローカルファイルまたは Web サーバーによって提供されます。これらの署名には柔軟性があります。任意のコンテナーレジストリーからイメージを提供でき、バイナリー署名の送信に個別のサーバーを使用することができます。
ただし、docker
トランスポートタイプの場合には追加の設定が必要です。任意に名前が付けられた YAML ファイルをホストシステムのディレクトリー (/etc/containers/registries.d
) にデフォルトとして配置し、ノードを署名サーバーの URI で設定する必要があります。YAML 設定ファイルには、レジストリー URI および署名サーバー URI が含まれます。署名サーバー URI は、sigstore とも呼ばれます。
registries.d ファイルの例
docker: access.redhat.com: sigstore: https://access.redhat.com/webassets/docker/content/sigstore
この例では、Red Hat レジストリー (access.redhat.com
) は、docker
タイプのトランスポートの署名を提供する署名サーバーです。Red Hat レジストリーの URI は、sigstore
パラメーターで定義されます。このファイルに /etc/containers/registries.d/redhat.com.yaml
という名前を付け、Machine Config Operator を使用してこのファイルをクラスター内の各ノード上に自動的に配置することができます。ポリシーと registries.d
ファイルはコンテナーのランタイムで動的に読み込まれるため、サービスを再起動する必要はありません。
2.9.4. シークレットおよび config map の作成
Secret
オブジェクトタイプはパスワード、OpenShift Container Platform クライアント設定ファイル、dockercfg
ファイル、プライベートソースリポジトリーの認証情報などの機密情報を保持するメカニズムを提供します。シークレットは機密内容を Pod から切り離します。シークレットはボリュームプラグインを使用してコンテナーにマウントすることも、システムが Pod の代わりにシークレットを使用して各種アクションを実行することもできます。
たとえば、プライベートイメージリポジトリーにアクセスできるように、シークレットをデプロイメント設定に追加するには、以下を実行します。
手順
- OpenShift Container Platform Web コンソールにログインします。
- 新規プロジェクトを作成します。
-
Resources
Secrets に移動し、新規シークレットを作成します。 Secret Type
をImage Secret
に、Authentication Type
をImage Registry Credentials
に設定し、プライベートイメージリポジトリーにアクセスするために必要な認証情報を入力します。 -
デプロイメント設定を作成する場合 (例: Add to Project
Deploy Image ページに移動する)、 Pull Secret
を新規シークレットに設定します。
config map はシークレットに似ていますが、機密情報を含まない文字列の使用をサポートするように設計されています。ConfigMap
オブジェクトは、Pod で使用したり、コントローラーなどのシステムコンポーネントの設定データを保存するために使用できる設定データのキーと値のペアを保持します。
2.9.5. 継続的デプロイメントの自動化
独自の継続的デプロイメント (CD) のツールを OpenShift Container Platform に統合することができます。
CI/CD および OpenShift Container Platform を利用することで、アプリケーションの再ビルドプロセスを自動化し、最新の修正の組み込み、テスト、および環境内の至るところでのデプロイを可能にします。