第13章 コンテナーの使用

コンテナーには、ライブラリー、フレームワーク、その他の追加の依存関係など、必要なすべてのコンポーネントが含まれています。これらのコンポーネントは、独自の実行可能ファイル内で 分離 され、他に依存していません。Red Hat コンテナー認定は、オペレーティングシステムとアプリケーション層の両方のサポートを保証します。Red Hat コンポーネントの脆弱性スキャンとヘルスグレーディングによってセキュリティーが強化され、Red Hat またはパートナーコンポーネントが更新されるたびにライフサイクルコミットメントが提供されます。

ただし、特権 モードで実行されているコンテナー、つまり特権コンテナーは、範囲を拡大し、ホストと対話してコマンドを実行したり、ホストのリソースにアクセスしたりします。たとえば、ホストにマウントされたファイルシステムの読み取りまたは書き込みを行うコンテナーは、特権モードで実行する必要があります。

特権コンテナーはセキュリティーリスクを引き起こす可能性があります。特権コンテナーが侵害されると、そのホストと環境全体の整合性も侵害される可能性があります。

さらに、コマンド、ライブラリー、ABI、API などのオペレーティングシステムインターフェイスが時間の経過とともに変更または非推奨になる可能性があるため、特権コンテナーはホストとの非互換性の影響を受けやすくなります。これにより、特権コンテナーが、サポートされていない方法でホストと対話する危険にさらされる可能性があります。

ポリシーガイドに記載されているように、Red Hat によって承認されない限り、認定プロセス中はコンテナーを非特権モードで実行する必要があります。

コンテナーが、お客様の環境内のサポートされているホスト上で実行できることを確認する必要があります。Red Hat は、互換性を最大限に高めるために、Red Hat 製品のパブリックベータまたは以前のバージョンで、コンテナーをテストできる継続的統合モデルを採用することを推奨しています。