Docker コンテナ化
はじめに
「私のマシンでは動く」は開発者にとって最も古典的な言い訳ですが、Docker はその言い訳を完全に消し去ります。 コンテナ化技術はアプリケーションとそのすべての依存関係を標準化された単位にパッケージングし、あらゆる環境で一貫した実行を保証します。現代のソフトウェアデリバリーの基石です。
この記事で学べること
この章を終えると、次のことが身につきます:
- コア概念:イメージ、コンテナ、レジストリの3つのコア概念を理解
- アーキテクチャ比較:コンテナと仮想マシンの本質的な違いを理解
- 実践スキル:Dockerfile の記述と一般的なコマンドを習得
- オーケストレーション基礎:Docker Compose でマルチサービスアプリケーションを管理
- ベストプラクティス:イメージ最適化、セキュリティ強化などの本番級プラクティス
| 章 | 内容 | コア概念 |
|---|---|---|
| 第1章 | なぜコンテナが必要か | 環境の一貫性、リソース効率、標準化されたデリバリー |
| 第2章 | コア概念 | イメージ、コンテナ、レジストリ、Dockerfile |
| 第3章 | Docker ライフサイクル | 記述、ビルド、プッシュ、実行、管理 |
| 第4章 | Docker Compose | マルチサービスオーケストレーション、ネットワーク、ボリューム |
| 第5章 | ベストプラクティス | イメージ最適化、セキュリティ、マルチステージビルド |
1. なぜコンテナが必要なのか?
コンテナが登場する前、アプリケーションをデプロイするにはサーバー上でランタイムを手動インストールし、環境変数を設定し、依存関係の競合を処理する必要がありました。異なる環境(開発、テスト、本番)間の差異はバグの温床でした。
コンテナはどんな問題を解決するのか?
| 問題 | 従来のアプローチ | コンテナアプローチ |
|---|---|---|
| 環境の不一致 | 「私のマシンでは動く」 | すべての依存関係をパッケージ、どこでも一貫 |
| 依存関係の競合 | アプリAは Node 14、アプリBは Node 18 | 各コンテナが独立した環境 |
| リソースの無駄 | 各 VM に完全な OS | カーネルを共有、MB レベルのオーバーヘッド |
| デプロイが遅い | 手動インストールと設定 | docker run コマンド一つ |
| スケーリングが難しい | 新しい VM を作成、環境をインストール、デプロイ | 数秒で新しいコンテナを起動 |
コンテナの本質
コンテナは軽量な仮想マシンではありません。その本質は隔離されたプロセスです。Linux カーネルは2つのメカニズムでコンテナを実現します:
- Namespace:プロセスの可視範囲を隔離(PID、ネットワーク、ファイルシステムなど)
- Cgroups:プロセスのリソース使用量を制限(CPU、メモリ、IO)
コンテナ内のプロセスはホストマシン上の通常のプロセスと本質的に違いはありません。ただ「外が見えない部屋に閉じ込められている」だけです。
2. コア概念
Docker の世界は3つのコア概念を中心に展開します:イメージ(Image)、コンテナ(Container)、レジストリ(Registry)。
| 概念 | 例え | 説明 |
|---|---|---|
| イメージ(Image) | クラス / テンプレート | 読み取り専用のアプリケーションテンプレート。コード、ランタイム、ライブラリ、設定を含む |
| コンテナ(Container) | インスタンス / オブジェクト | イメージの実行インスタンス。読み書き可能、独立したライフサイクルを持つ |
| レジストリ(Registry) | アプリストア | イメージの保存と配布を行うサービス(Docker Hub、ACR、ECR) |
| Dockerfile | レシピ / 設計図 | イメージのビルド方法を定義するテキストファイル |
| ボリューム(Volume) | 外付けハードディスク | 永続データ。コンテナ削除後もデータは失われない |
イメージのレイヤー構造
Docker イメージは複数の読み取り専用レイヤー(Layer)で構成され、各 Dockerfile 命令が1つのレイヤーを作成します:
┌─────────────────────────┐
│ CMD ["node", "app.js"] │ ← 起動コマンドレイヤー
├─────────────────────────┤
│ COPY . /app │ ← アプリケーションコードレイヤー(頻繁に変更)
├─────────────────────────┤
│ RUN npm install │ ← 依存関係インストールレイヤー(時々変更)
├─────────────────────────┤
│ FROM node:18-alpine │ ← ベースイメージレイヤー(ほとんど変更されない)
└─────────────────────────┘なぜレイヤー構造が重要なのか?
Docker は各レイヤーをキャッシュします。レイヤーに変更がない場合、ビルド時にキャッシュが再利用されます。そのため Dockerfile では変更頻度の低い命令を前に(依存関係のインストールなど)、変更頻度の高い命令を後に(コードのコピーなど)配置すべきです。これにより、ほとんどのビルドでキャッシュがヒットし、大幅に高速化されます。
3. Docker ライフサイクル
Dockerfile の記述からコンテナの実行まで、Docker のワークフローは明確なパイプラインです。
FROM node:18-alpineChoose the base imageWORKDIR /appSet the working directoryCOPY package*.json ./Copy dependency files for cache reuseRUN npm installInstall dependenciesCOPY . .Copy application codeEXPOSE 3000Declare the portCMD ["node", "server.js"]Start commandDockerfile 一般的な命令リファレンス
| 命令 | 目的 | 例 |
|---|---|---|
FROM | ベースイメージを指定 | FROM node:18-alpine |
WORKDIR | 作業ディレクトリを設定 | WORKDIR /app |
COPY | ファイルをイメージにコピー | COPY package.json ./ |
RUN | ビルド時にコマンドを実行 | RUN npm install |
ENV | 環境変数を設定 | ENV NODE_ENV=production |
EXPOSE | ポートを宣言(ドキュメントのみ) | EXPOSE 3000 |
CMD | コンテナ起動コマンド | CMD ["node", "app.js"] |
ENTRYPOINT | コンテナのエントリポイント(オーバーライドが困難) | ENTRYPOINT ["nginx"] |
4. Docker Compose:マルチサービスオーケストレーション
実際のプロジェクトでは通常、複数のコンテナが必要です。Web アプリケーションにはアプリケーションサーバー + データベース + Redis + Nginx が必要になるかもしれません。Docker Compose は1つの YAML ファイルで複数のコンテナを定義・管理します。
docker-compose.yml の例
version: '3.8'
services:
app:
build: .
ports:
- "3000:3000"
environment:
- DB_HOST=db
- REDIS_HOST=redis
depends_on:
- db
- redis
db:
image: postgres:15-alpine
volumes:
- db-data:/var/lib/postgresql/data
environment:
- POSTGRES_PASSWORD=secret
redis:
image: redis:7-alpine
volumes:
db-data:Compose のコア概念
| 概念 | 説明 | 例 |
|---|---|---|
| services | 個々のコンテナサービスを定義 | app、db、redis |
| volumes | 永続データボリューム | db-data にデータベースファイルを保存 |
| networks | カスタムネットワーク(デフォルトで自動作成) | サービス間はサービス名でアクセス |
| depends_on | 起動順序の依存関係 | app は db と redis に依存 |
| environment | 環境変数 | データベースのパスワード、接続アドレス |
サービスディスカバリー
Docker Compose では、サービス名がホスト名になります。app コンテナは db:5432 でデータベースに、redis:6379 で Redis に直接アクセスでき、IP アドレスを知る必要はありません。これは Docker の内蔵 DNS のおかげです。
5. ベストプラクティス
5.1 マルチステージビルド(Multi-stage Build)
マルチステージビルドはイメージサイズを最適化する強力なツールです。ビルドステージですべてのツールと依存関係をインストールし、最終ステージではランタイムに必要なファイルのみを残します。
# ビルドステージ
FROM node:18-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci
COPY . .
RUN npm run build
# ランタイムステージ
FROM node:18-alpine
WORKDIR /app
COPY --from=builder /app/dist ./dist
COPY --from=builder /app/node_modules ./node_modules
EXPOSE 3000
CMD ["node", "dist/server.js"]5.2 イメージ最適化チェックリスト
| 最適化項目 | アプローチ | 効果 |
|---|---|---|
| 小さいベースイメージを選択 | ubuntu ではなく alpine を使用 | イメージが ~200MB から ~50MB に |
| RUN 命令を統合 | 複数のコマンドを && で接続 | イメージのレイヤー数を削減 |
| .dockerignore を使用 | node_modules、.git などを除外 | ビルドの高速化、コンテキストの削減 |
| マルチステージビルド | ビルド環境とランタイム環境を分離 | 最終イメージにビルドツールを含まない |
| バージョン番号を固定 | node:latest ではなく node:18.17-alpine | 再現可能なビルド |
5.3 セキュリティプラクティス
| プラクティス | 説明 |
|---|---|
| root で実行しない | USER node で非 root ユーザーを指定 |
| 脆弱性スキャン | docker scout または Trivy でイメージをスキャン |
| 最小権限 | 必要なパッケージのみインストール、デバッグツールは入れない |
| シークレットをハードコードしない | 環境変数または Docker Secrets を使用 |
| ベースイメージを定期的に更新 | セキュリティ脆弱性を迅速に修正 |
まとめ
Docker コンテナ化は現代のソフトウェアデリバリーの基盤であり、すべての開発者にとって理解が不可欠です。
この章の重要ポイントを振り返ります:
- コンテナ vs VM:コンテナはホストカーネルを共有し、より軽量で高速だが、VM より隔離性はやや弱い
- コア3点セット:イメージ(テンプレート)、コンテナ(インスタンス)、レジストリ(配布)
- Dockerfile:レイヤービルド、キャッシュの活用、変更の少ない命令を前に配置
- Docker Compose:YAML でマルチサービスアプリケーションを定義、サービス名がホスト名
- 本番プラクティス:マルチステージビルドでイメージを小型化、alpine ベースイメージ、非 root で実行
参考文献
- Docker 公式ドキュメント - 最も権威あるリファレンス
- Docker Getting Started - 公式初心者向けチュートリアル
- Dockerfile Best Practices - 公式ベストプラクティスガイド
- Docker Compose ドキュメント - Compose の完全なリファレンス