#Docker
26 件の記事
Docker 実戦 #4 CI でのイメージビルド — GitHub Actions と BuildKit キャッシュ
GitHub Actions で Docker イメージをビルドして push する定石。docker/build-push-action、BuildKit の GHA キャッシュ (type=gha)、マルチアーキ (amd64+arm64) ビルド、ビルド時 secrets、ビルド時間最適化 — 一ワークフローファイルに整理します。
Docker 実戦 #2 Django + PostgreSQL compose — 二つのコンテナを一束に
Django アプリと PostgreSQL を docker compose 一ファイルに束ねる。マイグレーション entrypoint、depends_on の healthcheck 依存、データボリューム、.env 分離、collectstatic まで — compose が解いてくれる構成を運用形に。
Docker 上級 #6 プロダクション運用 — graceful shutdown、healthcheck、restart
PID 1 の信号処理、SIGTERM グレースフル終了の正確な流れ、init と dumb-init の役割、restart 方針の深掘り、liveness vs readiness の概念。一コンテナをプロダクションで安定的に回す細部をまとめて整理します。Docker 上級シリーズの締めくくり。
Docker 上級 #5 リソース制限と cgroups
コンテナのメモリ限界、CPU 限界、OOMKilled の診断、JVM や Node のようなランタイムがコンテナ限界をどう認識するか、そして ulimit / pids のような別の隔離手段まで。cgroups v2 の上で動く限界の正確な動作を整理します。
Docker 上級 #4 SBOM と署名 — サプライチェーンセキュリティの入口
このイメージの中に何が入っているかを機械が読める形 (SBOM) で作り、そのイメージを誰が作ったのかを cosign 署名で検証します。xz 事件以降標準になったサプライチェーンセキュリティ道具一式を整理します。
Docker 上級 #3 イメージセキュリティ — non-root, distroless, Trivy スキャン
コンテナセキュリティの基本道具を一箇所に。USER で非特権ユーザに落とす、read-only ルートと tmpfs、capabilities drop、distroless で攻撃面を狭める、Trivy/Grype の脆弱性スキャン、hadolint の Dockerfile lint まで。