Upgrade to Pro — share decks privately, control downloads, hide ads and more …

rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理

Avatar for Azuma Azuma
November 16, 2024
Technology
3
1.6k

rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理

#2 学生と社会人LT
https://gijutsu-club.connpass.com/event/334645/

Avatar for Azuma

Azuma

November 16, 2024
Tweet

More Decks by Azuma

See All by Azuma
研究室サーバーとKubeflowで実践するNotebook as a Service
Avatar for Azuma kitsuya0828
0
110

Other Decks in Technology

See All in Technology
生成AIによるデータサイエンスの変革
Avatar for Takaaki Yayoi taka_aki
0
3.1k
Amazon S3 Vectorsは大規模ベクトル検索を低コスト化するサーバーレスなベクトルデータベースだ #jawsugsaga / S3 Vectors As A Serverless Vector Database
Avatar for quiver quiver
2
990
マルチプロダクト×マルチテナントを支えるモジュラモノリスを中心としたアソビューのアーキテクチャ
Avatar for disc99 disc99
1
660
AIと描く、未来のBacklog 〜プロジェクト管理の次の10年を想像し、創造するセッション〜
Avatar for Hiromi Ouchi hrm_o25
0
110
文字列の並び順 / String Collation
Avatar for とみたまさひろ tmtms
1
110
AIに頼りすぎない新人育成術
Avatar for CUEBiC Inc. cuebic9bic
3
330
オブザーバビリティ文化を組織に浸透させるには / install observability culture
Avatar for mackerelio mackerelio
0
320
Amazon GuardDuty での脅威検出:脅威検出の実例から学ぶ
Avatar for KintoTech_Dev kintotechdev
0
130
Claude Codeは仕様駆動の夢を見ない
Avatar for Gota gotalab555
23
7.2k
事業特性から逆算したインフラ設計
Avatar for UPSIDER, Inc. Tech&Product div. upsider_tech
0
240
モノレポにおけるエラー管理 ~Runbook自動生成とチームメンションの最適化
Avatar for Shota Iwami biwashi
0
370
Foundation Model × VisionKit で実現するローカル OCR
Avatar for SansanTech sansantech
PRO
1
420

Featured

See All Featured
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
236
140k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.2k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
338
57k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
34
6k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
279
23k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3k

Transcript

  1. rootlessコンテナのすゝめ 研究室サーバーでもできる安全なコンテナ管理 Azuma (@azuma_alvin) 学生と社会人LT #2

  2. 1 自己紹介 • 修士1年 • Go, Kubernetes, Vimが好き • 研究室サーバーの管理人

    Azuma @azuma_alvin @kitsuya0828

  3. 突然ですが 2

  4. 3 Dockerを使ったことがある人!

  5. 4 Dockerに「rootlessモード」が あるのを聞いたことがある人!

  6. 実は… ((((;゚Д゚)))) 5

  7. 6 デフォルトのroot権限で動作する Dockerは設定次第でホストに 深刻なリスクをもたらす!

  8. 7 $ sudo usermod -aG docker \ azuma dockerグループにユーザーを追加 すると何ができるようになる?

  9. 8 $ docker run –it \ --rm \ -v /:/tmp

    \ ubuntu \ rm -rf /tmp Q1. 実行結果は? ※ 検証環境以外で実行しないでください

  10. 9 $ docker run -ti \ --name hacker \ --privileged

    \ -v /:/host \ ubi8 \ chroot /host Q2. 実行結果は? ※ 検証環境以外で実行しないでください

  11. 10 https://docs.docker.com/engine/install/linux-postinstall/ • dockerグループはrootレベルの権限付与 • 非rootで実行するにはrootlessモード

  12. 11 rootlessモード移行を 検討する前に

  13. コンテナエンジンの比較 12 rootlessモード デフォルトで rootless かつ daemonless ユーザーごとに daemonを起動させる

  14. 13 DockerとPodmanはほぼCLI互換 $ docker run -d \ --name my-nginx \

    -p 8080:80 \ nginx $ podman run -d \ --name my-nginx \ -p 8080:80 \ nginx alias docker=podmanで切り替え可能

  15. 14 rootlessコンテナに 話を戻しましょう

  16. 15 rootlessコンテナ内でも apt-get installするために root権限を使える? → 可能 コンテナ内のrootユーザーは ホスト側から見た一般ユーザー

  17. ユーザー名前空間 16 ホスト コンテナ 65536 0 … 2401 … 1083040

    … 1148575 … 232 0 1 … 1000 1001 … 65536 nobody ... azuma:1083040:65536 /etc/subuid の内容: コンテナ内のrootユーザー = ホストから見た一般ユーザー azuma

  18. 17 $ podman run –it \ --rm \ -v /:/tmp

    \ ubuntu \ rm -rf /tmp Q3. 実行結果は? ※ 検証環境以外で実行しないでください

  19. 18 研究室サーバー…|д゜)チラッ

  20. 研究室サーバーのPodman移行 19 • rootless • daemonless • Dockerと 高いCLI互換性 メリット

    デメリット • 認知負荷? • 引き継ぎ?

  21. NASをコンテナにマウントして書き込む 20 $ id uid=2401(azuma) gid=2401(azuma) groups=2401(azuma),995(nas_access),998(docker) の場合 $ docker

    run -it --rm \ -u $(id -u):$(id -g) \ --group-add 995 \ -v $NAS_SOURCE:$DESTINATION \ myimage

  22. NASをコンテナにマウントして書き込む 21 $ id uid=2401(azuma) gid=2401(azuma) groups=2401(azuma),995(nas_access),998(docker) の場合 $ podman

    run -it --rm \ --userns keep-id \ --group-add keep-group \ -v $NAS_SOURCE:$DESTINATION \ myimage

  23. 22 コンテナって面白い!

  24. 23 もっと詳しく Podman入門とrootlessコンテナ(#9) てっく・ざ・ぶろぐ! https://alvinvin.hatenablog.jp/entry/9

  25. 24 参考書籍 Podman in Action Daniel Walsh https://developers.redhat.com/e-books/podman-action Podmanイン・アクション Daniel

    Walsh (著)、磯田雄輝 ほか (翻訳)、秀和システム http://www.shuwasystem.co.jp/book/9784798070209.html