概要

Datadog のコンテナイメージビューは、環境で使用されているすべてのイメージに関する重要な洞察を提供し、それらのデプロイメントの足跡を評価するのに役立ちます。また、複数のコンテナに影響する可能性のあるセキュリティやパフォーマンスの問題を検出して修正することもできます。インフラストラクチャーの健全性に影響するイメージの問題をトラブルシューティングするために、コンテナイメージの詳細を他のコンテナデータと一緒に表示することができます。さらに、Cloud Security Management (CSM) からコンテナイメージに見つかった脆弱性を表示し、セキュリティ対策の効率化に役立てることができます。

脆弱性をハイライトするコンテナイメージビューとコンテナ列のソート機能

コンテナイメージのトレンドビューは、コンテナ化されたインフラストラクチャー内のすべてのイメージに関するおおまかな洞察を提供します。コンテナイメージのトレンドメトリクスは、数週間から数か月にわたるセキュリティ態勢やデプロイのフットプリントに関する重要なポイントを把握するのに役立ちます。

イメージサイズ、イメージの経過時間、脆弱性、および実行中のコンテナ数のメトリクスをハイライトするコンテナイメージのトレンドビュー

コンテナイメージビューの構成

コンテナイメージビューのイメージは、いくつかの異なるソース (Live Containers、Image Collection、Amazon ECR) から収集されます。以下の手順では、これらの各ソースからのイメージを有効にする方法を説明します。

ライブコンテナ

ライブコンテナ収集を有効にするには、コンテナのドキュメントを参照してください。このドキュメントには、Process Agent の有効化、コンテナの除外と包含に関する情報が記載されています。

イメージの収集

Datadog はコンテナイメージのメタデータを収集し、関連するコンテナや Cloud Security Management (CSM) の脆弱性に関するデバッグのコンテキストを強化します。

コンテナイメージ収集の有効化

Datadog Operator v1.3.0 以降では、イメージ収集がデフォルトで有効になっています。古いバージョンの Datadog Operator を使用している場合は、v1.3.0 以降にアップデートすることをお勧めします。

Datadog Helm chart v3.46.0 以降では、イメージ収集はデフォルトで有効になっています。これを確認するには、または以前のバージョンの Helm chart を使用している場合は、datadog-values.yamldatadog.containerImageCollection.enabledtrue に設定されていることを確認してください。

datadog:
  containerImageCollection:
    enabled: true

ECS EC2 インスタンスでコンテナイメージの収集を有効にするには、datadog-agent コンテナ定義に以下の環境変数を追加します。

{
    "containerDefinitions": [
        {
            "name": "datadog-agent",
             ...
            "environment": [
              ...
              {
                "name": "DD_CONTAINER_IMAGE_ENABLED",
                "value": "true"
              }
            ]
        }
    ]
  ...
}

datadog.yaml コンフィギュレーションファイルに以下を追加します。

container_image:
  enabled: true

SBOM 収集の有効化

以下の手順では、CSM Vulnerabilities の Software Bill of Materials (SBOM) 収集を有効にします。SBOM 収集は、コンテナイメージの脆弱性の自動検出を可能にします。脆弱性は 1 時間ごとに評価され、コンテナに対してスキャンされます。コンテナイメージの脆弱性管理は、CSM Pro および Enterprise プランに含まれています。

: CSM Vulnerabilities 機能は AWS Fargate または Windows 環境では利用できません。

datadog-agent.yaml ファイルの spec セクションに以下を追加します。

apiVersion: datadoghq.com/v2alpha1
kind: DatadogAgent
metadata:
  name: datadog
spec:
  features:
    # ...
    sbom:
      enabled: true
      containerImage:
        enabled: true

Helm のコンフィギュレーションファイル datadog-values.yaml に以下を追加します。

datadog:
  sbom:
    containerImage:
      enabled: true

ECS EC2 インスタンスでコンテナイメージの脆弱性スキャンを有効にするには、datadog-agent コンテナ定義に以下の環境変数を追加します。

{
    "containerDefinitions": [
        {
            "name": "datadog-agent",
             ...
            "environment": [
              ...
              {
                "name": "DD_SBOM_ENABLED",
                "value": "true"
              },
              {
                "name": "DD_SBOM_CONTAINER_IMAGE_ENABLED",
                "value": "true"
              }
            ]
        }
    ]
  ...
}

Agent がコンテナイメージから SBOM を抽出できない場合は、コンテナ定義の Agent メモリを増やしてください。

{
    "containerDefinitions": [
        {
            "name": "datadog-agent",
            "memory": 256,
            ...
        }
     ]
    ...
}

datadog.yaml コンフィギュレーションファイルに以下を追加します。

sbom:
  enabled: true
  container_image:
    enabled: true

コンテナレジストリ

Amazon Elastic Container Registry (Amazon ECR)

Amazon ECR からコンテナイメージのメタデータのクロールを開始するために、AWS インテグレーションをセットアップします。

コンテナイメージのトレンド構成

コンテナイメージのトレンド構成モーダルを使用し、Enable Container Image Metric Collection を切り替えて、イメージメトリクスの生成をオンにします。

イメージメトリクスは、Live Containers および Image Check ソースから収集されます。上記と同じ手順に従って、インフラストラクチャー全体でこれらの収集が有効になっていることを確認し、トレンドビューを最大限に活用してください。

コンテナイメージのトレンド構成モーダル

コンテナイメージのタグ付け

Agent の extract labels as tags 構成により、コンテナイメージに任意のタグを付け、リッチ化します。これらのタグはコンテナイメージのチェックで選択されます。

その他の参考資料