Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
gVisorを使おう!/ Let's use gVisor!
Search
Kattyan
July 13, 2023
Programming
210
0
Share
gVisorを使おう!/ Let's use gVisor!
Kattyan
July 13, 2023
More Decks by Kattyan
See All by Kattyan
QPACK って何?/What is QPACK?
sou1118
0
760
スライド操作用リモコンを作った話/Making-a-remote-control-for-slide-operation
sou1118
0
400
マイナンバーカードを用いた認証について/Authentication-using-the-My-Number-Card
sou1118
0
860
マイナンバーカードの有効利用法を探る / Finding-ways-to-use-my-number-card
sou1118
0
340
少し幸せになれるスマートなリモコンを作る / Making-a-Smart-remote-controller
sou1118
0
400
Other Decks in Programming
See All in Programming
書籍「ユーザーストーリーマッピング」が私のバイブル
asumikam
4
490
When benchmarks go bad - what I learned from measuring performance wrong
hollycummins
0
390
権限チェックの一貫性を型で守る TypeScript による多層防御
mnch
2
120
iOS26時代の新規アプリ開発
yuukiw00w
0
130
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
akihisaikeda
1
120
検索設計から 推論設計への重心移動と Recall-First Retrieval
po3rin
5
1.7k
Symfony AI in Action - SymfonyLive Berlin 2026
chr_hertel
1
150
20260514 - build with ai 2026 - build LINE Bot with Gemini CLI
line_developers_tw
PRO
0
450
Hive Metastoreを通して学ぶIceberg REST Catalog ― 仕様から実装まで
okumin
0
150
Agentic UI beyond Chats Architecture Patterns & Open Standards @ngMunich 05/2026
manfredsteyer
PRO
0
100
KMP × Kotlin 2.3 - How Android Got Slower While iOS Builds Improved by 47%
rio432
0
200
Terraform言語の静的解析 / static analysis of Terraform language
wata727
1
150
Featured
See All Featured
WENDY [Excerpt]
tessaabrams
10
37k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.7k
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
70
39k
Statistics for Hackers
jakevdp
799
230k
Prompt Engineering for Job Search
mfonobong
0
300
Between Models and Reality
mayunak
4
290
Everyday Curiosity
cassininazir
0
210
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
280
KATA
mclloyd
PRO
35
15k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
740
Transcript
gVisorを使おう! Kattyan 1
自己紹介 インターネット技術とネットワークセキュリティ,低いところに興味 GitHub: sou1118 自己紹介 2
コンテナとは? コンテナは,アプリケーションとその依存関係をパッケージ化し,独立 した環境で実行するための技術 コンテナは分離された環境を提供し,これによりアプリケーションは他 のシステムから独立して動作 NameSpaceを使用して,この分離された空間に対するアクセス制御 を行う cgroupsを使用して,リソースの制限(CPU,メモリなど)を行う コンテナについて 3
コンテナランタイムとは? コンテナの作成と管理を担当するソフトウェア 以下の4層で構成される 1. 管理コマンド 2. 高レベルコンテナランタイム 3. 低レベルコンテナランタイム 4.
Linux カーネル コンテナランタイムについて 4
例えば,Dockerを使用した場合 1. Docker CLI 2. containerd 3. runC 4. Linux
カーネル 5
低レベルコンテナランタイムとは? Linux カーネルの上で直接コンテナを作成,実行 ホスト OS の特権権限が必要 runC に脆弱性があると,ホスト OS の特権権限が侵害される可能性
がある 最近では,runC を置き換える動きが活発 高レベルコンテナランタイムから低レベルコンテナランタイムへの通信 は,OCI (Open Container Initiative) に基づく gVisor, Firecracker, Kata などが低レベルコンテナランタイムの例と して挙げられる 低レベルコンテナランタイムについて 6
gVisorとは? runC の代わりとして開発された低レベルコンテナランタイム OCI に準拠 システムコールの大部分を,ホストカーネルに直接渡さずに,gVisorの ゲストカーネルで実行 コンテナがホストから完全に分離(サンドボックス化) Go 言語で書かれており,メモリ安全を保証
GCP の App Engine や Cloud Run での実用経験があり Dockerで利用する場合は, daemon.json ファイルを編集することで設 定可能 gVisorについて 7
おしまい 8
sou1118
asumikam
hollycummins
mnch
yuukiw00w
akihisaikeda
po3rin
chr_hertel
line_developers_tw
okumin
manfredsteyer
rio432
wata727
tessaabrams
panda_program
smashingmag
thoeni
akihiro_kokubo
jakevdp
mfonobong
mayunak
cassininazir
tamaranovitovic
mclloyd
nmsamuel
