Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
gVisorを使おう!/ Let's use gVisor!
Search
Kattyan
July 13, 2023
Programming
0
150
gVisorを使おう!/ Let's use gVisor!
Kattyan
July 13, 2023
Tweet
Share
More Decks by Kattyan
See All by Kattyan
QPACK って何?/What is QPACK?
sou1118
0
640
スライド操作用リモコンを作った話/Making-a-remote-control-for-slide-operation
sou1118
0
340
マイナンバーカードを用いた認証について/Authentication-using-the-My-Number-Card
sou1118
0
750
マイナンバーカードの有効利用法を探る / Finding-ways-to-use-my-number-card
sou1118
0
280
少し幸せになれるスマートなリモコンを作る / Making-a-Smart-remote-controller
sou1118
0
330
Other Decks in Programming
See All in Programming
「理解」を重視したAI活用開発
fast_doctor
0
210
VitestのIn-Source Testingが便利
taro28
8
2.2k
Unlock the Potential of Swift Code Generation
rockname
0
270
REALITY コマンド作成チュートリアル
nishiuriraku
0
110
PHPで書いたAPIをGoに書き換えてみた 〜パフォーマンス改善の可能性を探る実験レポート〜
koguuum
0
180
20250429 - CNTUG Meetup #67 / DevOps Taiwan Meetup #69 - Deep Dive into Tetragon: Building Runtime Security and Observability with eBPF
tico88612
0
130
Vibe Coding の話をしよう
schroneko
12
3.1k
Orleans + Sekiban + SignalR でリアルタイムWeb作ってみた
tomohisa
0
130
プロフェッショナルとしての成長「問題の深掘り」が導く真のスキルアップ / issue-analysis-and-skill-up
minodriven
8
1.8k
PHPバージョンアップから始めるOSSコントリビュート / how2oss-contribute
dmnlk
1
1.1k
Qiita Bash
mercury_dev0517
2
210
タイムゾーンの奥地は思ったよりも闇深いかもしれない
suguruooki
1
750
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
35
2.7k
Navigating Team Friction
lara
185
15k
GraphQLとの向き合い方2022年版
quramy
46
14k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
A better future with KSS
kneath
239
17k
Designing Experiences People Love
moore
142
24k
Music & Morning Musume
bryan
47
6.5k
Adopting Sorbet at Scale
ufuk
76
9.3k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.5k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
400
Optimising Largest Contentful Paint
csswizardry
37
3.2k
Transcript
gVisorを使おう! Kattyan 1
自己紹介 インターネット技術とネットワークセキュリティ,低いところに興味 GitHub: sou1118 自己紹介 2
コンテナとは? コンテナは,アプリケーションとその依存関係をパッケージ化し,独立 した環境で実行するための技術 コンテナは分離された環境を提供し,これによりアプリケーションは他 のシステムから独立して動作 NameSpaceを使用して,この分離された空間に対するアクセス制御 を行う cgroupsを使用して,リソースの制限(CPU,メモリなど)を行う コンテナについて 3
コンテナランタイムとは? コンテナの作成と管理を担当するソフトウェア 以下の4層で構成される 1. 管理コマンド 2. 高レベルコンテナランタイム 3. 低レベルコンテナランタイム 4.
Linux カーネル コンテナランタイムについて 4
例えば,Dockerを使用した場合 1. Docker CLI 2. containerd 3. runC 4. Linux
カーネル 5
低レベルコンテナランタイムとは? Linux カーネルの上で直接コンテナを作成,実行 ホスト OS の特権権限が必要 runC に脆弱性があると,ホスト OS の特権権限が侵害される可能性
がある 最近では,runC を置き換える動きが活発 高レベルコンテナランタイムから低レベルコンテナランタイムへの通信 は,OCI (Open Container Initiative) に基づく gVisor, Firecracker, Kata などが低レベルコンテナランタイムの例と して挙げられる 低レベルコンテナランタイムについて 6
gVisorとは? runC の代わりとして開発された低レベルコンテナランタイム OCI に準拠 システムコールの大部分を,ホストカーネルに直接渡さずに,gVisorの ゲストカーネルで実行 コンテナがホストから完全に分離(サンドボックス化) Go 言語で書かれており,メモリ安全を保証
GCP の App Engine や Cloud Run での実用経験があり Dockerで利用する場合は, daemon.json ファイルを編集することで設 定可能 gVisorについて 7
おしまい 8
sou1118
fast_doctor
taro28
rockname
nishiuriraku
koguuum
tico88612
schroneko
tomohisa
minodriven
dmnlk
mercury_dev0517
suguruooki
maggiecrowley
lara
quramy
aarron
kneath
moore
bryan
ufuk
chriscoyier
mongodb
bluesmoon
csswizardry
