トラブルシューティング

Docker Hardened Images（DHI）への移行や利用中によく遭遇する問題と、その推奨される解決方法を以下に示します。

一般的なデバッグ

Docker Hardened Images は、セキュリティと実行時のパフォーマンスを最適化するために設計されています。

そのため、通常はシェルや標準的なデバッグツールが含まれていません。

DHI をベースとしたコンテナのトラブルシューティングには、Docker Debug の使用が推奨されます。

Docker Debug を使用すると、以下のことが可能になります:

DHI はセキュリティ強化のため、デフォルトで非 root ユーザーとして実行されます。

そのため、ファイルやディレクトリへのアクセス時にパーミッションの問題が発生することがあります。

アプリケーションのファイルや実行時ディレクトリが、想定される UID/GID に所有されているか、または適切なパーミッションが設定されていることを確認してください。

DHI がどのユーザーで実行されているかを確認するには、Docker Hub 上の該当イメージのリポジトリページを参照してください。

非 root コンテナは、デフォルトでは 1024 番未満のポートにバインドできません。

この制限は、コンテナランタイムおよびカーネル（特に Kubernetes や Docker Engine 20.10 未満）によって強制されます。

コンテナ内では、アプリケーションが 1025 番以上の特権外ポートでリッスンするように構成してください。

たとえば、以下のように実行することで：


docker run -p 80:8080 my-image

コンテナ内のポート 8080 をホストのポート 80 にマッピングすることができ、root 権限を必要とせずにアクセスできるようになります。

実行時用の DHI には、sh や bash のような対話型シェルが含まれていません。

そのため、ビルドやツールがシェルの存在を前提としている場合（例: RUN 命令でシェルを使用している場合）は、ビルドの初期段階で dev バリアントのイメージを使用し、最終的な成果物（アーティファクト）を実行時用イメージにコピーするようにしてください。

DHI にどのシェルが含まれているか（または含まれていないか）を確認するには、Docker Hub 上の該当イメージのリポジトリページを参照してください。

また、実行中のコンテナにシェルでアクセスする必要がある場合は、Docker Debug を使用してください。

DHI は、Docker Official Images（DOI）や他のコミュニティイメージとは異なる ENTRYPOINT を定義している場合があります。

DHI の ENTRYPOINT や CMD を確認するには、Docker Hub 上の該当イメージのリポジトリページをご覧ください。

実行時用の Docker Hardened Images は、セキュリティと攻撃対象領域の最小化を目的としてスリム化されており、apk や apt などのパッケージマネージャは含まれていません。

そのため、実行時イメージ内でソフトウェアを直接インストールすることはできません。

コードのビルドやアプリケーションのセットアップにおいてパッケージのインストールが必要な場合（例：コードのコンパイル、実行時依存のインストール、診断ツールの追加など）、ビルドステージで dev バリアントのイメージを使用し、必要な成果物だけを最終的な実行時イメージにコピーしてください。