chroot-network-uts-container

Transcript

1. chrootͱnetwork namespace Ͱͭ͘Δ؆қίϯςφ ୈճ
   ίϯςφܕԾ૝Խͷ৘ใަ׵ձˏେࡕ

2. ࣗݾ঺հ • id:masayoshi • ͸ͯͳˏژ౎ • WebΦϖϨʔγϣϯΤϯδχΞ • େֶ࣌୅͸SDNؔ࿈ͷݚڀ

3. ࠓ೔࿩͢͜ͱ • ࣗ࡞ίϯςφͷϞνϕʔγϣϯ • chroot ✕ network namespace ✕ UTS

   namespace

4. ࠓ೔࿩͢͜ͱ • TenForwardࢯͷৄࡉͳղઆͰجૅٕज़Λཧղ͠ɺ • ࢲͷࡶͳൃදͰίϯςφࣗ࡞ʹڵຯΛ࣋ͬͯ΋Β͍ɺ • udzuraࢯͷhaconiwaͰͥͻνϟϨϯδͯ͠ཉ͍͠

5. ίϯςφࣗ࡞ͷϞνϕʔγϣϯ • Linuxίϯςφͷษڧ • جૅ෦෼ɺ࣮૷ʹΑΒͳ͍ڞ௨ٕज़ͷษڧ • طଘίϯςφٕज़ͷ࠶֬ೝ • ࡞ͬͯ࢖ͬͯΈΔͱҧ͍ͳͲ͕Α͘෼͔Δ •

   खݩͰͷωοτϫʔΫςετ؀ڥ • ࡉ͔͘มߋ͢ΔͷͰࣗ෼Ͱ৮Γ΍͍͢ํ͕ྑ͍

6. chroot network namespace UTS namespace

7. ͳΜͰ͜ͷ3ͭ? • ߹Θͤͯ࢖͏ͱγϯϓϧ͕ͩҙ֎ͱ͓΋͠Ζ͍෺͕ಈ͔ͤΔ • ֶੜͷͱ͖ݚڀͰnetwork nsΛΑ͘࢖͍ͬͯͨ • ωοτϫʔΫͰ༡Ϳͱ͖͸͜ͷߏ੒Λ࢖͍ͬͯΔ • chroot

   namespaceͷҰ෦ͷΈͷ૊Έ߹Θͤ͸ଟ͘ͳͦ͞͏ • 1ͭ1ͭ΍શͯΛ૊Έ߹Θ࣮ͤͨ૷ྫ͸৭ʑ͋Δ

8. ͜ͷ3ͭͰ΋໘ന͍͜ͱ͕ग़དྷΔ • chroot • docker exportͳͲͷల։͞ΕͨΠϝʔδͷ࣮ߦ • network namespace •

   ಛఆͷIPΞυϨε + ϙʔτͰͷLISTEN • UTS namespace • ؅ཧ্ͷརศੑ

9. ྫ͑͹ • apache + mackerel-agent + ssh ͳίϯςφ • Webαʔό

   • ؂ࢹ༻ΤʔδΣϯτͱssh͕ಈ࡞ • ΞϓϦέʔγϣϯ + ؂ࢹ + ؅ཧ • ಉҰͷ෺ཧαʔόͰ্هͷίϯςφΛෳ਺ىಈՄೳ • network͸Linux BridgeͰϒϦοδ઀ଓ

10. #SJEHF ϗετ໊
    UFTU
    ϗετ໊
    UFTU
    FUI IUUQE    TTI 

    IUUQE  TTI   WBSDPOUBJOFSUFTU WBSDPOUBJOFSUFTU NBDLFSFMBHFOU NBDLFSFMBHFOU

11. UPVDI
    WBSSVOVUTOTUFTU
    VOTIBSF
    VUTSVOVUTOTUFTU
    IPTUOBNF
    UFTU
    JQ
    OFUOT
    BEE
    UFTU
    JQ
    MJOL
    BEE
    OBNF
    UFTUCS
    UZQF
    WFUI
    QFFS
    OBNF
    UFTUDU
    CSDUM
    BEEJG
    CS
    UFTUCS
    JQ
    MJOL
    TFU
    UFTUDU
    OFUOT
    UFTU
    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    BEES
    BEE
    
    EFW
    UFTUDU
    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    MJOL
    TFU
    MP
    VQ
    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    MJOL
    TFU
    UFTUDU
    VQ
    JQ
    MJOL
    TFU
    UFTUCS
    VQ
    

    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    SPVUF
    BEE
    EFGBVMU
    WJB
    
    NPVOU
    U
    QSPD
    QSPD
    NOUUFTUQSPD
    NPVOU
    SCJOE
    TZT
    NOUUFTUTZT
    NPVOU
    NBLFSTMBWF
    NOUUFTUTZT
    NPVOU
    SCJOE
    EFW
    NOUUFTUEFW
    NPVOU
    NBLFSTMBWF
    NOUUFTUEFW

12. UPVDI
    WBSSVOVUTOTUFTU
    VOTIBSF
    VUTSVOVUTOTUFTU
    IPTUOBNF
    UFTU
    JQ
    OFUOT
    BEE
    UFTU
    JQ
    MJOL
    BEE
    OBNF
    UFTUCS
    UZQF
    WFUI
    QFFS
    OBNF
    UFTUDU
    CSDUM
    BEEJG
    CS
    UFTUCS
    JQ
    MJOL
    TFU
    UFTUDU
    OFUOT
    UFTU
    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    BEES
    BEE
    
    EFW
    UFTUDU
    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    MJOL
    TFU
    MP
    VQ
    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    MJOL
    TFU
    UFTUDU
    VQ
    JQ
    MJOL
    TFU
    UFTUCS
    VQ
    

    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    SPVUF
    BEE
    EFGBVMU
    WJB
    
    NPVOU
    U
    QSPD
    QSPD
    NOUUFTUQSPD
    NPVOU
    SCJOE
    TZT
    NOUUFTUTZT
    NPVOU
    NBLFSTMBWF
    NOUUFTUTZT
    NPVOU
    SCJOE
    EFW
    NOUUFTUEFW
    NPVOU
    NBLFSTMBWF
    NOUUFTUEFW 654 OFUXPSL DISPPU

13. UPVDI
    WBSSVOVUTOTUFTU
    VOTIBSF
    VUTSVOVUTOTUFTU
    IPTUOBNF
    UFTU
    JQ
    OFUOT
    BEE
    UFTU
    JQ
    MJOL
    BEE
    OBNF
    UFTUCS
    UZQF
    WFUI
    QFFS
    OBNF
    UFTUDU
    CSDUM
    BEEJG
    CS
    UFTUCS
    JQ
    MJOL
    TFU
    UFTUDU
    OFUOT
    UFTU
    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    BEES
    BEE
    
    EFW
    UFTUDU
    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    MJOL
    TFU
    MP
    VQ
    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    MJOL
    TFU
    UFTUDU
    VQ
    JQ
    MJOL
    TFU
    UFTUCS
    VQ
    

    JQ
    OFUOT
    FYFD
    UFTU
    JQ
    SPVUF
    EE
    EFGBVMU
    WJB
    
    NPVOU
    U
    QSPD
    QSPD
    NOUUFTUQSPD
    NPVOU
    SCJOE
    TZT
    NOUUFTUTZT
    NPVOU
    NBLFSTMBWF
    NOUUFTUTZT
    NPVOU
    SCJOE
    EFW
    NOUUFTUEFW
    NPVOU
    NBLFSTMBWF
    NOUUFTUEFW ίϯςφ࡞੒ʹίϚϯυ JNBHFͷ࡞੒͸আ͘

14. σϞ͠ͳ͕Βݟ͍ͯ͘

15. imageͷ࡞੒ • dockerͳΒdocker export Ͱ • build, ship͸dockerͰ΍Δͱָͦ͏ • ࠓճ͸run෦෼Ͱ༡Ϳ

    • dockerͳ͠ͳΒdebootstrapͳͲ • ࠓճ͸debootstrapͰ࡞੒ͨ͠΍ͭΛར༻

16. namespaceͷӬଓԽ MSXYSXYSXY
    
    SPPU
    SPPU
    
    
    ݄
    
    
    JQD
    
    JQD<>
    MSXYSXYSXY
    
    SPPU
    SPPU
    
    
    ݄
    
    
    NOU
    
    NOU<>
    MSXYSXYSXY
    
    SPPU
    SPPU
    
    
    ݄
    
    
    OFU
    
    OFU<>
    MSXYSXYSXY
    
    SPPU
    SPPU
    
    
    ݄
    
    
    QJE
    
    QJE<>
    MSXYSXYSXY
    
    SPPU
    SPPU
    
    
    ݄
    
    
    VUT
    
    VUT<> • /proc/[PID]/ns ഑Լʹ͋ΔಛघϑΝΠϧ QSPD<1*%>͸ϓϩηε͕ফ͑Δͱͳ͘ͳΔͷͰӬଓԽ͕ඞཁ

17. namespaceͷӬଓԽ • bindϚ΢ϯτΛ͔ͭͬͯӬଓԽ͢Δ NPVOU
    CJOE
    SVOVUTOT
    SVOVUTOT
    NPVOU
    NBLFTIBSFE
    SVOVUTOT
    VOTIBSF
    V
    NPVOU
    CJOE
    QSPDTFMGOTVUT
    SVOVUTOT UFTU VOTIBSF
    VUTSVOVUTOTUFTU • ࠷ۙͷunshareίϚϯυ͸ӬଓԽָ͕

18. UTS namespace • ओʹ؅ཧͷͨΊ • ίϯςφʹೖͬͨͱ͖ͱ͔ • γϯϓϧʹ࢖͑ΔͷͰ͓ؾܰ UPVDI
    WBSSVOVUTOTUFTU
    VOTIBSF
    VUTSVOVUTOTUFTU
    IPTUOBNF
    UFTU

19. Networkͷ࡞੒ • veth࡞ͬͯbridgeʹ઀ଓ • TenForwardࢯʹΑΔσϞ͕͋Γͦ͏ͳͷͰলུ • (ࢲ͸)৭ʑมߋ͢Δ͜ͱ͕ଟ͍ • Linux BridgeΛOpen

    vSwitchʹͨ͠Γ • ࣗ࡞ͷιϑτ΢ΣΞϧʔλʹ઀ଓͨ͠Γ • KVMͷVMͱ઀ଓͨ͠Γ • ෳ਺NIC + mptcp؀ڥ

20. Networkͷ࡞੒ • Network͸ϙʔλϏϦςΟʹӨڹ͕ग़΍͍͢ • Ұ࣌ظdocker͕ؤுͬͯͨ • VXLANʹΑΔoverlay NetworkͳͲ • վળ͢΂͖Օॴ͕ͨ͘͞Μ͋Δ໘ന͍෼໺

    • ΦϑϩʔσΟϯά, SR-IOVͳͲߴ଎Խ • VXLANͳͲͷϓϩτίϧٕज़

21. chroot؀ڥͷ࡞੒ • proc, sys, devͳͲΛmount͢Δ NPVOU
    U
    QSPD
    QSPD
    NOUUFTUQSPD
    NPVOU
    SCJOE
    TZT
    NOUUFTUTZT
    NPVOU
    NBLFSTMBWF
    NOUUFTUTZT
    NPVOU
    SCJOE
    EFW
    NOUUFTUEFW
    NPVOU
    NBLFSTMBWF
    NOUUFTUEFW

    TZTUFNE؀ڥͰ͸CJOEϚ΢ϯτ͕4)"3&%ʹͳͬͨͷͰ
    STMBWF͓͔ͯ͠ͳ͍ͱVNPVOU
    3ͨ࣌͠ʹ͓͔͘͠ͳΔ

22. ίϯςφ಺Ͱͷϓϩηεͷ࣮ߦ OTFOUFS
    OFUSVOOFUOTUFTU
    a
    
    
    
    
    
    
    
    
    
    
    
    
    VUTSVOVUTOTUFTU
    a
    
    
    
    
    
    
    
    
    
    
    
    
    DISPPU
    NOUUFTU
    a
    
    
    
    
    
    
    
    
    
    
    
    FUDJOJUEOHJOY
    TUBSU • nsenterΛ͔ͭͬͯnamespaceΛattach • ͦͷ্Ͱchroot͢Δ ಉ༷ʹTTIͳͲ΋ىಈ͢Δ

23. ίϯςφ಺Ͱͷϓϩηεͷ࣮ߦ • chroot഑ԼͰ͸systemd͸ಈ࡞͠ͳ͍ͷͰ஫ҙ͕ඞཁ • chrootͷ୅ΘΓʹsystemd-nspawnΛ࢖ͬͯಈ͔͢ํ ๏΋͋Δ • ͦͷ৔߹ޙड़ͷPID namespaceΛ࢖͏͜ͱʹͳΔ

24. PID namespace • PID෼཭͢Δͱੜ੒͞Εͨࢠϓϩηε͸ͦͷۭؒͰ͸init(PID=1) ͱͳΔ • init͕ࢮ͵ͱ൵͍͜͠ͱʹͳΔͷͰҡ࣋͢Δඞཁ͕͋Δ • ΑΓྑ͍initΛٻΊΔཱྀ͕࢝·Δ •

    docker 1.13Ͱ runʹ initΦϓγϣϯ͕෇͍ͯͦ͏ • ·ͨ/sbin/init Λ࣮ߦ͢Δɺ͠ͳ͍ͱ͍ͬͨબ୒ࢶ΋૿͑Δ • ࠓճͷ༻్Ͱ͸͍Βͳ͍ͷͰল͍ͨ • ࣮ࡍʹ͸ඞཁͱͳΔ͜ͱ͕ଟ͍ • ্هཧ༝Ͱؾܰʹ΍ΔͳΒল͘ͱָ

25. PID namespaceΛར༻͠ͳ͍ͱ… • ps ݁Ռ͕෼཭͞Εͳ͍ • ίϯςφ಺ɺίϯςφ֎͔Βݟ์୊ • initʹͿΒԼ͕Δdaemon •

    UST, networkͷnamespace͸෼཭͞Ε͍ͯΔ • ϓϩηεੜ੒࣌ʹ෼཭͠ͳ͚Ε͹ܧঝ͞ΕΔ • ϓϩηεͷऴྃΛͲ͏͢Δ͔ • ss -N test01 -tlpͳͲͰLISTENΛ֬ೝ͢Δͱ෼཭͞Ε͍ͯ Δ͜ͱ͕Θ͔Δ

26. ps ݁Ռ SPPU
    
    
    
    
    
    
    
    OHJOY
    NBTUFS
    QSPDFTT
    VTSTCJOOHJOY
    IUUQ
    
    
    
    
    
    
    
    a@
    OHJOY
    XPSLFS
    QSPDFTT
    IUUQ
    
    
    
    
    
    
    
    a@
    OHJOY
    XPSLFS
    QSPDFTT
    IUUQ
    
    
    
    
    
    
    
    a@
    OHJOY
    XPSLFS
    QSPDFTT
    IUUQ
    
    
    
    
    
    
    
    a@
    OHJOY
    XPSLFS
    QSPDFTT
    SPPU
    
    
    
    
    
    OHJOY
    NBTUFS
    QSPDFTT
    VTSTCJOOHJOY
    IUUQ
    
    
    
    
    
    
    a@
    OHJOY
    XPSLFS
    QSPDFTT
    IUUQ
    
    
    
    
    
    
    a@
    OHJOY
    XPSLFS
    QSPDFTT
    

    IUUQ
    
    
    
    
    
    
    a@
    OHJOY
    XPSLFS
    QSPDFTT
    IUUQ
    
    
    
    
    
    
    a@
    OHJOY
    XPSLFS
    QSPDFTT

27. ss݁Ռ TVEP
    TT
    /
    UFTU
    MUQ
    4UBUF
    
    
    
    
    
    3FDW2
    4FOE2ɹ-PDBM
    "EESFTT1PSUɹ1FFS
    "EESFTT1PSU
    -*45&/
    
    
    
    
    
    
    
    
    
    
    ɹ IUUQɹ  ɹVTFST OHJOY QJE GE

    
    -*45&/
    
    
    
    
    
    
    
    
    
    
    ɹIUUQɹ ɹVTFST OHJOY QJE GE
    TVEP
    TT
    /
    UFTU
    MUQ
    4UBUF
    
    
    
    
    
    3FDW2
    4FOE2ɹ-PDBM
    "EESFTT1PSUɹ1FFS
    "EESFTT1PSU
    -*45&/
    
    
    
    
    
    
    
    
    
    
    ɹ IUUQɹ  ɹVTFST OHJOY QJE GE
    -*45&/
    
    
    
    
    
    
    
    
    
    
    ɹIUUQɹ ɹVTFST OHJOY QJE GE

28. curl DVSM
    
    
    UFTU
    DPOUBJOFS
    OHJOY
    DVSM
    
    
    UFTU
    DPOUBJOFS
    OHJOY
    

29. SSH TTI
    
    
    
    DBU
    FUDEFCJBO@WFSTJPO
    
    
    
    TTI
    
    
    
    DBU
    FUDEFCJBO@WFSTJPO
    
    
    TUSFUDITJE

30. ·ͱΊΔͱ… • image಺ͷϥΠϒϥϦόʔδϣϯͰಈ࡞ • ίϯςφ಺Ͱෳ਺ͷΞϓϦέʔγϣϯΛىಈ • ҟͳΔIPΞυϨεͰ௨৴ • ؆୯ͳΞϓϦέʔγϣϯΛ࣮ߦ͢Δ͙Β͍͸Ͱ͖ͦ͏ •

    ൺֱతރΕ͍ͯΔ΋ͷ͔͠࢖͍ͬͯͳ͍ + γϯϓϧͳ ͷͰ҆ఆ͸͍ͯͦ͠͏

31. ͍͚ͯͳ͍Օॴ • ͍͚ͯͳ͍Օॴͷطଘίϯςφٕज़Ͱͷղܾ๏ͱ
 ࣗ෼Ͱ࣮૷͢ΔࡍͷղܾํΛൺֱ͢Δͱָ͍͠ • image؅ཧ • Netoworkߏ੒ • PIDͷ؅ཧ,

    ϓϩηεͷॲཧํ๏ • Ϧιʔε੍ݶ • ηΩϡϦςΟ

32. • imageͷ؅ཧػೳ • snapshot΍ɺόʔδϣχϯά͸? • imageͷҠಈ͸Ͳ͏͢Δ? • Networkߏ੒ • αϒωοτ΋ݻఆͰIP΋खಈͳͷͰҠಈ͸Ͳ͏͢Δʁɹ

    • ҟͳΔαϒωοτͱͷ௨৴͸? • PID෼཭ɺϓϩηεॲཧ • PID͸෼཭͢Δ or ͠ͳ͍? • ίϯςφ಺ͷinitͷॲཧ • γεςϜίϯςφ? ΞϓϦέʔγϣϯίϯςφ?

33. ·ͱΊ • ίϯςφࣗ࡞͸ؾܰʹͰ͖Δ • Կ͕ίϯςφ͔ͱ͍͏࿩͸͋Δ͕ namespace͸ؾܰʹ࢖͑Δ • طଘίϯςφٕज़΁ͷཧղ͕ਂ·Δ • ͨΓͳ͍ͱ͜Ζ΋ݟ͑ͯ͘Δ

    • Ұճ͸৮͓ͬͯ͘ͱྑͦ͞͏