Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンテナ目線で考えるUnikernelとmicroVM / MicroVM and Unikernel in the container world

Ad22fcf5773b906c08330f4d57242212?s=47 Kohei Ota
June 06, 2020
Technology
5
3.1k

コンテナ目線で考えるUnikernelとmicroVM / MicroVM and Unikernel in the container world

Ad22fcf5773b906c08330f4d57242212?s=128

Kohei Ota

June 06, 2020
Tweet

More Decks by Kohei Ota

See All by Kohei Ota
KubeCon Recap -Platform migration at Scale-
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
0
450
コンテナビルド最新事情 2022年度版 / Container Build 2022
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
2
62
データベースとストレージのレプリケーション入門 / Intro-of-database-and-storage-replication
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
22
4.7k
KubeConのケーススタディから振り返る、Platform for Platforms のあり方と その実践 / Lessons from KubeCon case studies: Platform for Platforms and its practice
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
2
350
オンラインの技術カンファレンスを安定稼働させるための取り組み / SRE activity for online conference platform
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
1
740
Kubernetesネットワーキング初級者脱出ガイド / Kubernetes networking beginner's guide
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
15
4.1k
コンテナネイティブロードバランシングの話 / A story about container native load balancing
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
0
880
DockerCon Live 2021 Recap
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
2
810
Kubernetesをとりまくコンテナランタイムの栄枯盛衰 / The rise and fall of the container runtimes surrounding Kubernetes
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
14
4k

Other Decks in Technology

See All in Technology
Introduction to MLOps
8fa31051503b09846584c49cd53d2f80?s=48 asei
8
1.4k
FoodTechにおける商流・金流・物流の進化/Evolution of Commercial, Financial, and Logistics in FoodTech
Ff655584d57df8448153fa618cc86db3?s=48 dskst
0
420
インフラのCI/CDはGitHub Actionsに任せた
F5c597c41d9bc6a80cce50adbd6c7bd9?s=48 mihyon
0
120
紙にまつわる苦しみを機能化してきた カミナシの歴史
238459e9ada6420a85e157aa1d65268b?s=48 kaminashi
0
1.4k
Power Virtual Agentsのハジメ
C0c0e8e4d7f83912cb1b1a0699df82a5?s=48 miyakemito
1
160
データ分析で切り拓け! エンジニアとしてのデータ分析職キャリア戦略
43ba5a2227c580ce2290544d81c6261c?s=48 ksnt
0
190
【Pythonデータ分析勉強会#33】「DearPyGuiに入門しました」の続き~Image-Processing-Node-Editor~
26afa82334d1037f0ba602272b950c90?s=48 kazuhitotakahashi
0
190
PUTとPOSTどっち使う?
65389cd2b6fdc531dcc4af999e864593?s=48 hankehly
0
280
スタートアップと技術選定と AWS
Bf5ee9059859ed5d855b5ff4680e63e2?s=48 track3jyo
PRO
2
360
Introduction To Technical Writing
E7bc9823fd0076b90769b25f1caf54b6?s=48 olawanle_joel
0
100
Apa itu DevOps & Kenapa perlu belajar DevOps?
349a7f52975989094c75c055f9f6ba25?s=48 dicodingevent
0
120
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
10
18k

Featured

See All Featured
What's in a price? How to price your products and services
Dad095ea7038f89f760419ce475d5d14?s=48 michaelherold
229
9.4k
10 Git Anti Patterns You Should be Aware of
Dafc4723e9a1c067796c0fec6f509774?s=48 lemiorhan
638
52k
How to name files
0a4f62e90c976eeb44d33add75cca5af?s=48 jennybc
40
61k
Infographics Made Easy
282d599b414022eba5096510f675b6e2?s=48 chrislema
233
17k
Fontdeck: Realign not Redesign
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
73
4.1k
Producing Creativity
Ae14cc4491ac334f9cd23f9f93b4305e?s=48 orderedlist
PRO
334
37k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
A9a491b0fcbe0fbce3d64063a37add99?s=48 rmw
19
1.4k
Web Components: a chance to create the future
E190023b66e2b8aa73a842b106920c93?s=48 zenorocha
303
40k
4 Signs Your Business is Dying
E4f5d494ebdc9e7cce1aecf3ce3e8bc1?s=48 shpigford
169
20k
Building a Scalable Design System with Sketch
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
448
30k
The Illustrated Children's Guide to Kubernetes
0438ae60cde4c7add6f9da48f28c15cc?s=48 chrisshort
15
36k
The Cult of Friendly URLs
Ded01cdab114abe4ec13511e4c25b9bb?s=48 andyhume
68
4.8k

Transcript

  1. コンテナ目線で考えるUnikernelと microVM Kernel/VM/探検隊online part1 Presented by @inductor

  2. 自己紹介

  3. 自己紹介 名前: 太田 航平 (@inductor) 所属: HPE (Hewlett Packard Enterprise)

    役職: ソリューションアーキテクト (Cloud Native and DevOps) Docker MeetupとかCloud Native Daysの運営、謎のアンバサダー業 好きなこと: 無限にスケールする(無限にスケールするとは言ってない)インフラ

  4. 宣伝 ブログで気が向いたときに論文の 翻訳的なことをやったりしてます (権利関係がめんどくさくてあまり 進めていない)

  5. コンテナの仕組み

  6. コンテナの仕組み 雑に言えばすごいchroot → 特定のディレクトリをルートディレクトリに見立てて仕切りを作る技術 例: ホスト上の /var/docker/container1 をルートにしてそれ以下で別のOSが動くため の環境を作るみたいなことができる 隔離したファイルシステムに対してnamespaceで分離したユーザー、プロセス、NWな

    どを割り当て、cgroupsで利用できるリソース量を制限すると、まるでVMみたいなもの をプロセスの単位で作れるみたいなやつ

  7. Dockerがもたらした変革 システム領域としてコンテナを利用することは(Linuxに限らず)前からあった DockerがもたらしたDockerfile、Dockerイメージというパッケージング技術と、それを 配布するための仕組みが開発者にとって親和性が高く、アプリケーションを内包する ファイルシステムの共有を簡単に行えるようになった Dockerはtarで固められたレイヤー状のFSをpivot_rootで区切られた空間上で展開 し、ホストOS上でプロセスとして動かすところまでを全部いい感じにした

  8. Dockerが使う低レベルランタイム runCの仕組み(おさらい)

  9. runCの仕組み ホストマシン Linuxカーネル コンテナ コンテナ コンテナ runC Docker & CRI

    ファイルシステムの展開 プロセスの初期化 イメージの管理

  10. runCの仕組み ホストOS、カーネルはマシンごとに共通 DockerまたはCRIから受けた命令をもとにカーネルに命令を送ってコンテナの実態で あるリソースの隔離を行い、アプリケーションを実行する 普通にやるとホストOSの特権が必要 → runCの脆弱性が見つかるととても危ない

  11. MicroVM

  12. microVMとは 軽量かつ起動が高速で、動的に生成削除されるVMのこと → マイクロ仮想化(Micro-Virtualization)技術で使われるVM Amazonが作っているFirecrackerがOSSとしては有名 → Rust製で125ms程度の速さで起動するのが特徴 ここからはFirecracker前提で話を進めます

  13. microVMの仕組み ホストOS microVM microVM microVM Firecracker CLI or REST Client

    ゲストOS ゲストOS ゲストOS

  14. コンテナでの利用例 Firecracker-containerd と組み合わせる → Firecracker上のrunCとcontainerdを組み合わせて動かすためのOSS 軽量なVM + Dockerよりも軽量なcontainerdの組み合わせによって Dockerイメージを動かすことができる Fargateと呼ばれるAWSの仮想化技術もこれに準拠したものが使われている

    Ref. https://aws.amazon.com/jp/blogs/news/under-the-hood-fargate-data-plane/

  15. コンテナでの利用例 ホストOS microVM microVM microVM Firecracker + runC + containerd

    CLI or REST Client ゲストOS ゲストOS ゲストOS コンテナ ランタイム コンテナ ランタイム コンテナ ランタイム

  16. microVMのメリット・デメリット 既存のVM技術と比べリソースの割当が柔軟で動的 → REST APIでVMの操作が可能、起動が高速なのでスケールも速い VMであることに変わりはないのでホスト環境との隔離性が高い VMレイヤの起動オーバーヘッドなどが無視できない要件の環境だと厳しい

  17. Unikernel

  18. Unikernelとは Library OSを用いて特定のアプリケーションに必要なコンポーネントだけを内包した空 間を分離する技術 → カーネルで使わない機能すら排除して、余計なものを入れないという考え方 Library OS、それすなわち、OSがライブラリとして機能する(必要なものだけを入れたも のになる)という本当に最低限の動作環境なのでセキュア・軽量・高速

  19. コンテナでの利用例 IBMが作っているNabla ContainersプロジェクトではUnikernelを採用 低レベルコンテナランタイムとしてRunncを使う → Seccompで使えるシステムコールを制限 → Library OSを使って必要なコンポーネントのみを入れる Unikernelの特性上通常のDockerイメージが使えない

    → ランタイムが使うunikernelのバイナリをイメージに組み込む必要があるため ここからはRunnc(Nabla Containers)前提で話を進めます

  20. Unikernelの仕組み ホストOS Runnc ホスト上のnabla run tender が専用にコンパイルされたア プリのバイナリを読み出して 実行

  21. Unikernelのメリット・デメリット VMと違い環境の分離までは行わずにプロセスとしてコンテナが動くので軽量かつ高 速 不要なカーネルの機能は含まれないため、ホストとの接地点が少ない Unikernelの技術自体の知名度が低く、知見があまりない + Runncというものを導入するハードルの高さ イメージのビルド環境が特殊でフォーマットの互換性もない

  22. Appendix: gVisorとの違い gVisor(Runsc)はユーザー領域にカーネルを再実装したものを展開し、 あたかもそれがシステム領域であるかのように動作する仕組みになっている Unikernelと違ってDockerベースのイメージが動き、Containerdも動作するが、その 下にいるgVisorがLinuxカーネルのフリをして動くことによってホストとの環境を分離 している

  23. Appendix: Kata Containerとの違い Kata ContainerはContainerdなどのランタイムから命令を受けたあと、namespace やcgroupsを使う代わりにQEMU/FirecrackerベースのVMを立ち上げ、その上にコン テナを展開する つまり、runCと同様にOCIのインターフェースを持ちコンテナの起動などを 行うが、実際にコンテナが動く環境がKVMで作られたVMになる

  24. 今選ぶならどれ? Runnc(Nabla Container)は最近開発がストップしている → どうやらLupine Linuxという新しい仕組みに夢中のよう 今度のKubeCon Virtualで発表があるようなので楽しみ 論文も春に公開されてて、雰囲気で読んだ(そのうちまた解説を書く) Runsc(gVisor)+高レベルランタイムとFirecracker+Firecracker-containerdが有力だ

    が、気軽にサンドボックス環境を楽しみたいなら前者、カーネルの互換性を保ちたい なら後者がよさそう(?) ※参考: GCPのCloud RunはgVisorを、FargateはFirecrackerをそれぞれ使用

  25. 結論: どっちもどっち(暴論)

  26. 結論: 課題を感じなければ 多分Dockerでも大丈夫

  27. まとめ Dockerで使われるrunCには特権を渡す必要がありコンテナ間の隔離性が低いなど の問題がある MicroVMでは隔離性は高いが起動時の遅延がシビアになりやすい Unikernelでは高いパフォーマンスと隔離性の代わりに汎用性が低くなりやすい 要件に合わせていろいろなスタックを組み合わせて使うことで様々な問題を解決する アプローチが現在進行系で(アカデミックな場でも)提案されている

  28. ご意見お待ちしております ありがとうございました!

  29. 参考資料 KubeCon 報告:コンテナランタイムやFirecrackerの話題ひととおり 振り返ってみよう by 徳永航平さん https://www.slideshare.net/KoheiTokunaga/kubecon-firecracker makocchiさんのスライドいろいろ https://speakerdeck.com/makocchi/ A

    Linux in Unikernel Clothing @ EuroSys '20 Firecracker: Lightweight Virtualization for Serverless Applications