Upgrade to Pro — share decks privately, control downloads, hide ads and more …

rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Azuma Azuma
November 16, 2024
Technology
2.7k
3

rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理

#2 学生と社会人LT
https://gijutsu-club.connpass.com/event/334645/

Avatar for Azuma

Azuma

November 16, 2024

More Decks by Azuma

See All by Azuma
Beyond Multiprocessing: A Real-World ML Workload Speedup with Python 3.13+ Free-Threading
Avatar for Azuma kitsuya0828
1
1.7k
研究室サーバーとKubeflowで実践するNotebook as a Service
Avatar for Azuma kitsuya0828
0
760

Other Decks in Technology

See All in Technology
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
5
1.4k
主催・運営として"場をつくる” というアウトプットのススメ
Avatar for もっさん _mossann_t
0
110
【関西電力KOI×VOLTMIND 生成AIハッカソン】空間AIブレイン ~⼤阪おばちゃんフィジカルAIに続く道~
Avatar for 田中 聖也 tanakaseiya
0
150
レガシーシステムをどう次世代に受け継ぐか
Avatar for 立入 tachiiri
0
260
機能・非機能の学びを一つに!Agent Skillsで月間レポート作成始めてみた / Unifying Bug & Infra Insights — Building Monthly Quality Reports with Agent Skills
Avatar for bun bun913
5
2.9k
【PHPカンファレンス小田原2026】Webアプリケーションエンジニアにも知ってほしい オブザーバビリティ の本質
Avatar for Futoshi Endo fendo181
0
180
"まず試す"ためのDatabricks Apps活用法 / Databricks Apps for Early Experiments and Validation
Avatar for NTT docomo Business nttcom
1
170
ストライクウィッチーズ2期6話のエイラの行動が許せないのでPjMの観点から何をすべきだったのかを考える
Avatar for nakamichi ichimichi
1
110
Oracle AI Databaseデータベース・サービス: BaseDB/ExaDB-Dの可用性
Avatar for oracle4engineer oracle4engineer
PRO
1
120
TanStack Start エコシステムの現在地 / TanStack Start Ecosystem 2026
Avatar for Takahiro Ikeuchi iktakahiro
1
290
ZOZOTOWNリプレイスでのSkills導入までの流れとこれから
Avatar for ZOZO Developers zozotech
PRO
4
2.5k
AWSで2番目にリリースされたサービスについてお話しします(諸説あります)
Avatar for Yuuki Yamashita yama3133
0
120

Featured

See All Featured
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.4k
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
1
320
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
163
24k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
25k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.6k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
240
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.3k
Marketing to machines
Avatar for Jono Alderson jonoalderson
1
5.1k
Agile Leadership in an Agile Organization
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
120
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.7k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
211
24k

Transcript

  1. rootlessコンテナのすゝめ 研究室サーバーでもできる安全なコンテナ管理 Azuma (@azuma_alvin) 学生と社会人LT #2

  2. 1 自己紹介 • 修士1年 • Go, Kubernetes, Vimが好き • 研究室サーバーの管理人

    Azuma @azuma_alvin @kitsuya0828

  3. 突然ですが 2

  4. 3 Dockerを使ったことがある人!

  5. 4 Dockerに「rootlessモード」が あるのを聞いたことがある人!

  6. 実は… ((((;゚Д゚)))) 5

  7. 6 デフォルトのroot権限で動作する Dockerは設定次第でホストに 深刻なリスクをもたらす!

  8. 7 $ sudo usermod -aG docker \ azuma dockerグループにユーザーを追加 すると何ができるようになる?

  9. 8 $ docker run –it \ --rm \ -v /:/tmp

    \ ubuntu \ rm -rf /tmp Q1. 実行結果は? ※ 検証環境以外で実行しないでください

  10. 9 $ docker run -ti \ --name hacker \ --privileged

    \ -v /:/host \ ubi8 \ chroot /host Q2. 実行結果は? ※ 検証環境以外で実行しないでください

  11. 10 https://docs.docker.com/engine/install/linux-postinstall/ • dockerグループはrootレベルの権限付与 • 非rootで実行するにはrootlessモード

  12. 11 rootlessモード移行を 検討する前に

  13. コンテナエンジンの比較 12 rootlessモード デフォルトで rootless かつ daemonless ユーザーごとに daemonを起動させる

  14. 13 DockerとPodmanはほぼCLI互換 $ docker run -d \ --name my-nginx \

    -p 8080:80 \ nginx $ podman run -d \ --name my-nginx \ -p 8080:80 \ nginx alias docker=podmanで切り替え可能

  15. 14 rootlessコンテナに 話を戻しましょう

  16. 15 rootlessコンテナ内でも apt-get installするために root権限を使える? → 可能 コンテナ内のrootユーザーは ホスト側から見た一般ユーザー

  17. ユーザー名前空間 16 ホスト コンテナ 65536 0 … 2401 … 1083040

    … 1148575 … 232 0 1 … 1000 1001 … 65536 nobody ... azuma:1083040:65536 /etc/subuid の内容: コンテナ内のrootユーザー = ホストから見た一般ユーザー azuma

  18. 17 $ podman run –it \ --rm \ -v /:/tmp

    \ ubuntu \ rm -rf /tmp Q3. 実行結果は? ※ 検証環境以外で実行しないでください

  19. 18 研究室サーバー…|д゜)チラッ

  20. 研究室サーバーのPodman移行 19 • rootless • daemonless • Dockerと 高いCLI互換性 メリット

    デメリット • 認知負荷? • 引き継ぎ?

  21. NASをコンテナにマウントして書き込む 20 $ id uid=2401(azuma) gid=2401(azuma) groups=2401(azuma),995(nas_access),998(docker) の場合 $ docker

    run -it --rm \ -u $(id -u):$(id -g) \ --group-add 995 \ -v $NAS_SOURCE:$DESTINATION \ myimage

  22. NASをコンテナにマウントして書き込む 21 $ id uid=2401(azuma) gid=2401(azuma) groups=2401(azuma),995(nas_access),998(docker) の場合 $ podman

    run -it --rm \ --userns keep-id \ --group-add keep-group \ -v $NAS_SOURCE:$DESTINATION \ myimage

  23. 22 コンテナって面白い!

  24. 23 もっと詳しく Podman入門とrootlessコンテナ(#9) てっく・ざ・ぶろぐ! https://alvinvin.hatenablog.jp/entry/9

  25. 24 参考書籍 Podman in Action Daniel Walsh https://developers.redhat.com/e-books/podman-action Podmanイン・アクション Daniel

    Walsh (著)、磯田雄輝 ほか (翻訳)、秀和システム http://www.shuwasystem.co.jp/book/9784798070209.html