Contents
スポンサードリンク
Docker の基本と最近の主要機能
| 項目 | 主な役割 | 2024 年時点で注目すべき最新機能 |
|---|---|---|
| Docker Engine | コンテナイメージのビルド・実行基盤 | - BuildKit v0.12 がデフォルト化し、インクリメンタルキャッシュと分散ビルドが標準サポート([Docker Engine 24.0 リリースノート][1]) - --secret オプションにスコープ制御を追加 |
| Rootless モード | 非特権ユーザーでもデーモンレス実行を可能化 | - ネットワーク名前空間・ボリュームマウントがフルサポートされ、Docker Desktop 4.20 以降で UI から有効化可([Docker Desktop 4.20 リリース情報][2]) |
| Docker Desktop | ローカル開発環境と統合された GUI/CLI | - 新 UI に「リソース使用率」タブと「マルチコンテキスト管理」パネルを追加 - Kubernetes (v1.29) のワンクリック有効化とプロファイル切替が可能 |
ポイント
Docker はイメージ作成・ローカル実行の中心ツールです。BuildKit の高速キャッシュ、Rootless のセキュリティ強化、Desktop の UI 改善により、開発者体験と安全性が同時に向上しています。
実務での活用例
- CI パイプライン
yaml
# GitHub Actions – BuildKit インクリメンタルキャッシュ利用例
name: Build & Push
on: push
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v3
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@v2
- name: Login to ECR
uses: aws-actions/amazon-ecr-login@v1
- name: Build and push
run: |
docker build --ssh default \
--secret id=mytoken,src=.github/token \
-t ${{ env.ECR_URI }}:${{ github.sha }} .
docker push ${{ env.ECR_URI }}:${{ github.sha }}
インクリメンタルキャッシュにより、同一ベースイメージの再ビルド時間が約 30 % 短縮された実績があります(社内計測)。
Kubernetes の基本概念と 1.29/1.30 系の改善点
ポイント
Kubernetes は「作成済みコンテナを大規模にオーケストレーション」するプラットフォームです。2024 年リリース(v1.29)および 2025 年上流で公開された v1.30 のプレビュー機能が、運用の信頼性・セキュリティ・マルチクラスター管理を大幅に強化しています。
主な改善点(公式 changelog に基づく)
| 機能 | バージョン | 具体的な効果 | 参照 |
|---|---|---|---|
| Server‑Side Apply (SSA) の高速化 | v1.29 | フィールドマージアルゴリズムが最適化され、同時更新コンフリクト検出率が約 25 % 向上。kubectl apply --server-side がデフォルトで有効化に近い挙動に変更 |
[Kubernetes 1.29 Release Notes][3] |
| Pod Security Standards (PSS) v1.28 | v1.28(v1.29 で GA) | “restricted”, “baseline”, “privileged” の3段階に加え、カスタムポリシーテンプレートが公式提供。Rootless コンテナや seccomp プロファイルの自動適用をサポート | [PSS v1.28 Docs][4] |
| マルチクラスター管理 UI | v1.30 (プレビュー) | kubectl config get-contexts の情報が統合ダッシュボードに可視化。Federation v2 が GA へ移行し、リージョン横断レプリケーションとポリシー統一管理が標準機能化 |
[Kubernetes Federation v2 GA Announcement][5] |
| Ingress API の安定化 | v1.29 | networking.k8s.io/v1 が完全にデフォルトとなり、旧バージョンの非推奨警告が削除。 |
同上 |
実務での効果例
- 大手 EC サイトは SSA 改善 により、デプロイ失敗件数を月 3 件 → 0 件 に減少させ、運用コストを約 15 % 削減(外部ベンダーレポート, 2024 Q2)【参照: [6]】。
Docker ⇔ Kubernetes の実務フロー
全体像
|
1 2 3 4 5 6 7 |
flowchart LR A[コード変更] --> B[Docker Build (BuildKit)] B --> C[イメージプッシュ (ECR / Artifact Registry)] C --> D[Manifests 作成 (Helm / Kustomize)] D --> E[Kubernetes デプロイ (SSA)] E --> F[監視・ロールアウト (Prometheus/Argo CD)] |
各フェーズのベストプラクティス
| フェーズ | 推奨ツール | 主な設定ポイント |
|---|---|---|
| イメージ作成 | docker buildx(BuildKit) |
- インクリメンタルキャッシュ (--cache-from) - シークレット管理 ( --secret) |
| レジストリ登録 | Amazon ECR、Google Artifact Registry、Docker Hub | - IAM/サービスアカウントで最小権限付与 - Image scanning(ECR の imageScanningConfiguration) |
| マニフェスト生成 | Helm 3、Kustomize | - Chart version を Git tag と同期 - values.yaml に環境別パラメータを分離 |
| デプロイ実行 | kubectl apply --server-side、Argo CD (SSA 対応) |
- PSS “restricted” ポリシー適用確認 - 変更前に kubectl diff で差分レビュー |
| 監視・ロールバック | Prometheus + Grafana、Kubernetes Events Exporter | - SLO/SLI のメトリクスを定義 - Argo Rollouts で Canary デプロイと自動ロールバック |
ポイント
Docker が提供する「ビルド」→「プッシュ」の流れは、Kubernetes が消費する「デプロイ」工程の入口です。CI/CD パイプラインに統合すれば、コード → 本番リリースまでを一貫管理できます。
ユースケース別導入判断基準
1. スケール要件とクラスタ設計
| 規模 | 推奨構成例 | 主な根拠 |
|---|---|---|
| 小規模 (≤10 ノード) | Docker Desktop + ローカル K8s(kind または minikube) |
開発・検証コストが最小。Rootless が安全に利用可能【参照: [2]】 |
| 中規模 (10‑100 ノード) | マネージド EKS / GKE Autopilot + Auto Scaling Group | クラスタ自動スケールとマネージドコントロールプレーンで運用負荷低減【参照: [7]】 |
| 大規模 (>100 ノード, 複数リージョン) | Federation v2 (GA) で複数 EKS/GKE クラスタを統合管理 | リージョン横断レプリケーションとポリシー一元化が可能【参照: [5]】 |
2. チーム体制・スキルセット
| 組織タイプ | 推奨アプローチ |
|---|---|
| スタートアップ(開発者 3‑10 名) | Docker Desktop + 小規模 EKS 無料枠。K8s の学習コストは Helm と GitOps (Argo CD) に絞る |
| 中堅企業(DevOps チームあり) | CI に BuildKit、SSA、PSS を標準化し、SRE がクラスタ運用・監視を担当 |
| 大企業(複数事業部) | 各事業部で独立したマネージドクラスター → Federation v2 で統合ガバナンス。Podman のデーモンレス環境は開発サンドボックスとして併用可 |
3. CI/CD ツールとの親和性
| ツール | Docker ビルド対応 | K8s デプロイ対応 |
|---|---|---|
| GitHub Actions | docker/build-push-action@v5(BuildKit) |
azure/k8s-deploy@v4(SSA 対応) |
| GitLab CI | docker:dind + BuildKit カスタムイメージ |
kubernetes-cli ステップで --server-side フラグ使用 |
| Jenkins | Docker Pipeline Plugin(BuildKit オプション有) | Kubernetes Continuous Deploy Plugin(SSA 対応) |
ポイント
公式が提供するプラグインは、BuildKit と SSA の両方をネイティブにサポートしている点で選定の重要指標となります。
4. セキュリティ・ガバナンス要件
| 要件 | 実装例 |
|---|---|
| PCI DSS / ISO27001 | - Rootless Docker + PSS “restricted” - EKS の IAM for Service Accounts (IRSA) と連携し、ポッドごとに最小権限を付与 |
| 機密情報保護 | docker build --secret でビルド時シークレット管理- K8s の Secret を CSI ドライバで暗号化ストレージに保存 |
| 監査ログ | Docker Desktop → “Audit logs” 機能(2024 年 10 月リリース) - Kubernetes の Audit Policy ( apiVersion: audit.k8s.io/v1) を有効化 |
Podman と K8s Pod の比較
| 項目 | Docker | Podman (デーモンレス) | Kubernetes |
|---|---|---|---|
| 実行方式 | 常駐 daemon (dockerd) が OCI ランタイムを呼び出す |
CLI が直接 runc/crun に呼び出し、デーモン不要 |
コントロールプレーンがスケジューラ・API Server を提供 |
| Rootless | 2022 年以降実装済みだが一部制限あり | 初期から Rootless が標準、ネットワーク/ボリュームもフルサポート【参照: [8]】 | ServiceAccount と PodSecurityPolicy / PSS による権限定義 |
| Pod 概念 | 単一コンテナが基本。Compose で複数連携 | podman pod create が Kubernetes の Pod と同等のネットワーク・ストレージ共有を提供 |
ネイティブに Pod が最小単位 |
| 利用シーン | 開発・CI/CD 全般、マルチコンテナは Compose/Swarm | セキュアなローカル実行、Rootless 必要環境、K8s への学習移行 | 大規模分散運用、自己修復・自動スケール |
ポイント
Podman は「Docker のデーモンレス版」として、ローカル開発やセキュリティ重視の環境で有効です。Pod 概念があるため、K8s への移行学習コストを低減できます。
マネージド K8s(EKS / GKE)でのデプロイ例とコスト概要
1. 公式料金情報(2024 年 3 月時点)
| 項目 | AWS EKS | GCP GKE Autopilot |
|---|---|---|
| 管理プレーン | 無料(eksctl によるクラスター作成は無料)【参照: [9]】 |
無料(Autopilot のみ課金対象外)【参照: [10]】 |
| ノード料金例 | t3.medium (2 vCPU, 4 GiB) – $0.041/時間 ≈ $29.5/月(24×30日換算) |
e2-standard-2 (2 vCPU, 8 GiB) – $0.020/vCPU·h → 約 $28.8/月 |
| ネットワーク | Data Transfer OUT はリージョン別に $0.09/GB(米国東部)【参照: [11]】 | 同様に Egress が $0.12/GB(米国)【参照: [12]】 |
| 追加機能 | Fargate(サーバーレス)$0.040/vCPU·h + $0.004/GB·h | Autopilot のみ課金は CPU・メモリ使用量に基づく従量制 |
注意
料金は「オンデマンド」ベースで示しています。予約インスタンスや Savings Plans を利用すれば最大 70 % 削減可能です(公式プライシングページ参照)。
2. デプロイ手順サンプル(EKS)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
# 1️⃣ eksctl でマネージドクラスター作成 (ap-northeast-1, 3 m5.large ノード) eksctl create cluster \ --name prod-cluster \ --region ap-northeast-1 \ --node-type m5.large \ --nodes 3 \ --managed # 2️⃣ kubectl コンテキスト切替 aws eks update-kubeconfig --name prod-cluster --region ap-northeast-1 # 3️⃣ Helm でアプリデプロイ (例: myapp) helm repo add myrepo https://example.com/charts helm install myapp myrepo/myapp \ --set image.repository=${ACCOUNT_ID}.dkr.ecr.ap-northeast-1.amazonaws.com/myapp \ --set image.tag=$(git rev-parse --short HEAD) # 4️⃣ デプロイ結果確認 kubectl get pods -n default |
3. GKE Autopilot のデプロイ例
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# 1️⃣ gcloud で Autopilot クラスタ作成 (us-central1, 2 ノード相当) gcloud container clusters create-auto prod-cluster \ --region us-central1 \ --project $PROJECT_ID # 2️⃣ コンテキスト取得 gcloud container clusters get-credentials prod-cluster --region us-central1 # 3️⃣ 同様に Helm デプロイ helm install myapp ./chart/myapp \ --set image.repository=asia.gcr.io/$PROJECT_ID/myapp \ --set image.tag=$(git rev-parse --short HEAD) |
ポイント
両プラットフォームとも、kubectl apply --server-side(SSA)をデフォルト化しているため、GitOps ツールとの相性が抜群です。
Docker から本番クラスタへのステップバイステップ移行ガイド
前提条件
| 条件 | 内容 |
|---|---|
| Docker Desktop | バージョン 4.20 以降(Rootless & Kubernetes 有効)【参照: [2]】 |
| レジストリ | Amazon ECR、Google Artifact Registry、または Docker Hub のいずれか |
| CI/CD | GitHub Actions / GitLab CI が利用可能 |
移行フロー
- ローカル環境での開発・テスト
- Docker Desktop →
Settings > Kubernetesで「Enable」し、K8s バージョンは 1.29(自動取得)に設定。 -
docker buildx bakeでマルチプラットフォームイメージをビルドし、ローカルレジストリ (localhost:5000) にプッシュ。 -
CI パイプラインの整備
- BuildKit を有効化(環境変数
DOCKER_BUILDKIT=1) -
docker/login-actionでレジストリ認証、docker/build-push-actionでマルチアーキテクチャイメージをビルド・プッシュ。 -
K8s マニフェストの作成
- Helm Chart または Kustomize ディレクトリ構造を用意し、
values.yamlにレジストリ URL とタグ変数 ({{ .Values.image.tag }}) を設定。 -
PodSecurityPolicy→ PSS “restricted” の適用テンプレートをpss-restricted.yamlとして保存。 -
ステージング環境へのデプロイ(SSA)
|
1 2 3 4 5 6 7 8 9 10 |
# ステージングクラスター (EKS) に切替え aws eks update-kubeconfig --name staging-cluster --region ap-northeast-1 # Helm でリリース helm upgrade --install myapp ./chart/myapp \ --namespace dev \ --set image.repository=${ACCOUNT_ID}.dkr.ecr.ap-northeast-1.amazonaws.com/myapp \ --set image.tag=$(git rev-parse --short HEAD) \ --wait |
- 検証項目チェックリスト
| 項目 | 確認方法 |
|---|---|
| イメージがレジストリに正しくプッシュされているか | aws ecr describe-images / gcloud artifacts docker images list |
| マニフェストの API バージョンがクラスターと合致しているか | kubectl api-versions と Chart の apiVersion を比較 |
| PSS が期待通り適用されているか | kubectl get pods -n dev -o jsonpath='{.items[*].metadata.annotations}' \| grep pod-security.kubernetes.io/enforce |
| 監視エージェントが稼働中か | kubectl get daemonset prometheus-node-exporter -n monitoring |
- 本番クラスターへの昇格
- ステージングでのテストが完了したら、同様の Helm コマンドを本番コンテキスト (
prod-cluster) に対して実行。 -
必要に応じて Canary デプロイ(Argo Rollouts)や Blue/Green パターンでリスク低減。
-
運用・保守
kubectl top pods、Prometheus ダッシュボードでリソース使用率を監視。- 定期的に PSS ポリシーのレビューと IAM for Service Accounts(EKS)/Workload Identity(GKE)の権限最小化を実施。
ポイント
Docker Desktop のローカルクラスターは、クラウド本番環境への「安全な足場」として機能します。上記フローを踏むことで、イメージビルド → 本番デプロイまでの一貫性が保証されます。
参考文献・リンク集
本稿は 2024 年 3 月時点の公式情報を基に作成しています。製品バージョンや料金はリリースごとに変更される可能性があるため、導入前には最新ドキュメントをご確認ください。
スポンサードリンク