Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンテナ完全に理解した

bmf_san
January 16, 2019
Programming
0
720

 コンテナ完全に理解した

bmf_san

January 16, 2019
Tweet

More Decks by bmf_san

See All by bmf_san
Makuakeの認証基盤とRe-Architectureチーム
bmf_san
0
830
天下一HTTPRouter武闘会.pdf
bmf_san
8
3.7k
ゆっくりHackerRank
bmf_san
0
52
ハイ__ᐛ___パァ_テキストプリプロフェッ__ᐛ___サァ_.pdf
bmf_san
0
96
net/httpでつくるHTTPルーター自作入門
bmf_san
0
220
GoでRouter自作実装寄りな話
bmf_san
0
120
Golang_chromedp_slack_botでslackの絵文字自動生成ボットをつくってみた.pdf
bmf_san
0
65
GolangでURLルーターをつくった
bmf_san
1
240
Dive to clean architecture with golang
bmf_san
2
1.2k

Other Decks in Programming

See All in Programming
Rendez-vous service et optimisez votre environnement de développement
bastnic
1
260
prototype大全 / YAPC::Kyoto 2023
utgwkk
0
900
改めて整理するWebアプリのビルド・デプロイの基本【コンテナ編】
os1ma
2
280
新しいことに挑戦したい組織が考えるべきこと
headwaters
0
150
本当に 0 からの 関数型プログラミングの歩き始め方 / How to Walk into Functional Programming from Scratch
guvalif
1
390
デプロイ今昔物語 〜CGIからサーバーレスまで〜 / The deployment technics
mackee
9
4k
Laravelへの異常な愛情 または私は如何にして心配するのを止めてEloquentを愛するようになったか
kentaroutakeda
6
3.2k
社内のメンバーに「関数型プログラミングの学習・教育」についていろいろ聞いてみた
j5ik2o
1
420
実録レガシー Rails アプリ改善ジャーニー / Legacy Rails app improvement journey
shutooike
3
120
kotlin-resultを用いて鉄道志向なエラーハンドリングを試みる
blackbracken
1
170
Learning PHP with PHP Parser
inouehi
1
170
Laravelプロダクト開発・運用の失敗学
shgishzk
0
130

Featured

See All Featured
Automating Front-end Workflow
addyosmani
1351
200k
Visualization
eitanlees
129
12k
Git: the NoSQL Database
bkeepers
PRO
419
60k
The Illustrated Children's Guide to Kubernetes
chrisshort
23
43k
Rails Girls Zürich Keynote
gr2m
87
12k
Building a Scalable Design System with Sketch
lauravandoore
451
31k
How GitHub (no longer) Works
holman
299
140k
How to train your dragon (web standard)
notwaldorf
66
4.3k
Typedesign – Prime Four
hannesfritz
34
1.6k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
351
21k
VelocityConf: Rendering Performance Case Studies
addyosmani
317
22k
Music & Morning Musume
bryan
37
4.7k

Transcript

  1. コンテナ完全に理解した
    @Makuake LT Party 2019/1/16

    View Slide

  2. 「完全に理解した」
    製品を利⽤をするためのチュートリアルを完了できたという意味。

    「なにもわからない」
    製品が本質的に抱える問題に直⾯するほど熟知が進んだという意味。
    「チョットデキル」
    同じ製品を⾃分でも1から作れるという意味。または開発者本⼈。
    cf. https://twitter.com/ito_yusaku/status/
    1042604780718157824
    Excuse

    View Slide

  3. 話すこと
    ・コンテナとは
    ・コンテナの歴史
    ・コンテナと仮想化の違い
    ・コンテナ技術の実現
    ・libcontainer

    View Slide

  4. コンテナとは
    ・ホストOSからアプリケーションとランタイムをま
    とめて、分離した⼀連のプロセス
    ・Dockerはコンテナを管理する技術

    View Slide

  5. Docker is Not コンテナ

    View Slide

  6. コンテナの歴史
    ೥ 6/*904ʹDISPPU͕ొ৔
    ೥ 'SFF#4%KBJMT͕'SFF#4%ʹొ৔ɻDISPPUͷൃలܥɻ
    ೥ -9$͕ϦϦʔεɻ-JOVYͷίϯςφٕज़ɻ
    ೥ %PDLFS͕ొ৔ɻίϯςφΛ؅ཧ͢Δٕज़ɻ
    7JSUVP[PPɺ0QFO7;ɺ)169DPOUBJOFSɺ4PMBSJT$POUBJOFS
    ͳͲίϯςφٕज़͸ଞʹ΋৭ʑ͋Δɻ

    View Slide

  7. コンテナと仮想化の違い
    ・コンテナ(コンテナ型仮想化)
     ・ホストOSからアプリケーションとランタイムをまとめて、分離し
    た⼀連のプロセス
     ・ホストOSのカーネルの部分を共有している
     ・OSのライブラリ部分はコンテナ側が選択可能
    ・仮想化
     ・ざっくりいうと、ホストOS上にゲストOSをまるごと⽤意する仕組

    View Slide

  8. 【図解】コンテナと仮想化の違い
    ϋʔυ΢ΣΞ ϋʔυ΢ΣΞ
    ϗετ04
    Ծ૝Խιϑτ΢ΣΞ
    ήετ04 ήετ04
    ϗετ04
    ίϯςφ؅ཧιϑτ΢ΣΞ
    ήετ04
    ϥΠϒϥϦ
    ήετ04
    ϥΠϒϥϦ
    ϛυϧ΢ΣΞ ϛυϧ΢ΣΞ
    ΞϓϦέʔγϣϯ
    ϛυϧ΢ΣΞ ϛυϧ΢ΣΞ
    ΞϓϦέʔγϣϯ ΞϓϦέʔγϣϯ ΞϓϦέʔγϣϯ
    ίϯςφ
    Ծ૝Խʢϗετܕʣ ίϯςφ

    View Slide

  9. コンテナと仮想化の違い
    わかりやすい
    cf. https://community.hpe.com/t5/Enterprise-Topics/
    Docker%E3%82%B3%E3%83%B3%E3%83%86%E3
    %83%8A%E3%81%A8%E4%BB%AE%E6%83%B3%E
    5%8C%96%E3%81%AE%E9%81%95%E3%81%84%E
    3%81%A8%E3%81%AF-
    Synergy%E3%81%A8DevOps/ba-p/6980068?
    profile.language=ja#.XD6Zks8zZTY

    View Slide

  10. コンテナ技術の実現
    ・Kernel namespaces
    ・Appramor and SELinux profiles
    ・Seccomp policies
    ・Chroot
    ・Kernel capabilities
    ・CGroups

    View Slide

  11. Kernel namespaces
    ・プロセスを6種類のシステムリソースに分割する機

     ・ipc, uts, mount, pid, network, user
    ・分離されたリソース同⼠は互いに⼲渉できない
    ・ユーザーがユーザー専⽤の分離されたリソースを
    持っているように⾒える仕組みを実現

    View Slide

  12. Appramor and SELinux profiles
    ・アプリケーションとかファイルとかカーネルとかのアクセス制
    御機能
    ・Apparmor
     ・Linux Security Modulesの1種
     ・アプリケーションのアクセス権限をセキュアに管理
    ・SELinux
     ・Linuxカーネルに強制アクセス制御機能を加えるモジュール

    View Slide

  13. Seccomp policies
    ・プロセスのシステムコール発⾏を制限する機能 

    View Slide

  14. Chroot
    ・親プロセスと⼦プロセス群に対して、ルートディレ
    クトリを変更する
    ・ルートを変更されたプロセスは範囲外のファイルに
    アクセスできなくなる
     ・→プロセス分離の実現

    View Slide

  15. Kernel capabilities
    ・プロセスの権限管理
    ・rootなのか、root以外なのかよりももっと細かい権
    限管理ができる

    View Slide

  16. Cgroups
    ・プロセスをグループ化して共通管理する

    View Slide

  17. コンテナ技術の実現
    ・Linuxカーネルのこれらの機能を駆使して実現され
    ている
    ・これらの機能を駆使してコンテナ技術をLinuxで使
    えるようにしたやつがlxc

    View Slide

  18. Dockerのコンテナ技術
    ・以前はlxc、v0.9からlibcontainer
     ・cf. https://blog.docker.com/2014/03/
    docker-0-9-introducing-execution-drivers-and-
    libcontainer/

    View Slide

  19. Libcontainer is 何
    ・コンテナ利⽤のためのGoで実装されたランタイム
    ・元はdockerのリポジトリにあった(cf. https://github.com/docker/libcontainer)
    ・runC (cf. https://github.com/opencontainers/runc)
     ・コンテナランタイムのリファレンス実装プロジェクト
     ・OCI(Open Container Initiative)が管理
      ・Docker社が⽴ち上げたコンテナ標準仕様を策定する団体
    ・gVisorもコンテナランタイム
    ・コンテナランタイムをもっと知る
     ・cf. https://www.ianlewis.org/en/container-runtimes-part-1-introduction-container-r

    View Slide

  20. Libcontainerを触ってみる
    ・「Goならわかるシステムプログラミング」の最後
    の章にのってるよ!

    View Slide

  21. まとめ
    ・コンテナは隔離されたプロセス
    ・コンテナはホストOSのカーネル部分を共有、ライブ
    ラリ部分は⾃由に選択できる
    ・Linuxカーネルを読む機運が⾼まった(読むとはいっ
    てない)
    ・libcontainerは触ったり、コード読んだらgoの勉強に
    もなりそう、楽しそう(⼩並感)

    View Slide

  22. 余談
    Cookpadのスプリングインターンにコンテナコース
    というのがあった

    https://internship.cookpad.com/2019/spring/

    View Slide


  23. View Slide