Lima+containerd+nerdctlで作るコンテナ環境/lima_containerd_nerdctl

Lima + containerd + nerdctl で作るコンテナ環境 Kobayashi Shun (@moz_sec)

2 はじめに

3 • Linuxの仕組み(namespace, cgroup, capability, etc.)を使って、コンテナを作成 • クライアント・サーバーモデル(RESTで通信) • Docker
CLIでコマンドを実⾏すると、Docker Daemonにhttpリクエストを出して、コンテナを操作 → Docker CLIを実⾏するマシンとDocker Daemonが動くマシンは同じでなくてもよい Docker <>%PDLFS%PDT%PDLFS"SDIJUFDUVSF IUUQTEPDTEPDLFSDPNHFUTUBSUFEEPDLFSPWFSWJFXEPDLFSBSDIJUFDUVSF 1台構成(よくあるパターン) 2台構成 Linux docker run docker build docker pull Docker Daemon Images Container Registry (Docker Hub etc.) Images REST Containers Linux docker run docker build docker pull Docker Daemon Images Containers Container Registry (Docker Hub etc.) Images OSは問わない REST

4 • WindowsやMacには、コンテナを作る機能がない → Docker Desktopがある︖ → 内部的には、Linux VMを⽴てて、WindowsやMacからREST APIを呼び出す
※ Docker Desktopには、Docker CLIやGUI以外にも、ExtensionやKubernetesの機能なども含まれている <>%PDLFS#FHJOOFSUP1SP IUUQTDPVSTFTEFWPQTEJSFDUJWFDPNEPDLFSCFHJOOFSUP QSPMFTTPOTUFDIOPMPHZPWFSWJFXEPDLFSBQQMJDBUJPOBSDIJUFDUVSF Linux Docker Daemon Images Container Registry (Docker Hub etc.) Images Docker Desktop GUI docker run docker build docker pull REST CLI Containers Docker

5 • High Levelランタイムはデーモン、Low Levelランタイムはただのバイナリ • Docker Daemonはリクエストを受け取ると、以下の処理を⾏う 1. リクエストを解析・検証し、イメージがローカルにあるかチェック
(ない場合はpull) 2. containerdがファイルシステムやネットワークインタフェースを設定 3. shimプロセスを使⽤して、runcにコンテナの実⾏を委任 4. runcによりコンテナが実⾏されると、containerdがコンテナのステータスを監視 Container Runtime <>DPOUBJOFSEͱ%PDLFSͦΕΒͷؔ܎ͱͦΕΒ͕ͲͷΑ͏ʹ࿈ܞ͢Δ͔Λཧղ͢Δ IUUQTXXXEPDLFSDPNKBKQCMPHDPOUBJOFSEWTEPDLFS <>コンテナランタイムはじめの⼀歩 / Container Runtime 101 IUUQTTQFBLFSEFDLDPNJOEVDUPSDPOUBJOFSSVOUJNF <>Ϋϥ΢υωΠςΟϒͷج൫ཁૉɺίϯςφͷࠓͱະདྷ IUUQTTQFBLFSEFDLDPNVUBNLLVSBVEPOFJUFJCVOPKJQBOZBPTV LPOUFOBOPKJOUPXFJMBJ Docker Daemon Container Runtime Linux High Level Low Level gRPC JSON設定ファイルとサブコマンド Container コンテナの設定や管理をHigh Levelランタイムが⾏い、コンテナの作成はLow Levelランタイムが⾏う

6 Lima + containerd + nerdctl

7 • Macのためのツール(WindowsはWSLがあるから) • Linux VMを作成する(Docker DesktopとかWSLとやっていることはほぼ同じ) 1.ホストOSと⾃動でファイルシステムを共有 2.コンテナへのポートフォーワード +)
containered と nerdctlを含む • デフォルトではnerdctlを使⽤するが、DockerやPodmanを使うことも可能 Lima: Linux Machines <>MJNBWNMJNB IUUQTHJUIVCDPNMJNBWNMJNB 2. VMの起動 3. VMの表⽰ 1. VMの作成 4. VM上でコマンド実⾏ limactlコマンドでVMの操作を⾏い、 limaコマンドの引数にVM上で実⾏したいコマンドを⼊⼒して使う UTMやVirtual BoxでVMを⽴てて、⼿動でこれらの設定をすれば同じ環境は作れるが、Limaを使うと⾃動でやってくれる

8 • デファクトスタンダードなHigh Level ランタイム • Low Level ランタイムの抽象化レイヤであり、コンテナの設定や管理を⾏う •
2015年にDocker社が作成し、2017年にDockerから分離してCNCFに寄贈 • スコープを拡⼤し、今ではcontainerdだけでDockerの機能をほぼカバー ※ Docker Daemonの機能をであり、Docker Desktopと同じ機能をカバーしているわけではない containerd <>DPOUBJOFSEDPOUBJOFSE IUUQTHJUIVCDPNDPOUBJOFSEDPOUBJOFSE <>%PDLFS͔ΒDPOUBJOFSE΁ͷҠߦ /555FDI$POGFSFODFൃදϨϙʔτ IUUQTNFEJVNDPNOUUMBCTEPDLFSUPDPOUBJOFSEGBFGC Docker Daemon Container Runtime Linux High Level Low Level JSON設定ファイルとサブコマンド Container 何かしらのコマンド gRPC containerdと直接やりとりできると便利

9 • containerdを操作するためのコマンド • Docker互換CLI • containerdにはctrというコマンドも存在するが、あくまでテスト⽤であり、使いずらい • Dockerがサポートしていないcontainerdの機能も使⽤できる
• ⾼速イメージpull(Lazy Pulling) • P2Pイメージ共有 • コンテナイメージの暗号化 • イメージの署名・検証 • ⾼速なrootlessモード nerdctl(contaiNERD CTL) <>%PDLFS͔ΒDPOUBJOFSE΁ͷҠߦ /555FDI$POGFSFODFൃදϨϙʔτ IUUQTNFEJVNDPNOUUMBCTEPDLFSUPDPOUBJOFSEGBFGC <>DPOUBJOFSEOFSEDUM IUUQTHJUIVCDPNDPOUBJOFSEOFSEDUM Docker Daemon Container Runtime Linux High Level Low Level JSON設定ファイルとサブコマンド Container nerdctl gRPC

10 Lima + containerd + nerdctl hello worldコンテナを作ってみる limaで作ったVM上でnerdctlコマンドでhello-worldコンテナを作る

11 • containerd v2.0 が 2024/11/05 にリリース(メジャーアップデートは7年ぶり) • それに伴い、nerdctl v2.0,
Lima v1.0 がリリース • limaのデフォルトの設定で作成されるVMでは、containerd v2.0 と nerdctl 2.0 が⼊っている • ただ、Kubernetesで使われる機能のアップデートが多い • Kubernetes周りの開発・運⽤に携わるのであれば、lima+containerd+nerdctl を使うとcontainerd v2.0 の検証が楽 • ソフトウェア開発者からすると、containerd v1.7からcontainerd v2.0 になってもあまり開発者体験は変わらないかもしれない containerd v2.0 <>DPOUBJOFSE W OFSEDUM W BOE-JNBW IUUQTNFEJVNDPNOUUMBCTDPOUBJOFSEWOFSEDUMWMJNBWCG <>DPOUBJOFSEDPOUBJOFSE EPDTDPOUBJOFSENE IUUQTHJUIVCDPNDPOUBJOFSEDPOUBJOFSECMPCNBJOEPDTDPOUBJOFSENE

12 • MacやWindowsでコンテナを使う⽅法はいくつか(Docker Desktop, Podman Desktop)あるが、やっていることは Linux VMを⽴てて、その中でコンテナを動かしているだけ
• Lima + containerd + nerdctl で同じことを実現すればコンテナは作れる • Limaを使うとLinux VMを作ることができ、limaコマンドでMac側からVMで実⾏したいコマンドを実⾏できる(コンテナ⽤途以外でも使⽤可) • Lima v1.0 からは、containerd v2.0 がデフォルトで使⽤されるため、 containerd v2.0 の検証は簡単にできる • Lazy Pullingとか、ソフトウェア開発においてはあまり必要ないかもしれないが、クラウドでは普通に使われている技術だったりするまとめ

Lima+containerd+nerdctlで作るコンテナ環境/lima_container...

Lima+containerd+nerdctlで作るコンテナ環境/lima_containerd_nerdctl

moz_sec_

More Decks by moz_sec_

Other Decks in Technology

Featured

Transcript

Lima + containerd + nerdctl で作るコンテナ環境 Kobayashi Shun (@moz_sec)

2 はじめに

3 • Linuxの仕組み(namespace, cgroup, capability, etc.)を使って、コンテナを作成 • クライアント・サーバーモデル(RESTで通信) • Docker

4 • WindowsやMacには、コンテナを作る機能がない → Docker Desktopがある︖ → 内部的には、Linux VMを⽴てて、WindowsやMacからREST APIを呼び出す

5 • High Levelランタイムはデーモン、Low Levelランタイムはただのバイナリ • Docker Daemonはリクエストを受け取ると、以下の処理を⾏う 1. リクエストを解析・検証し、イメージがローカルにあるかチェック

6 Lima + containerd + nerdctl

7 • Macのためのツール(WindowsはWSLがあるから) • Linux VMを作成する(Docker DesktopとかWSLとやっていることはほぼ同じ) 1.ホストOSと⾃動でファイルシステムを共有 2.コンテナへのポートフォーワード +)

8 • デファクトスタンダードなHigh Level ランタイム • Low Level ランタイムの抽象化レイヤであり、コンテナの設定や管理を⾏う •

9 • containerdを操作するためのコマンド • Docker互換CLI • containerdにはctrというコマンドも存在するが、あくまでテスト⽤であり、使いずらい • Dockerがサポートしていないcontainerdの機能も使⽤できる

10 Lima + containerd + nerdctl hello worldコンテナを作ってみる limaで作ったVM上でnerdctlコマンドでhello-worldコンテナを作る

11 • containerd v2.0 が 2024/11/05 にリリース(メジャーアップデートは7年ぶり) • それに伴い、nerdctl v2.0,

12 • MacやWindowsでコンテナを使う⽅法はいくつか(Docker Desktop, Podman Desktop)あるが、やっていることは Linux VMを⽴てて、その中でコンテナを動かしているだけ