gVisorを使おう！ Kattyan 1

自己紹介 インターネット技術とネットワークセキュリティ，低いところに興味 GitHub: sou1118 自己紹介 2

コンテナとは？ コンテナは，アプリケーションとその依存関係をパッケージ化し，独立 した環境で実行するための技術 コンテナは分離された環境を提供し，これによりアプリケーションは他 のシステムから独立して動作 NameSpaceを使用して，この分離された空間に対するアクセス制御 を行う cgroupsを使用して，リソースの制限（CPU，メモリなど）を行う コンテナについて 3

コンテナランタイムとは？ コンテナの作成と管理を担当するソフトウェア 以下の4層で構成される 1. 管理コマンド 2. 高レベルコンテナランタイム 3. 低レベルコンテナランタイム 4. Linux カーネル コンテナランタイムについて 4

例えば，Dockerを使用した場合 1. Docker CLI 2. containerd 3. runC 4. Linux カーネル 5

低レベルコンテナランタイムとは？ Linux カーネルの上で直接コンテナを作成，実行 ホスト OS の特権権限が必要 runC に脆弱性があると，ホスト OS の特権権限が侵害される可能性 がある 最近では，runC を置き換える動きが活発 高レベルコンテナランタイムから低レベルコンテナランタイムへの通信 は，OCI (Open Container Initiative) に基づく gVisor, Firecracker, Kata などが低レベルコンテナランタイムの例と して挙げられる 低レベルコンテナランタイムについて 6

gVisorとは？ runC の代わりとして開発された低レベルコンテナランタイム OCI に準拠 システムコールの大部分を，ホストカーネルに直接渡さずに，gVisorの ゲストカーネルで実行 コンテナがホストから完全に分離（サンドボックス化） Go 言語で書かれており，メモリ安全を保証 GCP の App Engine や Cloud Run での実用経験があり Dockerで利用する場合は， daemon.json ファイルを編集することで設 定可能 gVisorについて 7

おしまい 8