Docker Hardened Images における glibc と musl のサポート

Docker Hardened Images（DHI）は、セキュリティを最優先しつつ、オープンソースやエンタープライズソフトウェアの幅広いエコシステムとの互換性を損なわないように設計されています。

この互換性を支える重要な要素のひとつが、Linux の一般的な標準ライブラリである glibc と musl のサポートです。

glibc と musl とは？

Linux ベースのコンテナを実行する際、イメージに含まれる C ライブラリは、アプリケーションがオペレーティングシステムとどのようにやり取りするかにおいて重要な役割を果たします。

ほとんどのモダンな Linux ディストリビューションは、以下の標準 C ライブラリのいずれかに依存しています:

• glibc（GNU C Library）: Debian、Ubuntu、Red Hat Enterprise Linux など主流のディストリビューションで標準として採用されている C ライブラリ。幅広いサポートがあり、言語、フレームワーク、エンタープライズソフトウェアにおいて最も互換性が高い選択肢とされています。

• musl: glibc の軽量な代替ライブラリで、Alpine Linux などのミニマルなディストリビューションでよく使用されます。イメージサイズの縮小やパフォーマンス面で利点がありますが、glibc を前提としたソフトウェアでは必ずしも完全な互換性が保証されるわけではありません。

DHI の互換性

DHI イメージは、glibc ベース（例：Debian）と musl ベース（例：Alpine）の両方のバリアントが提供されています。

互換性が重要となるエンタープライズアプリケーションやランタイム環境では、glibc ベースの DHI イメージを使用することを推奨します。

glibc と musl、どちらを選ぶべきか？

Docker Hardened Images は、glibc ベース（Debian）と musl ベース（Alpine）の両方のバリアントを提供しており、ワークロードに最適なものを選択できます。

Debian ベース（glibc）イメージを選ぶべきケース:

• エンタープライズワークロード、言語ランタイム、またはプロプライエタリソフトウェアとの幅広い互換性が必要な場合

• .NET、Java、Python など、glibc に依存するネイティブ拡張を含むエコシステムを利用している場合

• ライブラリの非互換性によるランタイムエラーのリスクを最小化したい場合

Alpine ベース（musl）イメージを選ぶべきケース:

• より小さいイメージサイズと攻撃対象領域の削減による、最小限のフットプリントを求める場合

• 依存関係が明確でテスト済みのカスタムアプリケーションスタックを構築する場合

• 最大限の互換性よりも、起動の速さや軽量なデプロイを優先する場合

どちらを選ぶか迷う場合は、まず Debian ベースのイメージを使用して互換性を確保し、アプリケーションの依存関係に自信が持てるようになった段階で Alpine を評価するのがおすすめです。