Upgrade to Pro — share decks privately, control downloads, hide ads and more …

10分で理解したかったlibkrun / I wanted to understand libkrun but

Kohei Ota
March 20, 2021
Technology
0
2.2k

10分で理解したかったlibkrun / I wanted to understand libkrun but

Kohei Ota

March 20, 2021
Tweet

More Decks by Kohei Ota

See All by Kohei Ota
Cracking the KubeCon CfP
inductor
2
250
KubeCon Recap -Platform migration at Scale-
inductor
1
860
コンテナビルド最新事情 2022年度版 / Container Build 2022
inductor
3
380
データベースとストレージのレプリケーション入門 / Intro-of-database-and-storage-replication
inductor
26
5.7k
KubeConのケーススタディから振り返る、Platform for Platforms のあり方と その実践 / Lessons from KubeCon case studies: Platform for Platforms and its practice
inductor
3
660
オンラインの技術カンファレンスを安定稼働させるための取り組み / SRE activity for online conference platform
inductor
1
1.1k
Kubernetesネットワーキング初級者脱出ガイド / Kubernetes networking beginner's guide
inductor
18
5.5k
コンテナネイティブロードバランシングの話 / A story about container native load balancing
inductor
1
1.8k
DockerCon Live 2021 Recap
inductor
2
1k

Other Decks in Technology

See All in Technology
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
1
320
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
310
APIファーストなプロダクトマネジメントの実践 〜SaaSus Platformでの例〜 / "Practicing API-First Product Management - An Example with SaaSus Platform
oztick139
0
110
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
860
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
130
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
310
ServiceNow Knowledge 24の歩き方 EYストラテジー・アンド・コンサルティング
manarobot
0
200
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
16k
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
210
The AI Revolution Will Not Be Monopolized: Behind the scenes
inesmontani
PRO
0
110
Cypress or Playwright?
rainerhahnekamp
0
140
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.8k

Featured

See All Featured
Fireside Chat
paigeccino
21
2.6k
Building Flexible Design Systems
yeseniaperezcruz
319
37k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
352
28k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
Bash Introduction
62gerente
604
210k
Producing Creativity
orderedlist
PRO
337
39k
Rails Girls Zürich Keynote
gr2m
91
13k
How to Ace a Technical Interview
jacobian
272
22k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k

Transcript

  1. 10分で完全理解する したかった libkrun Kernel/VM探検隊online part2 Presented by @_inductor_

  2. 自己紹介 名前: 太田 航平 (@inductor) 所属: HPE (Hewlett Packard Enterprise)

    役職: ソリューションアーキテクト (Cloud Native and DevOps) Container Runtime MeetupやCloud Native Daysの運営、謎のアンバサダー業 好きなこと: 無限にスケールする(無限にスケールするとは言ってない)インフラ

  3. Disclaimer 今日はコンテナがちょっと好きな素人がちょっと低めのレイヤに手を出したらやけどし て何もわからなかったという話をします 低レイヤに気軽に手を出してもらうためのきっかけにしてください!!! 低めのレイヤが好きな皆様にあたりましては、ツッコミとアドバイスをしていただきつ つ、発表者の理解度を上げていただけますようお願い申し上げます😭

  4. libkrun とは • Red Hatのエンジニアが去年作り始めたVMM(Virtual Machine Monitor) • VMM? →

    コンテナ目線で考えるUnikernelとmicroVM(前回の資料) • 最低限のデバイスエミュレーションとC APIを備えたRust製のMicroVM ◦ virtio-console, virtio-fs, virtio-vsockなどを実装 ◦ Firecrackerなどからコードを拝借してるらしい • macOSでも動くっぽい(動作未確認) • C APIを提供しているのでライブラリとしても使える ◦ crunで実験的にサポートを開始 • ネットワークコンポーネントにvirtio-netは使わず、vsockベースのTSI(Transparent Socket Impersonation)という”革新的な方法”で自前実装 ◦ 依存関係ライブラリとして libkrunfwがある

  5. libkrun とは • Red Hatのエンジニアが去年作り始めたVMM(Virtual Machine Monitor) • VMM? →

    コンテナ目線で考えるUnikernelとmicroVM(前回の資料) • 最低限のデバイスエミュレーションとC APIを備えたRust製のMicroVM ◦ virtio-console, virtio-fs, virtio-vsockなどを実装 ◦ Firecrackerなどからコードを拝借してるらしい • macOSでも動くっぽい(動作未確認) • C APIを提供しているのでライブラリとしても使える ◦ crunで実験的にサポートを開始 • ネットワークコンポーネントにvirtio-netは使わず、vsockベースのTSI(Transparent Socket Impersonation)という”革新的な方法”で自前実装 ◦ 依存関係ライブラリとして libkrunfwがある 現時点での疑問 ・なぜ既存のコード使ってまで新しく 作ったの?新規性は?

  6. libkrun とは • Red Hatのエンジニアが去年作り始めたVMM(Virtual Machine Monitor) • VMM? →

    コンテナ目線で考えるUnikernelとmicroVM(前回の資料) • 最低限のデバイスエミュレーションとC APIを備えたRust製のMicroVM ◦ virtio-console, virtio-fs, virtio-vsockなどを実装 ◦ Firecrackerなどからコードを拝借してるらしい • macOSでも動くっぽい(動作未確認) • C APIを提供しているのでライブラリとしても使える ◦ crunで実験的にサポートを開始 • ネットワークコンポーネントにvirtio-netは使わず、vsockベースのTSI(Transparent Socket Impersonation)という”革新的な方法”で自前実装 ◦ 依存関係ライブラリとして libkrunfwがある 現時点での疑問 ・なぜ既存のコード使ってまで新しく 作ったの?新規性は?

  7. とりあえずデモ

  8. しようとおもったらエラーで 動きませんでした😇😇😇

  9. さわってみてわかること • コンテナのプロセス分離をVMでやるためのツール ◦ example手順ではPodmanの導入が必須 ◦ 現状crunとのインテグレーションをサポートしてるっぽい • Upstreamをpullしてきてもexampleが動かなくてつらい ◦

    Fedoraで配布されてるバイナリを dnfから引っ張ってきたらうまくいく? → やっぱなんかだめっぽい (原因がわからんので Issue立てた)

  10. さわってみてわかること • コンテナのプロセス分離をVMでやるためのツール ◦ example手順ではPodmanの導入が必須 ◦ 現状crunとのインテグレーションをサポートしてるっぽい • Upstreamをpullしてきてもexampleが動かなくてつらい ◦

    Fedoraで配布されてるバイナリを dnfから引っ張ってきたらうまくいく? → やっぱなんかだめっぽい (原因がわからんので Issue立てた) ランタイムの分離レベルが VMなので、いわゆる サンドボックス型のランタイムに分類できる ・gVisor ・Kata container(QEMU) ・Firecracker(*ここでの分類は厳密にはちょっと違うが ..) など

  11. 既存のVM型ランタイムとの違い

  12. 既存のVM型ランタイムとの違い LinuxのnamespaceはPodごとに分割 VMがnamespaceごとなのでコンテナ間では共有 のVMを使う →コンテナプロセスはKVM(ホスト上でのプロセス) の子プロセス的な扱い

  13. 既存のVM型ランタイムとの違い LinuxのnamespaceはPodごとに分割 VMがnamespaceごとなのでコンテナ間では共有 のVMを使う →コンテナプロセスはKVM(ホスト上でのプロセス) の子プロセス的な扱い Docker + Kataでやってみると・・・ Dockerの中でcontainerdが動いてその後ろで

    KataのFirecrackerプロセス→kata-shimの順番で プロセスが生えている

  14. 既存のVM型ランタイムとの違い VMが分かれていても同じコンテキストで処理が行われる crun(コンテナランタイム)のプロセス=VMのプロセス →crun実行時にVMが立ち上がる

  15. Namespace内における独立したVM間の連携

  16. Namespace内における独立したVM間の連携 VMをPodごとに作らないので Namespace内のコンテナを動的に管理できる? 異なるVMで実行されている場合でも マウントポイントとNetwork namespace を介してコンテナ間で通信

  17. Deeper dive...したい... • 既存の仮想化やラインタイム周りの知識、Rust力が欠如しすぎてて これ以上わからなかった(つらい) • 開発者(RHのエンジニア)のスライドにも詳しく書かれている • 誰か知見を教えて下さい!!!!!!!!!!!!!!!!!!!!!

  18. ありがとうございました