Docker Hardened Image コンテナをデバッグする

Docker Hardened Images（DHI）は、最小構成とセキュリティ重視の設計であるため、シェルやパッケージマネージャなどの一般的なデバッグツールがあえて含まれていません。

そのため、イメージ自体を変更せずにトラブルシューティングを行うことは難しく、対応には慎重さが求められます。

この課題に対応するために、Docker Debug を使用することで、オリジナルのイメージを変更せずに、一時的なデバッグ用コンテナを既存のサービスやイメージに安全に接続できます。

このガイドでは、開発中に DHI をローカルでデバッグする方法を紹介します。

また、--host オプションを使用すれば、リモートのコンテナを対象としたデバッグも可能です。

以下の例では、ミラーリングされた dhi-python:3.13 イメージを使用していますが、他の DHI イメージでも同様の手順で適用できます。

ステップ 1： Hardened Image からコンテナを起動する

まず、DHI ベースのコンテナを起動して、問題を再現してみましょう:


$ docker run -d --name myapp <YOUR_ORG>/dhi-python:3.13 python -c "import time; time.sleep(300)"

このコンテナには、sh や ps、top、cat などのツールは含まれていません。

たとえば、次のようにしてシェルで接続しようとすると:


$ docker exec -it myapp sh

次のようなエラーが表示されます:


exec: "sh": executable file not found in $PATH

docker debug コマンドを使用すると、ツールが揃った一時的なデバッグ用コンテナを、実行中のコンテナにアタッチできます。


$ docker debug myapp

この状態で、実行中のプロセスやネットワーク状況、マウントされたファイルなどを調査できます。

たとえば、実行中のプロセスを確認するには:


$ ps aux

デバッグセッションを終了するには:


$ exit

Docker Debug を使えば、元のイメージの完全性を損なうことなく、ハードニングされたコンテナを安全にトラブルシュートできます。

デバッグ用コンテナは一時的かつ分離された環境で動作するため、本番環境にセキュリティリスクを持ち込まずに調査を行えます。

パーミッション、ポート、シェルの欠如、パッケージマネージャの不足などに関する問題が発生した場合は、Docker Hardened Images のトラブルシューティングを参照してください。推奨される対処法や回避策が紹介されています。