すべてのプロダクト
Search

このプロダクト

    Container Registry:デリバリーチェーンの作成

    ドキュメントセンター

    Container Registry:デリバリーチェーンの作成

    最終更新日:Mar 26, 2026

    Container Registry (ACR) のデリバリーチェーンは、単一のソースコードのプッシュから、リージョンをまたいだイメージのビルド、スキャン、レプリケーション、ディストリビューションといったイメージライフサイクル全体を自動化します。各ステージは監視および追跡が可能で、イメージがセキュリティスキャンに失敗した場合にチェーンを停止させるブロッキングルールを設定できます。

    このトピックでは、5 つすべてのステージを設定したデリバリーチェーンを作成する方法について説明します。

    前提条件

    開始する前に、以下をご確認ください:

    仕組み

    各ステージは、その出力を次のステージに渡します:

    1. イメージのビルド — ソースコードのプッシュによってトリガーされ、タグ付けされたイメージを生成します。

    2. セキュリティスキャン — イメージをスキャンします。ブロッキングルールがトリガーされると、チェーンは停止し、後続のステージは実行されません。

    3. イメージのレプリケーション — イメージをリージョンをまたいで 1 つ以上の宛先 Enterprise Edition インスタンスにコピーします。

    4. ディストリビューショントリガー — Container Service for Kubernetes (ACK) クラスターに通知し、新しいイメージを使用して再デプロイさせます。

    ステップ 1:デリバリーチェーンの作成と基本情報の設定

    1. Container Registry コンソールにログインします。

    2. 上部のナビゲーションバーで、リージョンを選択します。

    3. 左側のナビゲーションウィンドウで、[インスタンス] をクリックします。

    4. [インスタンス] ページで、対象の Enterprise Edition インスタンスをクリックします。

    5. インスタンス管理ページの左側のナビゲーションウィンドウで、[デリバリーチェーン] > [チェーン] を選択します。

    6. [チェーン] ページの左上隅にある [デリバリーチェーンの作成] をクリックします。

    7. [基本情報] セクションで、次のパラメーターを設定します:

      パラメーター説明
      名前デリバリーチェーンの名前。
      説明任意。デリバリーチェーンの説明。
      範囲名前空間と、その名前空間内のイメージリポジトリを選択します。
      すべて有効オンにすると、選択した名前空間内のすべてのリポジトリが含まれます。オフにすると、除外するリポジトリを指定できます。

    ステップ 2:イメージビルドルールの設定

    ステップ 1 でオンプレミスのイメージリポジトリを選択した場合、イメージのビルドは利用できません。ステップ 3 に進んでください。

    1. [チェーン] セクションで [イメージのビルド] をクリックし、次に [ビルドルールの追加] をクリックします。

    2. [ビルド情報] ステップで、以下のパラメーターを設定し、[次へ] をクリックします。

      パラメーター説明
      タイプソースコードリポジトリのタイプ。有効な値:[ブランチ][タグ]
      ブランチ/タグブランチ名またはタグ名を選択または入力します。正規表現がサポートされています。たとえば、release-(?<imageTag>\w*) は、release-v1 ブランチが更新されたときにビルドをトリガーし、イメージタグを v1 に設定します。正規表現を指定すると、システムのみがビルドをトリガーでき、手動ビルドは無効になります。
      ビルドコンテキストディレクトリDockerfile を含むディレクトリへの相対パス。コードブランチのルートからの相対パスです。
      Dockerfile ファイル名Dockerfile の名前。デフォルト:Dockerfile

    3. [タグ] ステップで、イメージタグの設定を行い、[保存] をクリックしてから [次へ] をクリックします。

      [設定の追加] をクリックしてタグ設定を追加します。最大 3 つのイメージタグがサポートされています。
      パラメーター説明
      イメージタグビルドされたイメージのタグ。例:latest[ブランチ/タグ] で名前付きキャプチャグループを使用した場合、ここでキャプチャした値を参照できます。
      ビルド時間任意。ソースコードのプッシュ時間 (UTC+8) をタグに追加します。フォーマット例:20201015 または 202010151613。設定した場合、システムのみがビルドをトリガーできます。
      コミット ID任意。最新のコミット ID の文字をタグに追加します。デフォルト:最初の 6 文字。スライダーで調整可能です。設定した場合、システムのみがビルドをトリガーできます。

    4. [ビルド設定] ステップで、以下のパラメーターを設定し、[確認] をクリックします。

      パラメーター説明
      ビルドアーキテクチャターゲットアーキテクチャ。複数選択すると、タグごとにアーキテクチャごとに 1 つのイメージが生成されます。
      ビルドパラメーターランタイムビルドパラメーターをキーと値のペアとして指定します。大文字と小文字が区別されます。最大 20 ペア。

    このステップの出力: ステップ 1 で指定されたリポジトリに保存されたタグ付きイメージ。このイメージは、セキュリティスキャンステージの入力となります。

    ステップ 3:イメージセキュリティスキャン用のブロッキングルールの設定

    セキュリティスキャンは、イメージがレプリケーションまたはディストリビューションされる前に各イメージをチェックします。ブロッキングルールがトリガーされると、すべてのイメージに対してチェーンが停止します。

    1. [チェーン] セクションで、[セキュリティスキャン] をクリックします。

    2. [ノード設定] セクションで、以下を設定します:セキュリティエンジン — スキャンエンジンを選択します:ブロック戦略 — ルールがトリガーされたときのチェーンの応答を選択します:

      オプション説明
      Security Center スキャンエンジン脆弱性を検出し、Security Center で数回クリックするだけで修正できます。Security Center の Ultimate Edition が必要です。現在のリージョンで Security Center が有効化されていない場合、このオプションは表示されません。「Security Center の購入」をご参照ください。
      Trivy スキャンエンジンContainer Registry を介したワンクリックでの脆弱性修正はサポートされていません。
      戦略動作
      ブロッキングルールがトリガーされると、すべてのイメージの後続ステージをすべて停止します。[深刻度][脆弱性] のしきい値を指定し、元のイメージの処理 (削除またはバックアップ) を設定します。
      非ブロッキングスキャン結果に関係なく、後続のすべてのステージが進行します。

    このステップの出力: 戦略が [非ブロッキング] であるか、ルールがトリガーされなかった場合、イメージはレプリケーションステージに進みます。[ブロッキング] がトリガーされた場合、チェーンはここで終了します。

    ステップ 4:イメージレプリケーションルールの設定

    イメージがセキュリティスキャンに合格すると、レプリケーションによって他のリージョンにある宛先の Enterprise Edition インスタンスに自動的にコピーされます。

    1. [チェーン] セクションで [同期のトリガー] をクリックし、次に [ルールの作成] をクリックします。

    2. [ルールの作成] ダイアログボックスで、ルール名を入力し、宛先インスタンスを指定します:[次へ] をクリックします。

      インターネットアクセスが無効になっている場合でも、イメージは異なるリージョンで自動的にレプリケーションできます。

    3. [レプリケーション情報] ウィザードで、レプリケーションの範囲を設定し、[ルールの作成] をクリックします。

      パラメーター説明
      レプリケーションレベルレプリケーションの範囲です。有効な値: 名前空間(名前空間内のすべてのリポジトリ)、リポジトリ(特定のリポジトリ)。
      送信元アドレスレプリケーション元となる名前空間およびリポジトリです。レプリケーション対象のイメージタグをフィルターする正規表現を入力します。デフォルト値:すべてのタグ。リポジトリフィールドは、レプリケーションレベルリポジトリに設定されている場合のみ利用可能です。

    このステップの出力: イメージは設定されたすべての宛先インスタンスで利用可能になり、ディストリビューションの準備が整います。

    ステップ 5:ディストリビューショントリガーの設定

    ディストリビューショントリガーは、ご利用の ACK クラスターに通知し、新しいイメージをプルしてアプリケーションを自動的に再デプロイさせます。

    1. [チェーン] セクションで [トリガー] をクリックし、次に [作成] をクリックします。

    2. [トリガーの作成] ダイアログボックスで、次のパラメーターを設定し、[確認] をクリックします。

      パラメーター説明
      名前トリガーの名前。
      トリガー URLコールバック URL。この URL は、ご利用の ACK クラスターの設定から取得します。
      トリガーディストリビューションをトリガーするタイミング。有効な値:[すべて] (すべてのイメージ更新がディストリビューションをトリガー)、[正規表現による] (正規表現に一致するタグを持つイメージのみ)、[タグによる] (指定されたリスト内のタグを持つイメージのみ)。

    3. [デリバリーチェーンの作成] ページで、[作成] をクリックします。

    結果

    デリバリーチェーンが [チェーン] ページに表示されます。

    実行をモニターするには、ご利用の Enterprise Edition インスタンスにログインし、[レコード] ページに移動します。そこで、各ステージのステータスと結果を確認できます。実行が成功した後、更新されたイメージがご利用の ACK クラスターにデプロイされていることを確認します。

    次のステップ

    • チェーンをトリガーするには、設定されたブランチまたはタグにソースコードの変更をプッシュします。

    • スキャン結果を表示するには、[レコード] ページに移動し、セキュリティスキャンステージの出力を確認します。

    • 宛先インスタンスを追加するには、追加するリージョンごとにステップ 4 を繰り返します。