Download as PDF, PPTX
More Related Content
![[CNDT] 最近のDockerの新機能](https://cdn.slidesharecdn.com/ss_thumbnails/cndt2019-docker-new-features-190723061205-thumbnail.jpg?width=640&height=640&fit=bounds)
![[Container Runtime Meetup] runc & User Namespaces](https://cdn.slidesharecdn.com/ss_thumbnails/publicruncusernamespacescontainerruntimemeetup1-190924085316-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to [Docker Tokyo #35] Docker 20.10
![20260201 [FOSDEM] gomodjail - library sandboxing for Go modules.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20260201fosdemgomodjail-librarysandboxingforgomodules-260201225659-76609ec4-thumbnail.jpg?width=640&height=640&fit=bounds)
![20260131 [FOSDEM] Lima v2.0 - expanding the focus to hardening AI.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20260131fosdemlimav2-260131212328-ef9b5bd7-thumbnail.jpg?width=640&height=640&fit=bounds)
![20251113 [KubeCon NA Pavilion] Lima.pdf_](https://cdn.slidesharecdn.com/ss_thumbnails/20251113kubeconnapavilionlima-251118062725-9c747344-thumbnail.jpg?width=640&height=640&fit=bounds)
![20251112 [KubeCon NA Pavilion] containerd.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20251112kubeconnapavilioncontainerd-251118062621-dc2f32fd-thumbnail.jpg?width=640&height=640&fit=bounds)
![20250617 [KubeCon JP 2025] containerd - Project Update and Deep Dive.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20250617kubeconjp2025containerd-projectupdateanddeepdive-250620055239-aff5a825-thumbnail.jpg?width=640&height=640&fit=bounds)
![20250616 [KubeCon JP 2025] VexLLM - Silence Negligible CVE Alerts Using LLM.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20250616kubeconjp2025vexllm-silencenegligiblecvealertsusingllm-250620055151-3a47410f-thumbnail.jpg?width=640&height=640&fit=bounds)
![20250403 [KubeCon EU] containerd - Project Update and Deep Dive.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20250403kubeconeucontainerd-projectupdateanddeepdive-250414182040-d3cc2825-thumbnail.jpg?width=640&height=640&fit=bounds)
![20250403 [KubeCon EU Pavilion] containerd.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20250403kubeconeupavilioncontainerd-250414181840-cdae37f6-thumbnail.jpg?width=640&height=640&fit=bounds)
![20250402 [KubeCon EU Pavilion] Lima.pdf_](https://cdn.slidesharecdn.com/ss_thumbnails/20250402kubeconeupavilionlima-250414181749-38a1f070-thumbnail.jpg?width=640&height=640&fit=bounds)
![20241115 [KubeCon NA Pavilion] Lima.pdf_](https://cdn.slidesharecdn.com/ss_thumbnails/20241115kubeconnapavilionlima-241126155415-98be49e8-thumbnail.jpg?width=640&height=640&fit=bounds)
![20241113 [KubeCon NA Pavilion] containerd.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20241113kubeconnapavilioncontainerd-241126154829-7a8fdf60-thumbnail.jpg?width=640&height=640&fit=bounds)
![20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...](https://cdn.slidesharecdn.com/ss_thumbnails/20240415containerplumbingdaysusernetesgen2-kubernetesinrootlessdockerwithmultiplenodes-240415184952-ea0dfb7a-thumbnail.jpg?width=640&height=640&fit=bounds)
![20240321 [KubeCon EU Pavilion] Lima.pdf_](https://cdn.slidesharecdn.com/ss_thumbnails/20240321kubeconeupavilionlima-240408065915-d80bbad0-thumbnail.jpg?width=640&height=640&fit=bounds)
![20240320 [KubeCon EU Pavilion] containerd.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20240320kubeconeupavilioncontainerd-240408065843-2d029142-thumbnail.jpg?width=640&height=640&fit=bounds)
![20240201 [HPC Containers] Rootless Containers.pdf](https://cdn.slidesharecdn.com/ss_thumbnails/20240201hpccontainersrootlesscontainers-240408065736-d40a3c26-thumbnail.jpg?width=640&height=640&fit=bounds)
![[Podman Special Event] Kubernetes in Rootless Podman](https://cdn.slidesharecdn.com/ss_thumbnails/20231116podmanspecialeventkubernetesinrootlesspodman-231117201823-4feac1e3-thumbnail.jpg?width=640&height=640&fit=bounds)
![[KubeConNA2023] Lima pavilion](https://cdn.slidesharecdn.com/ss_thumbnails/20231107kubeconnapavilionlima-231117201753-89cc5ec6-thumbnail.jpg?width=640&height=640&fit=bounds)
![[KubeConNA2023] containerd pavilion](https://cdn.slidesharecdn.com/ss_thumbnails/20231107kubeconnapavilioncontainerd-231117201655-55ef4553-thumbnail.jpg?width=640&height=640&fit=bounds)
[Docker Tokyo #35] Docker 20.10
- 1. Docker 20.10 ⽇本電信電話株式会社 ソフトウェアイノベーションセンタ 須⽥ 瑛⼤ DockerMeetup Tokyo #35 (2021/5/28)
- 2. 1 Copyright 2021 NTTCORPORATION ⾃⼰紹介 • コンテナ関連OSSのメンテナ (コミッタ) Moby (OSS版Docker), BuildKit, containerd, runc, Rootlessコンテナ関連など • 書籍「Docker/Kubernetes 開発・運⽤の ためのセキュリティ実践ガイド」執筆 https://www.amazon.co.jp/dp/4839970505 • その他 ⾊々 https://github.com/AkihiroSuda
- 3. 2 Copyright 2021 NTTCORPORATION Docker 20.10 • 2020年12⽉9⽇にリリース • Docker 19.03 (2019年7⽉) 以来、約1年半ぶりのリリース • RHEL8系のデフォルトの設定で動くようになった • Fedoraのデフォルトの設定で動くようになった • RootlessやBuildXなどがexperimentalから正式機能に昇格した • Swarm Jobsに対応した
- 4. 3 Copyright 2021 NTTCORPORATION RHEL8系のデフォルトで動くようになった • RHEL 8系OS (CentOS 8などを含む) のデフォルトでは、 Docker 19.03はうまく動かなかった • コンテナ内からホスト名を解決できない docker/for-linux#957 • ポートを公開できない libnetwork#2496 • Dockerがfirewalldに対応していなかったのが原因 • Docker 20.10ではRHEL 8系のデフォルトで動くようになった
- 5. 4 Copyright 2021 NTTCORPORATION RHEL8系のデフォルトで動くようになった • ただし、RHEL 8のRed Hat社 公式パッケージからは、Dockerは 削除されたまま • Docker社からも、RHEL 8向けのパッケージは提供されていない • CentOS 8向けには、Docker社 公式パッケージが提供されている https://download.docker.com/linux/centos/8/x86_64/stable/Packages/ • CentOS 8とバイナリ互換の他のOSでも動くはず (Alma Linux, Oracle Linux, Rocky Linux, VzLinux...)
- 6. 5 Copyright 2021 NTTCORPORATION Fedoraのデフォルトで動くようになった • Fedora 31以降のデフォルトでは、Docker 19.03は動かなかった • Dockerがcgroup v2に対応していなかったのが原因 • CPUやメモリなどのリソース制御に使われている、Linuxカーネルの機能の新 バージョン • Docker 20.10ではFedoraのデフォルトで動くようになった • 実装としては2019年から動いていたが、リリースにかなり時間がかかった • 20.10.0ではexperimental扱い、20.10.6から正式扱い
- 7. 6 Copyright 2021 NTTCORPORATION Rootlessモードがexperimentalから正式に昇格 • ホストのroot権限を使わずにdockerdやコンテナを動かすこと で、セキュリティを強化する技術 https://rootlesscontaine.rs/getting-started/docker/ • 2018年: POC実装 2019年: Docker 19.03 にて experimental としてマージ 2020年: Docker 20.10 にて 正式機能に昇格
- 8. 7 Copyright 2021 NTTCORPORATION Rootlessモードがexperimentalから正式に昇格 • CPUやメモリのリソースの制御 (docker run –-cpus, ---memory) に 対応した • ホストが前述のcgroup v2に対応している必要がある • aptやdnfでインストールできるようになった • sudo apt-get install docker-ce-rootless-extras › sudoが要るのは Dockerの制約ではなく apt-getやdnfの制約 • sudo無し、パッケージマネージャ無しでのインストールも従来通り可能 › https://get.docker.com/rootless
- 9. 8 Copyright 2021 NTTCORPORATION Swarm Jobs • 最近名前を聞かないSwarmであるが、開発は続いている • バッチジョブ型の”Job” serviceも動かせるようになった • KubernetesのJobマニフェストに類似する • 従来型の service は、KubernetesのDeploymentマニフェストや DaemonSetに類似する
- 10. 9 Copyright 2021 NTTCORPORATION Swarm Jobs • クラスタ内の全ノードのホストファイルシステムに、 /etc/some-file を作成する例 $ docker service create ¥ --name create-file-on-all-nodes ¥ --mode global-job ¥ --mount type=bind,src=/,dst=/mnt ¥ alpine ¥ sh -exc "echo foo > /mnt/etc/some-file"
- 11. 10 Copyright 2021 NTTCORPORATION Dockerfile: RUN --mount=type=…が正式機能に昇格 Docker 18.06 にて experimentalとして導⼊された機能 • RUN –-mount=type=cache • apt、maven、npm などのパッケージマネージャや、コンパイラのキャッ シュを保持できる機能 • RUN –-mount=type=secret (Docker 18.09から) • SSHやS3などの認証情報を安全に扱える機能 • RUN –-mount=type=ssh (Docker 18.09から) • 上記secretのSSH特化版 (パスフレーズ対応など) など
- 12. 11 Copyright 2021 NTTCORPORATION Dockerfile: RUN --mount=type=…が正式機能に昇格 “Docker Platform Internals: containerd and BuildKit” (DockerCon 2018) Michael Crosby and Tonis Tiigi, Docker https://t.co/aUKqQCVmXa
- 13. 12 Copyright 2021 NTTCORPORATION Dockerfile: RUN --mount=type=…が正式機能に昇格 • Docker 19.03まででは、BuildKitモードを有効化し、さらに Dockerfileの先頭に次の⾏を書く必要があった • Docker 20.10からは # syntax = … ⾏が不要になった • BuildKitモードは依然として有効化しておく必要がある • Docker for Mac/Winでは 2020年9⽉からデフォルトで有効 # syntax = docker/dockerfile:experimental
- 14. 13 Copyright 2021 NTTCORPORATION docker buildxが正式機能に昇格 • BuildKitモード (DOCKER_BUILDKIT=1) を更に拡張したモード https://github.com/docker/buildx • マルチプラットフォームイメージのビルドや、Kubernetesを使っ た分散ビルドなど、docker build ではできない先進的な機能が備 わっている • docker-ce-cli パッケージに正式機能として含まれるようになった
- 15. 14 Copyright 2021 NTTCORPORATION docker buildxが正式機能に昇格 • リモートのARMマシンを使ってマルチプラットフォームイメージ をビルドする例 • リモートのARMマシンを使わず、QEMUでエミュレートするモードもある $ docker buildx create --name remote --use $ docker buildx create --name remote ¥ --append ssh://me@my-arm-instance $ docker buildx build ¥ --push -t example.com/hello:latest ¥ --platform=linux/amd64,linux/arm64 .
- 16. 15 Copyright 2021 NTTCORPORATION docker buildxが正式機能に昇格 • Kubernetesクラスタを使って分散ビルドする例 • 複数のDockerfileを同時にビルドすると負荷が分散される $ docker buildx create ¥ --driver kubernetes ¥ --driver-opt replicas=3 ¥ --use $ docker buildx build ¥ --push -t example.com/hello:latest
- 17. 16 Copyright 2021 NTTCORPORATION Dockerfile: COPY –-chmod、ADD --chmod • COPY --chown、ADD --chown は Docker 17.09から存在 • コンテナを⾮rootユーザで動かすときに便利 • Docker 20.10にて、COPY --chmod、ADD --chmod にも対応 • 以前のバージョンでも、COPYしてからRUN chmodすることは できたが、イメージの容量が膨らむ問題があった
- 18. 17 Copyright 2021 NTTCORPORATION docker run --pull=(always|missing|never) • KubernetesのimagePullPolicyに似た機能 • 確実に最新のイメージを動かしたいとき、pullしてからrunする ⼿間を省ける (docker run --pull=always)
- 19. 18 Copyright 2021 NTTCORPORATION Docker 21.XX に⼊りそうなpull requests • Swarm cluster volumes moby#42404 • Kubernetesと同じくCSI (Container Storage Interface) を使う • libnetworkのリポジトリがMoby (dockerd) のリポジトリに統 合される moby#42262 • コントリビュートしやすくなるはず • Dockerfileでheredocが使えるようになる buildkit#2132 • <<EOF みたいなやつのこと • 複数⾏にまたがる命令を書きやすくなる RUN <<EOF apt-get update apt-get install foo foo ... EOF
- 20. 19 Copyright 2021 NTTCORPORATION Docker 20.10 まとめ • RHEL8系のデフォルトの設定で動くようになった • Fedoraのデフォルトの設定で動くようになった • RootlessやBuildXなどがexperimentalから正式機能に昇格した • Swarm Jobsに対応した • その他、細かい情報はnttlabsブログにまとめました https://medium.com/nttlabs/docker-20-10-59cc4bd59d37