ビルドフェーズにおける課題とソリューション

次にビルドフェーズにおける典型的な課題と、Tanzu Application Platformが提供するソリューションについて見ていきましょう。

(1) 非機能要件の侵食

本番環境にセキュリティ製品などを導入した結果、これまで問題なくデプロイできていたアプリケーションに、大量のアラートが出てしまった経験はないでしょうか。しかしアラートだけでは修正点が不明確で、場当たり的に対応せざるをえなくなり、開発工程に混乱をきたしてしまいます。これは、まさに非機能要件がビルドフェーズを侵食している状況です。この状況を放置すれば、開発者の生産性を損なってしまいます。

(2) パイプラインの複雑化

CI/CDツールはとても便利なものですが、アクションを自由に定義できるが故に、あらゆる作業をパイプラインに担わせてしまいがちです。テスト・ビルドだけでなく、コンテナ作成やセキュリティの担保など、様々な工程をパイプラインに含めた結果、パイプラインは複雑化・属人化し、一部の「職人」以外は手出しできないブラックボックスと化してしまいます。

(3) 欠けていく柔軟性

パイプラインによる自動化は、Gitリポジトリへのソースコードのコミットをトリガーにしていますが、それ以外のトリガーで開始できる自動化フローも必要です。コミットへの依存は、先ほどのパイプラインの複雑化と合わせ、柔軟な自動化を妨げることに繋がります。

Tanzu Application Platformは、これらのビルドフェーズの課題に対して、以下のようなソリューションを用意しています。

非機能要件の透過的設定

非機能要件のうち、セキュリティ面では、シフトレフトセキュリティ^注のコンセプトに沿って、あらかじめインナーループの開発工程にセキュリティを折り込むことで、開発者の負担を軽減します。Tanzu Application Platformでは、Scan, Sign, Storeの3つの機能でシフトレフトセキュリティを実現しています。

• Scan: Anchore Grypeによるソースコード、コンテナイメージの脆弱性検査
• Sign: Cosignを利用したコンテナへのイメージ署名と、検査を経ない不正デプロイの防止
• Store: スキャン結果のSBOM(Software Bills of Materials)への蓄積による高速脆弱性検査

またコンテナイメージの作成に伴う膨大な設定ファイル作成の問題は、Build Serviceが解消します。これは、HerokuとVMware(旧Pivotal)が開発したCloudNative Buildpacks^※OSSを利用し、ソースコードからイメージを作成する作業を完全自動化にし、品質の高いアセットを作ることを可能にします。開発者が、煩雑なDockerfileを書く必要はなくなります。

柔軟性のある自動化と シンプルなパイプラインへの回帰

柔軟性のある自動化を実現する要となるのが、VMwareが中心となって開発している、Cartographer^※OSSです。Cartographerは、ビルド、スキャン、マニフェスト作成といった、アプリケーションのイメージやKubernetesの構成に必要なステップを、ユーザーが自由に定義して自動化できるツールです。ビルドやマニフェスト作成といったステップは、Cartographerにテンプレート化されているので、ユーザーが独自に定義する必要はありません。

また独自のパイプラインが必要な場合は、Kubernetesに特化したCI/CDツールであるTektonを使ったシンプルなパイプラインを作成することも可能です。複雑なデプロイ作業を行わせることが難しい分、パイプラインをシンプルに保ち、本来のパイプラインの役割である、テストとビルドの自動化に集中することができます。