Distrolessとは何ですか？

Googleが提供するコンテナベースイメージのシリーズ。OSのパッケージマネージャやシェルを含まず、アプリケーションとランタイムライブラリのみで構成され、攻撃面を最小化する。

Distrolessのポイントは？

シェル・パッケージマネージャ・ユーティリティを一切含まないため攻撃面が極小。イメージサイズが小幅になりデプロイが速くなる。マルチステージビルドと組み合わせて本番コンテナをDistrolessにするのが定番

【ディストロレス】

💡 シェルもパッケージマネージャも捨てた、攻撃者が入れないコンテナ

📌 このページのポイント

通常イメージとDistrolessイメージの構成比較

ひよこ

Distrolessって何がDistroless（ディストリビューションなし）なの？

ペンギン先生

通常のコンテナイメージはUbuntuやDebianなどのLinux ディストリビューションを丸ごと含んでいるよね。Distrolessはそのディストリビューション部分——シェル、パッケージマネージャ（apt/yumなど）、各種ユーティリティ——を全部除いたイメージなんだよ。

ひよこ

シェルがないと何かいいことがあるの？

ペンギン先生

セキュリティが格段に上がるんだよ。攻撃者がコンテナに侵入してもシェルがないから操作できないし、bashの脆弱性もaptの脆弱性も関係なくなるんだ。CVEの対象になるソフトウェアが激減するから、脆弱性スキャンの結果もずっとクリーンになるよ。

ひよこ

でもデバッグするときに困りそうじゃない？

ペンギン先生

そうなんだよね。シェルがないのでコンテナに入って `ls` とか `cat` もできないんだ。だからDistrolessは本番環境専用と割り切って使う形が多いよ。開発・テスト用には通常のイメージを使って、本番だけDistrolessにするのが定番パターンだよ。

ひよこ

どうやって本番だけDistrolessにするの？

ペンギン先生

マルチステージビルドを使うんだよ。最初のステージ（builderステージ）で通常イメージを使ってコンパイルやビルドをして、最後のステージで `FROM gcr.io/distroless/java` などに切り替えてビルド成果物だけコピーするんだ。イメージサイズも劇的に小さくなるよ。

ひよこ

どんな言語に対応しているの？

ペンギン先生

Java・Python・Node.js・Go・C/C++など主要な言語のランタイムがそれぞれ用意されているよ。Goのように静的バイナリを生成できる言語なら、ランタイムすら必要ない `distroless/static` という最も素の形も使えるんだ。

まとめ：ざっくりこれだけ覚えればOK！

「Distroless」って出てきたら「シェルなし・ツールなしの超ミニマルな本番用コンテナベースイメージ」と思えればだいたいOK！

📖 おまけ：英語の意味

「Distroless」＝ディストリビューションなし

💬 distribution（Linuxディストリビューション）＋ less（なし）を合わせた造語だよ。GoogleがOSSとして公開しており、gcr.io/distroless 配下で提供されているよ。