第43回 Linuxカーネルのケーパビリティ[2] | gihyo.jp
前回はプロセスに設定されているケーパビリティと、ファイルにあらかじめ設定しておくファイルケーパビリティについて説明しました。 今回はまず、execve(2) システムコールを使ってプログラムを実行する際にケーパビリティがどのように変化するのかを説明したあと、Ambientケーパビリティとケーパビリティバウンディングセットについて説明します。 プログラム実行時のケーパビリティ Linux上で実行されるプログラムは、fork(2)やclone(2)システムコールを使って親プロセスを複製して生成し、複製したあとにexecve(2)システムコールで目的のプログラムを実行します。 このexecve(2)でプログラムを実行する際に、カーネルは実行後のプロセスが持つケーパビリティを計算します。このときの計算は次のアルゴリズムが使われます。 P'(ambient) = (file is privilege
![第43回 Linuxカーネルのケーパビリティ[2] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/3952b726985203aab0ce5c435da8248039ac56b1/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2022%2F1998_linux_container2022.png)
第42回 Linuxカーネルのケーパビリティ[1] | gihyo.jp
前回からだいぶ間隔が空いてしまいました。前回の最後に案内したudzuraさんのCRIUに関する記事はもう少し時間がかかるようですので、もうしばらく私が担当したいと思います。 今回から数回は、Linuxカーネルに実装されているケーパビリティについて説明します。ケーパビリティは2.2カーネルのころから実装されてきているかなり古くからある機能で、コンテナ向けの機能ではなく一般的に使われている機能です。もちろん、コンテナの安全性を高めるための重要な機能でもあります。 setuid 一般的にはUNIX系のOSでは、プロセスはroot権限(実効ユーザIDが0)で実行される特権プロセスと、一般ユーザ権限で実行される(実効ユーザIDが0以外の)非特権プロセスに分けられます。 一般ユーザは、通常はそのユーザの権限でプログラムを実行すれば良いのですが、一般ユーザが実行するプログラムであっても処理の内容によって
PSIをLXCのコンテナで試す: その(1) CPU Pressure - ローファイ日記
あらすじ PSIという新しいシステムプレッシャーの指標が Linux 4.20 から利用できます。という内容を前回のブログに書いた。 udzura.hatenablog.jp 今日はこのPSIについて、実際にシステムに負荷をかけたりして変動を眺める。 下準備として cgroup v2 をシステムで利用可能にする 大前提として: デフォルトの設定のままではsystemdがcgroup v1を利用する あるプロセスがcgroup v1で制御されているとcgroup v2では制御出来ない こういう仕様があり、普通に起動してもcgroup v2のルートの cgroup.controllers は空っぽである。回避策はカーネルの起動パラメータ等でsystemdにcgroup v2のみを利用させること。以下の記事に詳しい。 qiita.com この手順そのままに systemd.unified_cgr
Linux Containers - LXC - イントロダクション
LXC について ¶ LXC は Linux カーネルが持つコンテナ機能のためのユーザスペースのインターフェースです。 Linux ユーザがシステムコンテナやアプリケーションコンテナを簡単に作成したり管理したりするためのパワフルな API とシンプルなツールを提供しています。 LXC の機能 ¶ 現時点で、LXC はコンテナを作成するために以下のカーネルの機能を使っています。 Kernel namespaces(名前空間) (ipc, uts, mount, pid, network and user) Apparmor and SELinux プロファイル Seccomp ポリシー Chroots (pivot_root を使用) Kernel capabilities (ケーパビリティ) CGroups (control groups) LXC はよく強力な chroot と本格的な仮
Linux Containers - LXD - イントロダクション
LXD とは? ¶ LXD([lɛks'di:]🔈)は次世代のシステムコンテナおよび仮想マシンのマネージャーです。コンテナや仮想マシン内部で実行される完全な Linux システムに対する共通の使い勝手や操作感を提供します。 LXD は、多数の Linux ディストリビューションが利用できる、あらかじめビルドされたイメージをベースとしています。さまざまなタイプのストレージバックエンドやネットワークをサポートし、個人のラップトップやクラウドインスタンスからサーバーラック上のハードウェアまで、様々なハードウェアにインストールでき、色々なユースケースに対応する柔軟性と拡張性を備えています。 LXD を使うと、シンプルなコマンドラインツールや REST API を直接使ったり、サードパーティーのツールやインテグレーションを使ったりして、コンテナや仮想マシンといったインスタンスを管理できます。LXD
第459回 LXDを使ってDockerコンテナをマイグレーション | gihyo.jp
第458回ではUbuntuにおけるDockerのインストール方法を紹介しました。ところでDockerと同じコンテナ技術を利用したソフトウェアとして「LXD」が存在します。このLXDとDockerは排他的な存在ではなく、用途にあわせて組み合わせて使うと便利なツールです。そこで今回はLXDで作った仮想環境上でDockerコンテナを動かす方法を紹介します。 LXDの上でDockerを使う Dockerと同様にカーネルのコンテナ技術を利用したソフトウェアのひとつにLXDが存在します。Dockerがひとつのコンテナでひとつのアプリケーションを動かす「アプリケーションコンテナ」としての利用をメインに据えているのに対して、LXDは軽量な仮想マシンのように使える「システムコンテナ」としての使い方を提案していることがもっとも大きな違いです[1]。 両者の具体的な違いを見ていきましょう。ちなみに個々の環境や
コンテナ型技術の情報交換会
LXC,OpenVZ,FreeBSD Jail などのコンテナ技術と Docker などのコンテナ応用技術やプロダクトに関係する話題を扱う勉強会です.技術書典やインプレスの「技術の泉シリーズ」からコンテナ技術に関する本を出しています。 @ten_forward が lxc-jp での活動を元に立ち上げたものです。 技術書典のlxc-jpサークルページ Linux Container Book(インプレス) lxc-jp の Google Group lxc-jp github リポジトリ connpass の勉強会ページ 『コンテナ型仮想化の情報交換会』はコンテナ技術に関連する話題を扱います. コンテナに関連するカーネルの実装について 各種ツールキットの紹介,実装について コンテナ技術を使ったツールやソフトウェアの紹介や実装について コンテナ技術の活用・運用事例 その他「コンテナ」というキ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
LXCで学ぶコンテナ入門 -軽量仮想化環境を実現する技術 記事一覧 | gihyo.jp
リダイレクトの警告