Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Rootless コンテナはいいぞ
Search
Naoki MATSUMOTO
March 10, 2024
1.3k
4
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Rootless コンテナはいいぞ
Naoki MATSUMOTO
March 10, 2024
More Decks by Naoki MATSUMOTO
See All by Naoki MATSUMOTO
Rootless な環境における eBPF の活用
mt2naoki
4
980
Mewz on libkrun
mt2naoki
2
1k
詳解 bypass4netns: Rootless Containers Network の仕組みと高速化
mt2naoki
2
1.7k
QUIC の仕組み(Handshake)
mt2naoki
1
920
bypass4netns: Accelerating TCP/IP Communications in Rootless Containers
mt2naoki
0
320
コンテナ技術における最新の研究動向
mt2naoki
15
12k
Zig で TLS1.3 を実装している話
mt2naoki
0
270
Efficient Container Image Updating in Low-bandwidth Networks with Delta Encoding
mt2naoki
0
1.8k
TLS 1.3 で学ぶ暗号技術
mt2naoki
0
620
Featured
See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
1
340
The Pragmatic Product Professional
lauravandoore
37
7.3k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
Statistics for Hackers
jakevdp
799
230k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
1
250
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.2k
Heart Work Chapter 1 - Part 1
lfama
PRO
7
36k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
0
1.7k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.5k
Are puppies a ranking factor?
jonoalderson
1
3.5k
Transcript
Rootless コンテナはいいぞ 2024/3/10 情報科学若手の会春の陣2024 松本直樹(京都大学 情報学研究科) 1
Rootless コンテナとは コンテナを構成する各種ランタイムが一般ユーザーで動く • runc(低レベルランタイム), containerd(高レベルランタイム) コンテナの隔離が破られても一般ユーザー権限しか持たない → 一般的なコンテナよりは安全! 2
コンテナ runc Rooful なコンテナ 悪意のあるプロセス Root 権限で動く 脆弱性 Root 権限で悪意のある操作が可能 (になるかもしれない) コンテナ runc Rootless なコンテナ 悪意のあるプロセス 一般権限で動く 脆弱性 一般権限で可能な操作に限定される
色々嬉しい Rootless コンテナ ランタイムデーモンがユーザーごとに動く • 管理者権限がない環境でもコンテナが使える • Rootless コンテナ自体は管理者権限なしで使える •
newuidmap, newgidmap コマンドが必要なため事前にインストールする必要あり 改善の PoC は存在(https://github.com/rootless-containers/subuidless) • ユーザーごとにランタイムの環境が閉じている • 他のユーザーの環境に影響を与えない • ユーザーを切り替えればバージョンの切り替えもできる 3
Rootless コンテナの使い方 nerdctl (Rootless コンテナの開発者が開発) • https://github.com/containerd/nerdctl/blob/main/docs/rootless.md の手順に従いインストール Podman •
RHEL 環境なら ‘dnf install podman’ で完了 Docker • https://docs.docker.com/engine/security/rootless/ の手順に従い インストール 4
bypass4netns Seccomp を用いることでアプリケーションに改変無しに高速化 • LD_PRELOAD 無しで動作 • 最近は Usernetes (Kubernetes
の Rootless 版)にも使えないか検討中 5 https://x.gd/SBo9t
bypass4netns 別々のホスト上で動く rootless コンテナ間の通信を高速化 • Usernetes 向けのマルチノード通信高速化機能も持つ • 詳しくは論文にて(https://arxiv.org/abs/2402.00365) bypass4netns:
Accelerating TCP/IP Communications in Rootless Containers 6 https://x.gd/SBo9t
mt2naoki
rmw
apolaine
lauravandoore
irinanazarova
eileencodes
jakevdp
samtorres
lfama
uxyall
sarafernandez
jonoalderson
