1. Podmanユーザー・ガイド
  2. Oracle Linuxコンテナ・イメージのタグ付け規則

12 Oracle Linuxコンテナ・イメージのタグ付け規則

Oracleでは、いくつかの規則に従ってOracle Linuxのコンテナ・イメージにタグ付けします。ユーザーは、こうした規則に注意して、当面の目的に最適なイメージを使用することで不要な機能不全を回避し、イメージが最新のパッチを適用したソフトウェアを引き続き使用できるようにする必要があります。

slimタグ

Oracleでは、各Oracle Linuxリリースの最小限の圧縮バージョンをリリースします。これらのイメージには、コンテナ内で実行したり、追加パッケージのインストールを実行するのに十分なオペレーティング・システムが含まれています。こうしたイメージは、ビルドで一般的に使用する推奨イメージで、スクリプト形式のインストールが使用される可能性があります。このタグを使用するイメージは、最新の更新レベルで維持されます。

たとえば、最新バージョンのOracle Linux 7 slimイメージを使用する場合は、7-slimタグを使用します。最新バージョンのOracle Linux 8 slimイメージを使用する場合は、8-slimタグを使用します。 

sudo podman pull oraclelinux:7-slim

FIPS準拠バージョンのイメージは、slim-fipsタグでタグ付けされます。これらのイメージには、準拠した暗号化パッケージ・バージョンと、コンテナFIPS準拠に必要な初期イメージ設定のほとんどが含まれています。これらのイメージを使用するには、ホスト・システムでFIPSモードを有効にする必要があります。

次のslim-fipsイメージを使用できます:

  • oraclelinux:7-slim-fips:

    • イメージのリリース時点における最新のFIPS準拠バージョンのOracle Linux 7暗号化パッケージはすでにインストールされています。
    • Oracle Linux 7.8セキュリティ検証リポジトリはイメージyum構成ファイルですでに有効になっているため、コンテナはFIPS準拠の暗号化パッケージ・バージョンを含むシステム更新を取得できます。
    • コンテナFIPSモードに必要なdracut-fipsパッケージがすでにインストールされています。

  • oraclelinux:8-slim-fips:

    • イメージのリリース時点における最新のFIPS準拠バージョンのOracle Linux 8暗号化パッケージはすでにインストールされています。
    • Oracle Linux 8.4セキュリティ検証リポジトリはイメージyum構成ファイルですでに有効になっているため、コンテナはFIPS準拠の暗号化パッケージ・バージョンを含むシステム更新を取得できます。
    • dockerのコンテナFIPSモードに必要な/etc/system-fipsファイルがすでに作成されています。

一般的なOracle Linuxリリースのタグ

Oracle Linuxイメージはリリース・レベルでタグ付けされており、常に対応する最新の更新レベルにマップされるように維持されます。slimイメージで提供されているバージョンよりも完全なオペレーティング・システムが必要な場合は、リリース・タグを使用して、そのOracle Linuxイメージに対応する最新のイメージを取得するようにしてください。

たとえば、Oracle Linux 8の最新更新リリース・イメージを取得するには、8タグを使用します。 

sudo podman pull oraclelinux:8

Oracle Linuxの更新レベルのタグ

Oracle Linuxイメージは、更新レベルでタグ付けされます。その他の記述されたタグは、Oracle Linuxイメージの最新または最新の更新レベルにマップされます。

警告:

Containerfile内またはすべてのビルド内の更新レベル・タグは、特定の更新レベルを必要とする特定のユースケースがある場合を除き、直接使用しないでください。一般的なユースケースとして、Oracle Linuxの特定の更新レベルにのみ存在する問題や不具合を解決する場合が挙げられます。

更新レベルのタグを使用すると、パッチが適用されていないソフトウェアがコンテナで実行され、セキュリティの問題やソフトウェアの不具合にさらされる可能性があります。

更新レベルのタグには、更新レベルを示すドット表記法を使用します。たとえば、Oracle Linux 8.2は8.2タグを使用して示されます。 

sudo podman pull oraclelinux:8.2

latestタグ

重要:

Oracleでは、このタグをOracle Linuxのイメージに提供していません。かわりに、slimイメージまたはリリース・タグを使用してください。また、別の配布イメージまたはソフトウェア・イメージを操作する場合、ユーザーは、このタグに依存しないようにすることもお薦めします。

デフォルトの使用は、多くの場合に重大な混乱を引き起こし、エンド・ユーザーのビルドとスクリプト化された機能が頻繁に中断されるようになります。この理由とイメージ・タグを使用する際のベスト・プラクティスを推進するために、OracleではOracle Linuxイメージに対してlatestタグを指定していません。

このタグが使用できない理由を説明するために、このヘルプに関してOracleが判断した根拠は次のとおりです。

  • latestタグを使用すると、更新レベルではなくディストリビューション・リリース間で重大な飛び越しが発生する可能性があります。これは、多くの場合、latestタグを選択するときにユーザーが意図することではありません。また、ツールによってはタグをまったく指定しないことでこのタグにフォールバックすることがあります。想定される機能はリリース間で大幅に変化していて、コマンド、オプション、構成および使用可能なソフトウェアに変更が加えられていることがあります。

  • 特定のビルドに使用されたlatestイメージを識別する簡単な方法がないため、2つの最終ビルド・イメージの違いを確認することが困難になります。この問題追跡の変更により、新しいビルドが失敗した場合に、既知の動作しているベース・イメージにロールバックすることも困難になります。

  • latestタグによるイメージのタグ付けは自動ではなく、latestとしてタグ付けされたイメージが更新されていないときに、それよりも新しいイメージが使用可能になっている可能性があります。そのために、予期しない結果を招くことがあります。

  • すべてのツールがlatestタグを同様に扱うわけではありません。一部のツールはアップストリームのレジストリから常にlatestタグの付いたイメージをプルするようにデフォルト設定されていて、その他のツールは期限切れになっていたとしてもローカルに格納されたlatestタグの付いたイメージがデフォルトに設定されていることがあります。

この決定によって、latestタグにフォールバックする一部のツールでは、イメージにタグが指定されていないときにエラーが発生する可能性があります。次に例を示します。 

sudo podman pull docker.io/library/oraclelinux
Trying to pull docker.io/library/oraclelinux...
  manifest unknown: manifest unknown
Error: error pulling image "docker.io/library/oraclelinux": unable to pull docker.io/library/oraclelinux: 
unable to pull image: Error initializing source docker://oraclelinux:latest: Error reading manifest latest 
in docker.io/library/oraclelinux: manifest unknown: manifest unknown

使用するイメージには必ず適切なタグを指定してください。次に例を示します。 

sudo podman pull oraclelinux:8