はじめまして。VMware の伊藤です。Tanzu 製品のプラットフォームアーキテクトとして働いており、開発と運用双方の経験があります。この記事では Kubernetes にソースコードから Dockerfile なしにセキュアなコンテナイメージをビルドする Tanzu Build Service のバージョン 1.2.1 のインストール法を紹介します。 Tanzu Build Service (以下TBS)はコンテナイメージをビルドする Kubernetes (以下K8s)アプリケーションです。多くのコンテナユーザーは「docker コマンドで Dockerfile をビルドする」ということを手動なり、CI パイプラインなりで実現していますが、TBS はそれと似たようなことを以下の特徴をもって実施します。 サービスがソースコードを判定してビルド手法を決定する(Dockerfile不要) アプリケーションのGitリポジトリが更新されたら自動でビルド システムにセキュリティアップデートを施すと、既存アプリのイメージを自動でビルド ビルドしたイメージはレジストリに自動でPushされる サービス側でアプリ(言語やフレームワーク)のベストプラクティスを適用する サービス側でイメージの脆弱性対応の対処を実施する 上記をまとめると、TBS はセキュアなベストプラクティスに沿ったコンテナイメージを構築するための「簡易的な CI パイプライン」を労力少なく提供するということです。簡易的なパイプラインでよければ自ら構築する手間を省けますし、ユニットテストやコンテナスキャンを CI に含める場合であっても TBS を使うことで全体構成を簡素化できます。 以下に TBS の構成とコンテナイメージのビルドの流れをイメージ図として記載します。 また、参考までに同一の Java Spring Boot アプリケーションの Dockerfile と TBS でのビルド結果の脆弱性比較図を以下に記載します。 脆弱性の数を比較すると、Dockerfile でのビルドより、TBS でのビルドのほうが脆弱性が少ないことが確認できるかと思います。「脆弱性を放置する」という対応を許容しないのであれば、これは開発者なり運用者なりが Dockerfile … 続き
The post Tanzu Build Service 1.2.1 の構築 appeared first on VMware Japan Blog.