Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Rootless コンテナはいいぞ
Search
松本直樹
March 10, 2024
2
320
Rootless コンテナはいいぞ
松本直樹
March 10, 2024
Tweet
Share
More Decks by 松本直樹
See All by 松本直樹
bypass4netns: Accelerating TCP/IP Communications in Rootless Containers
mt2naoki
0
57
コンテナ技術における最新の研究動向
mt2naoki
15
11k
Zig で TLS1.3 を実装している話
mt2naoki
0
140
Efficient Container Image Updating in Low-bandwidth Networks with Delta Encoding
mt2naoki
0
1.1k
TLS 1.3 で学ぶ暗号技術
mt2naoki
0
250
Accelerating TCP/IP Communications in Rootless Containers by Socket Switching
mt2naoki
0
1.2k
Capability Based Network Access Control for Smart Home Devices
mt2naoki
0
120
Capabilityモデルに基づくスマートホームデバイスのネットワークアクセス制御
mt2naoki
0
110
実行環境の隔離技術に関する調査
mt2naoki
0
72
Featured
See All Featured
The Pragmatic Product Professional
lauravandoore
31
6.2k
Writing Fast Ruby
sferik
623
60k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
28
1.7k
YesSQL, Process and Tooling at Scale
rocio
167
14k
Into the Great Unknown - MozCon
thekraken
29
1.4k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.4k
The Brand Is Dead. Long Live the Brand.
mthomps
53
38k
The Power of CSS Pseudo Elements
geoffreycrofte
71
5.3k
Bootstrapping a Software Product
garrettdimon
PRO
304
110k
Atom: Resistance is Futile
akmur
261
25k
How To Stay Up To Date on Web Technology
chriscoyier
786
250k
Rails Girls Zürich Keynote
gr2m
93
13k
Transcript
Rootless コンテナはいいぞ 2024/3/10 情報科学若手の会春の陣2024 松本直樹(京都大学 情報学研究科) 1
Rootless コンテナとは コンテナを構成する各種ランタイムが一般ユーザーで動く • runc(低レベルランタイム), containerd(高レベルランタイム) コンテナの隔離が破られても一般ユーザー権限しか持たない → 一般的なコンテナよりは安全! 2
コンテナ runc Rooful なコンテナ 悪意のあるプロセス Root 権限で動く 脆弱性 Root 権限で悪意のある操作が可能 (になるかもしれない) コンテナ runc Rootless なコンテナ 悪意のあるプロセス 一般権限で動く 脆弱性 一般権限で可能な操作に限定される
色々嬉しい Rootless コンテナ ランタイムデーモンがユーザーごとに動く • 管理者権限がない環境でもコンテナが使える • Rootless コンテナ自体は管理者権限なしで使える •
newuidmap, newgidmap コマンドが必要なため事前にインストールする必要あり 改善の PoC は存在(https://github.com/rootless-containers/subuidless) • ユーザーごとにランタイムの環境が閉じている • 他のユーザーの環境に影響を与えない • ユーザーを切り替えればバージョンの切り替えもできる 3
Rootless コンテナの使い方 nerdctl (Rootless コンテナの開発者が開発) • https://github.com/containerd/nerdctl/blob/main/docs/rootless.md の手順に従いインストール Podman •
RHEL 環境なら ‘dnf install podman’ で完了 Docker • https://docs.docker.com/engine/security/rootless/ の手順に従い インストール 4
bypass4netns Seccomp を用いることでアプリケーションに改変無しに高速化 • LD_PRELOAD 無しで動作 • 最近は Usernetes (Kubernetes
の Rootless 版)にも使えないか検討中 5 https://x.gd/SBo9t
bypass4netns 別々のホスト上で動く rootless コンテナ間の通信を高速化 • Usernetes 向けのマルチノード通信高速化機能も持つ • 詳しくは論文にて(https://arxiv.org/abs/2402.00365) bypass4netns:
Accelerating TCP/IP Communications in Rootless Containers 6 https://x.gd/SBo9t