Testcontainers CloudがDocker-in-Dockerと比較してテストシナリオのゲームチェンジャーである理由

投稿日 11月 14, 2024

ウラジミール・ミハレフ

コンテナ化されたテスト環境の複雑な世界をナビゲートすることは、特にDocker-in-Docker(DinD)を扱う場合、困難な場合があります。シニアDevOpsエンジニアおよびDockerキャプテンとして、私はDinDでチームが直面するハードルを直接見てきましたが、ここでは、Testcontainers Cloud がコンテナベースのテストの処理方法を再形成する変革的な代替手段である理由を共有します。

Docker-in-Docker の理解

Docker-in-Dockerを使用すると、Dockerコンテナ内でDockerを実行できます。これは、コンテナの インセプション のようなもので、Dockerコンテナ内で実行されるDockerデーモンで、他のコンテナをビルドして実行できます。

Docker-in-Dockerの仕組み

ネストされた Docker デーモン: 一般的な Docker セットアップでは、Docker デーモンはホストマシン上で実行され、ホストのオペレーティングシステム上でコンテナーを直接管理します。 DinD では、コンテナ内で Docker デーモンを起動します。この内部 Docker デーモンは独立して動作し、コンテナが独自のコンテナセットを構築および管理できるようにします。
特権モードとホストリソースへのアクセス: Docker コンテナ内で Docker を実行するには、コンテナに昇格された権限が必要です。これは、 --privileged フラグを使用してコンテナを特権モードで実行することで実現されます。

docker run --privileged -d docker:dind

--privileged フラグは、デバイスファイルへのアクセスやシステム管理タスクを実行する機能など、ホストマシンのほぼすべての機能をコンテナーに付与します。この設定により、内部の Docker デーモンが機能できるようになりますが、コンテナがホストシステムに悪影響を与える可能性があるため、重大なセキュリティリスクが生じます。

ファイルシステムに関する考慮事項: 内部の Docker デーモンは、イメージとコンテナを DinD コンテナのファイルシステム内 (通常は /var/lib/docker未満) に格納します。 Docker はコピーオンライトレイヤーなどの高度なファイルシステム機能を使用するため、コンテナ化されたファイルシステム内で内部 Docker デーモン (それ自体がそのような機能を使用する場合があります) を実行すると、複雑な相互作用や潜在的な競合が発生する可能性があります。
cgroups と名前空間の分離: Docker は、リソースの分離と管理のために cgroups や名前空間などの Linux カーネル機能に依存しています。コンテナ内で Docker を実行する場合、ネストを許可するには、これらの機能を正しく設定する必要があります。このプロセスにより、リソースの制限と分離が期待どおりに動作するようにするため、複雑さが増す可能性があります。

チームが Docker-in-Docker を使用する理由

分離されたビルド環境: DinD では、各継続的インテグレーション (CI) ジョブをクリーンで分離された Docker 環境で実行できるため、ビルドとテストが前のジョブや同時に実行されている他のジョブの残留状態の影響を受けないようにします。
環境間の一貫性: Docker デーモンをコンテナ内にカプセル化することで、チームはローカル開発から CI/CD システムまで、開発パイプラインのさまざまな段階で同じ Docker 環境をレプリケートできます。

DinDの課題

DinDには一定のメリットがありますが、次のような大きな課題も生じます。

セキュリティリスク:コンテナを特権モードで実行すると、コンテナがホストリソースに広範囲にアクセスできるようになるため、ホストシステムがセキュリティの脆弱性にさらされる可能性があります。
安定性の問題: 入れ子になったコンテナーは、ストレージドライバーの競合やその他の不安定性の問題を引き起こし、予期しないビルドエラーを引き起こす可能性があります。
複雑なデバッグ: ネストされた Docker 環境での問題のトラブルシューティングは、抽象化と分離の複数のレイヤーが関与するため、複雑になる可能性があります。

現実世界の課題

Docker-in-Dockerは魅力的に聞こえるかもしれませんが、多くの場合、解決するよりも多くの問題を引き起こします。これらの課題に飛び込む前に、Testcontainersと、最新のテスト手法におけるその役割について簡単に説明しましょう。

Testcontainersとは?

Testcontainers は、一般的なデータベース、Webブラウザ、またはDockerコンテナで実行できる任意のサービスの軽量で使い捨てのインスタンスを提供することにより、統合テストをサポートするように設計された人気のあるオープンソースライブラリです。これにより、開発者はモックやスタブに頼るのではなく、外部リソースの実際のインスタンスと対話するテストを記述できます。

Testcontainersの主な機能

現実的なテスト環境: コンテナ内の実際のサービスを使用することで、テストの信頼性が向上し、実際のシナリオにより近づきます。
分離: 各テストセッション、または各テストをクリーンな環境で実行できるため、共有状態による不安定さが軽減されます。
簡単なクリーンアップ:コンテナはエフェメラルであり、テスト後に自動的にクリーンアップされるため、リソースの漏れを防ぎます。

Docker デーモンへの依存

Testcontainersの機能のコアコンポーネントは、 Dockerデーモンとの相互作用にあります。 Testcontainers は、テストの必要に応じてコンテナを開始および停止することで、Docker リソースを調整します。この緊密な統合は、テストが実行される場所に関係なく、Docker環境へのアクセスが不可欠であることを意味します。

CIのTestcontainersを使用したDinDの課題

チームが CI/CD パイプラインに Testcontainers ベースの統合テストを含めようとすると、CI 環境内で Docker アクセスを提供するという課題に直面することがよくあります。 Testcontainers は Docker デーモンとの通信を必要とするため、多くのチームは Docker-in-Docker を使用して CI ジョブ内の Docker 環境をエミュレートすることに頼っています。

しかし、このアプローチでは、特にTestcontainersの使用を組織全体に拡大しようとすると、大きな課題が生じます。

ケーススタディ:CIパイプラインの悪夢

統合テストにTestcontainersを利用するJenkins CIパイプラインがありました。必要なDocker環境を提供するために、DinDを実装しました。最初はうまくいっているように見えましたが、すぐに次のことに遭遇しました。

不安定なビルド: ストレージドライバーの競合と入れ子になったコンテナーレイヤーの問題によるランダムなエラー。ネストされた Docker 環境がホストと衝突することがあり、予期しない動作を引き起こしていました。
セキュリティ上の懸念: 特権モードでコンテナを実行すると、セキュリティ監査中に危険信号が発生しました。 DinDが正しく機能するには特権モードが必要なため、重大なセキュリティリスクが発生し、コンテナがホストシステムにアクセスできる可能性があります。
パフォーマンスのボトルネック: ビルドが遅く、リソースの消費量が多かった。 Docker 内で Docker を実行するオーバーヘッドにより、フィードバックループが長くなり、開発者の生産性が妨げられていました。
複雑なデバッグ: ネストされたコンテナのトラブルシューティングに時間がかかりました。ログとエラーは、コンテナの複数のレイヤーを通じて追跡するのが困難であり、問題解決を困難にしていました。

これらの問題を解決するために数え切れないほどの時間を費やしましたが、まるでモグラたたきのゲームをしているように感じました。

Testcontainers Cloudがより良い選択である理由

Testcontainers Cloud は、コンテナベースのテストを簡素化し、強化するために設計されたクラウドベースのサービスです。コンテナの実行をクラウドにオフロードすることで、統合テストのための安全でスケーラブルで効率的な環境を提供します。

TestContainers CloudがDinDの欠点にどのように対処するか

セキュリティの強化

特権モードは不要: コンテナを特権モードで実行する必要がなくなり、攻撃対象領域が縮小します。
分離: テストは分離されたクラウド環境で実行され、ホストシステムへのリスクを最小限に抑えます。
コンプライアンスに配慮: Docker ソケットを公開したり、昇格された権限を付与したりすることなく、セキュリティ監査に合格しやすくなります。

パフォーマンスの向上

スケーラビリティ:クラウドリソースを活用して、テストをより高速に実行し、より高い負荷を処理します。
リソース効率: 実行の負荷を軽減すると、ローカルリソースと CI/CD リソースが解放されます。

シンプルな構成

プラグアンドプレイ統合:ローカルのDockerからTestcontainers Cloudに切り替えるために必要な変更は最小限です。
ネストされた複雑さがない:ネストされたDockerデーモンの複雑さと落とし穴を避けます。

可観測性とデバッグ性の向上

詳細ログ:Testcontainers Cloudダッシュボードから包括的なログにアクセスします。
リアルタイム監視:コンテナとリソースをリアルタイムで監視し、可視性を高めます。

Testcontainers Cloud の使用を開始する

Testcontainers Cloudを最大限に活用する方法を詳しく見ていきましょう。

Testcontainers Cloudに切り替えると、ローカルのDockerデーモンを必要とせずにテストを実行できます。

ローカルのDockerは不要:Testcontainers Cloudは、クラウドでのコンテナの実行を処理します。
一貫性のある環境: テストが、異なるコンピューター間で同じ環境で実行されるようにします。

さらに、Testcontainers CloudをCIパイプラインに簡単に統合して、CIインフラストラクチャをスケーリングすることなく同じテストを実行できます。

GitHub Actions での Testcontainers Cloud の使用

ここでは、GitHub Actions ワークフローで Testcontainers Cloud を設定する方法をご紹介します。

1。新しいサービスアカウントを作成する

Testcontainers Cloudダッシュボードにログインします。
[Service Accounts]に移動します。
- CI 環境専用の新しいサービスアカウントを作成します。
アクセストークンを生成します。
- アクセストークンをコピーします。一度しか表示できないため、安全に保管してください。

2。 TC_CLOUD_TOKEN環境変数を設定します

GitHub Actions で、次の操作を行います。
- リポジトリの [設定] > [シークレットと変数] > [アクション] に移動します。
- TC_CLOUD_TOKEN という名前の新しいリポジトリシークレットを追加し、アクセストークンを貼り付けます。

3。 Testcontainers Cloud をワークフローに追加する

GitHub Actions ワークフロー (.github/workflows/ci.yml) を更新して、Testcontainers Cloud のセットアップを含めます。

ワークフローの例:

name: CI Pipeline

on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3

      # ... other preparation steps (dependencies, compilation, etc.) ...

      - name: Set up Java
        uses: actions/setup-java@v3
        with:
          distribution: 'temurin'
          java-version: '17'

      - name: Setup Testcontainers Cloud Client
        uses: atomicjar/testcontainers-cloud-setup-action@v1
        with:
          token: ${{ secrets.TC_CLOUD_TOKEN }}

      # ... steps to execute your tests ...
      - name: Run Tests
        run: ./mvnw test

筆記：

atomicjar/testcontainers-cloud-setup-action GitHub アクションは、CI 環境での Testcontainers Cloud Agent のインストールと認証を自動化します。
GitHub の暗号化されたシークレットを使用して、 TC_CLOUD_TOKEN が安全に保たれていることを確認します。

コンポーネントの明確化: Testcontainers Cloud Agent と Testcontainers Cloud

すべてを明確にするために:

Testcontainers Cloud Agent (CI 環境の CLI): GitHub Actions などの CI 環境では、Testcontainers Cloud Agent (GitHub Action またはコマンドラインからインストール) を使用して CI ジョブを Testcontainers Cloud に接続します。
Testcontainers Cloud: コンテナを実行するクラウドサービスで、CI 環境からの実行をオフロードします。

CI 環境の場合:

CI ジョブ内で Testcontainers Cloud Agent (CLI) を使用します。
TC_CLOUD_TOKENを使用して認証します。
CI環境で実行されるテストは、Testcontainers Cloudを使用します。

監視とデバッグ

Testcontainers Cloudダッシュボードを活用します。

セッションログ: 個々のテストセッションのログを表示します。
コンテナの詳細: コンテナのステータスとリソースの使用状況を検査します。
デバッグ: トラブルシューティングのためにコンテナのログと出力にアクセスします。

開発者がDinDよりもTestcontainers Cloudを好む理由

現実世界への影響

Testcontainers Cloudを統合した後、私たちのチームは次のことを観察しました。

ビルド時間の短縮: リソース使用率が最適化されているため、テストの実行速度が大幅に向上しました。
メンテナンスの削減: CI パイプラインの問題のデバッグと修正に費やす時間を短縮します。
セキュリティの強化: 特権モードの必要性を排除し、セキュリティ監査を満たしました。
可観測性の向上: ログ記録と監視機能が向上しました。

一般的な懸念事項への対処

セキュリティとコンプライアンス

データの分離: 各テストは分離された環境で実行されます。
暗号化通信:安全なデータ伝送。
コンプライアンス: 業界標準のセキュリティプラクティスを満たしています。

コストに関する考慮事項

効率の向上:メンテナンスにかかる時間が節約され、コストが相殺されます。
リソースの最適化: 高価な CI インフラストラクチャの必要性が減ります。

互換性

多言語サポート:Java、Node.js、 Python、Go、.NET など。
シームレスな統合:既存のテストコードに必要な最小限の変更。

結論

Testcontainers Cloud Agentの助けを借りてTestcontainers Cloudに切り替えたことは、私たちのチームや業界の他の多くの人々にとってゲームチェンジャーでした。 Docker-in-Dockerに関連する主要な問題点に対処し、安全で効率的、かつ開発者にとって使いやすい代替手段を提供します。

キーテイクアウト

セキュリティ: 特権コンテナや Docker ソケットの露出が不要になります。
パフォーマンス:スケーラブルなクラウドリソースでテストの実行を高速化します。
シンプルさ: 構成が簡素化され、メンテナンスのオーバーヘッドが削減されます。
可観測性:詳細なログと監視ツールでデバッグを強化します。

これらの課題を乗り越えてきた者として、Testcontainers Cloudを試してみることをお勧めします。今こそ、DinDの複雑さを超えて、最新の開発ワークフロー向けに設計されたソリューションを採用する時です。