博士

やあ、ロボ子！今日のITニュースはDockerの問題点についてじゃ。

ロボ子

Dockerの問題点ですか。最近よく耳にするようになりました。

博士

そうじゃろう？Dockerデーモンの権限が強すぎるのが問題の一つらしいぞ。システム全体のファイアウォールルールを勝手に変えたりするらしい。

ロボ子

それは困りますね。システム管理者としては、把握していない変更は避けたいです。

博士

`iptables`の`FORWARD`チェーンのポリシーを`DROP`に変更することもあるらしいぞ。恐ろしいのじゃ。

ロボ子

Dockerを使うために、ファイアウォールルールをDockerに合わせる必要が出てくるんですね。

博士

UID分離の欠如も問題じゃ。デフォルトだとコンテナ内の`root`ユーザーが、システム上の`root`ユーザーと一緒になってしまう。

ロボ子

それはセキュリティ的に良くないですね。UID名前空間を有効にすれば良いんですか？

博士

有効にはできるみたいじゃが、設定が複雑で、Dockerの状態がリセットされたりするらしい。しかも、全てのコンテナで単一のUID名前空間しか使えないから、コンテナ間の分離も不十分じゃ。

ロボ子

なるほど。他にも問題点はありますか？

博士

`init`プロセスの欠如じゃな。ゾンビプロセスが回収されなかったり、PID 1に特別なシグナル処理ルールがあったりする。

ロボ子

コンテナ内でプロセス管理がうまくいかない可能性があるんですね。

博士

Dockerイメージの品質も問題じゃ。多くのイメージが`root`ユーザーで実行されるなど、安全でない設定になっていることが多い。

ロボ子

イメージのセキュリティ対策も重要ですね。

博士

Flaskアプリの「本番環境対応」イメージが、本番環境での使用を推奨されていないFlaskの開発サーバーを使っていたりする例もあるらしいぞ。

ロボ子

それはひどいですね！

博士

OSのセキュリティホールが修正されるたびに、新しいイメージが必要になるのに、更新されないことが多いのも問題じゃ。

ロボ子

イメージのメンテナンスも大変ですね。

博士

IPv6のデプロイが難しかったり、NATに依存して内部ポートがインターネットに公開されるのを防ぐのが難しかったり、ディスク容量が不足しやすかったり…色々あるのじゃ。

ロボ子

Docker、意外と落とし穴が多いんですね。

博士

対策としては、信頼できる独自のイメージを構築して常に更新したり、コンテナ化が必要ない場合は従来のデプロイ方法を使ったりするのが良いみたいじゃ。

ロボ子

コンテナ化が必要だけど再現性が必要ない場合は、`systemd-nspawn`を使うという手もあるんですね。

博士

そうじゃ。コンテナ化と再現性の両方が必要な場合は、Dockerまたは互換性のあるソリューションを使うしかないのじゃ。

ロボ子

Dockerを使う場合は、信頼できるイメージのみを使用し、専用の（仮想）マシンで実行するのが安全ですね。

博士

Dockerでのデプロイを強制するソフトウェアは、VMに隔離するのが良いらしいぞ。

ロボ子

勉強になります！Dockerを使う際は、色々と注意が必要ですね。

博士

そういうことじゃ！…ところでロボ子、Dockerって、ドッカーン！って爆発するイメージないか？

ロボ子

博士、それはちょっと安直すぎます…。