最近では開発環境をローカルに構築することなく、Dockerをはじめとするコンテナ技術を使用する場面が増えています。コンテナ技術の利用により、環境の構築手間が大幅に軽減でき、さらにプログラミング言語やデータベースのバージョン管理も柔軟に行えるのが主な利点として挙げられます。 そんなコンテナ技術で有名なものとしてはDockerが存在しますが、最近では他にもさまざまなコンテナ技術や仮想化技術が登場しています。本記事では、これらの技術の相違点や特徴について紹介します。 コンテナはホストOSから独立した環境でアプリケーションを実行する技術です。 Dockerの場合を見てみると、下の図のようにホストOSの上にDockerが存在し、このDockerが様々なアプリケーションを「コンテナ」として管理しているとイメージできます。 具体的には、コンテナ内には必要なライブラリや依存関係がパッケージ化されており、こ
背景 本家のruncで実装されているSELinux機能が、Youki (Rustでruncを再実装するOSS)に実装されていないことがわかった。 そこで、SELinux機能をYoukiに導入することになったのだが、SELinux crateが無かったのでRustで再実装することになり、そのプロジェクトにアサインしてもらった。 しかし、SELinuxについて何も知らなかったので、SELiuxについて色々と調べたことをまとめた。 SELinuxとは何か? security-enhanced Linuxの略称。MAC制御を行うことができる。通常のセキュリティに加えてSELinuxを設定することで、システムセキュリティを更に強化できる。 Labelとpolicyを組み合わせたセキュリティ制御が特徴である。process・file・networkなどのobject、process・userなどのsu
コンテナランタイムの代表的な実装の1つである「containerd」の初のメジャーバージョンアップとなる「containerd 2.0」の開発が進んでいます。 今年(2024年)3月に最初のリリース候補版「v2.0.0-rc.0」が登場し、6月には「v2.0.0-rc.3」まで進捗しているため、数カ月以内には正式版が登場すると思われます。 containerdのこれまで もともとcontainerdはDockerコンテナの一部として実装され、2016年に独立したオープンソースプロジェクトとなりました。現在でもDockerのコンテナランタイムとして採用されています。 参考:Dockerエンジンのコアランタイムが「containerd」として分離、独立したオープンソースプロジェクトに。Docker、AWS、Google、IBM、マイクロソフトらが協力して開発推進へ 2017年3月にCloud
コンテナの仕組みを勉強したかったため、Goでコンテナランタイムを自作した。雑実装だし未実装の機能もたくさんあるが、ある程度形になってきたため現状をまとめる。 リポジトリ github.com kombu/dashi - 自作コンテナランタイム kombu/nimono - eBPFを利用したシステムコールロガー kombu/yaminabe - dashiとnimonoを利用したマルウェアサンドボックス プロジェクト名から和の雰囲気を感じるが、これはリポジトリ名をkombu(昆布)にしたかったため、せっかくなら今回は和風で固めようと思ったから。趣があっていいんじゃないでしょうか。 dashiが自作コンテナランタイムだが、nimonoとyaminabeは実験的な要素で、セキュキャン2023でコンテナを使ったマルウェアサンドボックスを実装した経験があり、今回はその再実装を自作コンテナランタイム
はじめに 新卒エンジニア研修を担当しました ugo です! 今年も新卒エンジニア研修を実施し、全カリキュラムが無事終了しました。 この記事では、各研修の講師を担当したメンバーが、新卒エンジニア研修のカリキュラムの内容と研修資料をまとめました。ぜひご覧ください。 2024年度新卒エンジニア研修概要 新卒エンジニア研修のコンセプトは 「サービスを作るための技術要素や観点について、現時点で良いやり方を一通り学ぶ」 と設定しました。 サービスを運用していくために必要なオブザーバービリティといった領域も今年から研修に盛り込みました。 研修に参加した新卒エンジニアは3名です。 オフィス内はフリーアドレスとなっていますが、研修のためオフィスに固定席を設け、1ヶ月に1回程度の頻度でオフィスの別に席に移動する形態で実施しました。講師も新卒エンジニアの近くに座ることで、相談をしやすい環境づくりを行いました。
マイクロソフト製の最新Linuxディストリビューション「Azure Linux 3.0」正式リリース。Azureに最適化され、Kernel 6.6を採用
マイクロソフト製の最新Linuxディストリビューション「Azure Linux 3.0」正式リリース。Azureに最適化され、Kernel 6.6を採用 マイクロソフト製のLinuxディストリビューションである「Azure Linux」の最新版となる「Azure Linux 3.0」が正式リリースされました。 Azure Linuxはマイクロソフトが提供しているサービス、MinecraftやAzure Kubernetes Service(AKS)、Azure Operator Nexus、Xbox、HDInsight, Microsoft Threat Protectionなどの基盤OSとしてマイクロソフト社内で作られていた、セキュリティを重視しMicrosoft Azureに最適化された同社独自のLinuxディストリビューションです。 3月に公開されたブログ「What’s new in
SREホールディングス株式会社 でソフトウェアエンジニアをやっている釜田です。 近年、Webアプリケーション開発者にとって、コンテナの起動や停止のためにDockerコマンドを用いることが一般的になりましたが、その背後の仕組みについてご存知でしょうか? 実は、コンソールからDockerコマンドを実行した裏側で、コンテナランタイムがコンテナの作成や起動を行っています。 今回はそのようなDockerの裏側について紹介するとともにコンテナランタイムを直接動かしてコンテナを作成、起動してみようと思います。 今回紹介するコンテナランタイムの役割と機能についての理解を深めることで、今後より適切なコンテナランタイムを選択して、コンテナのセキュリティレベルを向上させることが可能になります。 対象読者 業務でDockerを利用している方 Dockerがどのような仕組みでコンテナを実行しているか気になる方 コン
runc working directory breakout (CVE-2024-21626) by Mohit Gupta Snyk recently identified a flaw in runc <= 1.1.11, CVE-2024-21626. This issue effectively allowed an attacker to gain filesystem access to the underlying host's OS, which could be used to gain privileged access to the host. This has an impact on orchestration based environments which use runc, such as Kubernetes. An attacker able to d
はじめに Kubernetes は v1.25 で cgroup v2 サポートを GA しており、その後に cgroup v2 に関連する機能が追加されています。しかしまだ多くのディストリビューションで Kubernetes がデフォルトで cgroup v2 を使用しない設定のため、実際に利用している方は多くないと思います。PFN では2022年12月に Kubernetes バージョンを v1.25 にアップグレードするのと同じタイミングで cgroup v2 に切り替えています。 このエントリでは Kubernetes の cgroup v2 に関する機能である MemoryQoS フィーチャゲートと memory.oom.group の2つについて、機能概要と課題を共有します。なお、Kubernetes v1.28 時点での情報です。 そもそもの cgroup v2 について そ
We will continue to update this blog with any key updates, including updates on the disclosure of any new related vulnerabilities. This blog includes links to detailed blogs on each of the disclosed vulnerabilities, as well as two open source tools to aid in exploit detection. Snyk security researcher Rory McNamara, with the Snyk Security Labs team, identified four vulnerabilities — dubbed "Leaky
リソース制限をかけたKubernetes Podの中でhtopをしてもホスト上のリソースが表示されるのはなぜか - inductor's blog
はじめに これは、Kubernetesアドベントカレンダー2の20日目の記事です、と思っていたら1の17日目が空いていたのでそっちに移します。 結論 htopはホストのリソースを取得できるカーネルの情報を見に行っているから! 終 制作・著作 ━━━━━ ⓃⒽⓀ 終わりではない これだけだとアドベントカレンダーの記事としては内容があまりにも薄すぎるのでもうちょっと書きます。 この話を進める前に揃えておくべき前提知識の話。コンテナとVMの違いを説明する方法はいくつかありますが、決定的な違いとしては根本的にリソースの分離の仕方がちがうところにあります(細かいこというのもアレですが、ここではruncなどの標準的なコンテナ実装を用いた場合の話をしています)。 仮想マシンはホストマシンのリソースを(USBやPCIなどをパススルーする場合を除いて)基本的には全て隠蔽し、少ないリソースでデバイスのエミュレ
Dockerコンテナを活用したテストツール【Testcontainers】 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに Testcontainersとは Testcontainersのメリット ハンズオン 環境設定 goプロジェクトの作成 必要なパッケージのインストール テストコードの作成 コンテナリクエストの設定 コンテナの起動 コンテナのホストとポートの取得 結果の確認 まとめ はじめに こんにちは! エンジニア2年目のTKDSです! 前回はDaggerを紹介しました。 今回もコンテナ技術を活用して、テストを容易にするツールについて紹介します。 今回取り上げるのは、統合テストやエンドツーエンドテストのためにDockerコンテナを利用するライブラリ、Testcontainersです。 Testcontainersとは Testcontainersはさまざまなプログラミング言語(Java、Go、Python、Node.jsなど)向けに提供されており、Daggerと同様にテスト用のコンテナを簡単に作
WasmバイナリをrunwasiとPodman/crun/WasmEdgeから実行してみた | DevelopersIO
DockerやKubernetesで利用されているコンテナランタイム containerd からは、shim を通じてruncやAWS Fargateで利用されているFirecrackerなど様々なコンテナ実行方法をサポートします。 数年前にDocker社のプレスリリースで話題になったのように、WebAssembly(Wasm)アプリも実行することができ、Wasm向けshimから runwasi を呼び出すほか、runc 向け shimから Wasm対応した crun を 呼び出す事もできます。 ※ 図はIntroducing the Docker+Wasm Technical Preview | Docker から 本記事では、両ケースに対応する containerd をインストールしたあと、runwasi 方式とPodman&crun のそれぞれで実行します。 検証環境 Ubuntu
Dockerとruncに潜む4つのセキュリティリスク Snykが警鐘 Leaky Vesselsは4つの脆弱性で構成されており、これらを悪用された場合、サイバー攻撃者がコンテナを抜け出してホストOSにアクセスする可能性がある。これらの脆弱性の中には深刻度が「緊急」(Critical)と分類されるものが含まれているため、該当プロダクトを使用している場合は情報を確認するとともに、必要に応じて対処することが求められる。 Leaky Vesselsを構成する脆弱性の詳細は以下の通りだ。 CVE-2024-21626: 内部ファイル記述子の漏えいによって新しく起動したコンテナプロセスにおいて、ホストのファイルシステム名前空間内の作業ディレクトリを保持できる脆弱性。これを悪用した場合、ホストファイルシステムへの不正アクセスやコンテナ環境からの脱走が可能になる CVE-2024-23651: 同じキャッ
CloudShell VPC environment から VPC内のEC2インスタンスやRDS DBインスタンスに接続してみた | DevelopersIO
もっと簡単にVPC内のリソースにアクセスしたい こんにちは、のんピ(@non____97)です。 皆さんはもっと簡単にVPC内のリソースにアクセスしたいと思ったことはありますか? 私はあります。 VPC上のRDS DBインスタンスやRedisクラスターなどのリソースに接続したい場合、Site-to-Site VPNやClient VPN、Direct Connectがなければ踏み台が必要になります。 踏み台へのアクセス方法は以下のようなものがあります。 直接SSH SSMセッションマネージャー EC2 Instance Connect SSMセッションマネージャーとEC2 Instance Connectについては以下記事をご覧ください。 しかし、上述のいずれのパターンもEC2インスタンスやECS Fargateなどの課金が発生するリソースをプロビジョニングする必要があります。 そんな時に
Docker Security Advisory: Multiple Vulnerabilities in runc, BuildKit, and Moby | Docker
Products Docker DesktopContainerize your applicationsDocker HubDiscover and share container imagesDocker ScoutSimplify the software supply chainDocker Build Cloud Speed up your image buildsTestcontainers Desktop Local testing with real dependenciesTestcontainers Cloud Test without limits in the cloud See our product roadmapMORE resources for developers
2024/2/29 に Amazon Linux 2023 が EKS で正式サポートされました。全てのリージョンの Karpenter Node、マネージドノードグループ、セルフマネージドノードグループで利用可能です。現在 EKS でサポート対象の 1.25 以降に加えて、延長サポートに入っている EKS 1.23 / 1.24 でも利用できます。Amazon Linux 2023 のサポートに関しては Amazon EKS-Optimized Amazon Linux 2023 AMIs Now Available のブログに詳細がまとまっています。 セキュリティ機能の強化 Amazon Linux 2023 では、Security Enhanced Linux (SELinux) や OpenSSL v3、Instance Metadata Service Version 2 (IM
![[EKS] Amazon Linux 2023 への移行](https://cdn-ak-scissors.b.st-hatena.com/image/square/0e9a2c99775f2c3c7058b3ceee69a4f89d89015e/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--aY3tR2m6--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255BEKS%25255D%252520Amazon%252520Linux%2525202023%252520%2525E3%252581%2525B8%2525E3%252581%2525AE%2525E7%2525A7%2525BB%2525E8%2525A1%25258C%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3ATsubasa%252520Nagasawa%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyL2Q5NjQ3ZDFhMDguanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
背景とか目的 最近Kubernetesを使って、色々試したいことが多い。 一発コマンドでマルチクラスタを作って、きれいさっぱりさよならしたい。 物理マシン数台でclusterを構築したり、管理するのがめんどくさい。 自分の開発マシンだけでマルチノードクラスタを立ち上げて、アプリの動作を確認したい。 Kindとは Kubernetes IN Docker らしいです。少しだけ概要にも触れておきます。 Kubernetesのノードとしてdockerコンテナを起動しています。dockerコンテナ一つがKubernetesのノードとして割り当てられます。 dockerコンテナの中(仮想的なノードの中)ではコンテナランタイム(containerd)が起動しています。このコンテナランタイムがKubernetesのコンポーネントやアプリケーションをコンテナとして管理しています。dockerコンテナの中で
GitHub - maelstrom-software/maelstrom: Maelstrom is a fast Rust and Python test runner that runs every test in its own container. Tests are either run locally or distributed to a clustered job runner.
Maelstrom is a suite of tools for running tests in hermetic micro-containers locally on your machine or distributed across arbitrarily large clusters. Maelstrom currently has test runners for Rust and Python, with more on the way. You might use Maelstrom to run your tests because: It's easy. Maelstrom provides drop-in replacements for cargo test and pytest. In most cases, it just works with your e
【セキュリティ ニュース】コンテナの制限を回避する脆弱性「Leaky Vessels」が判明(1ページ目 / 全2ページ):Security NEXT
コンテナ関連のコアコンポーネントにコンテナによる制限を回避し、ホストOSのroot権限によるアクセスが可能となる脆弱性「Leaky Vessels」が明らかとなった。 「Dockerエンジン」で使用されるコンテナランタイム「runc」や、コンテナイメージをビルドするためのツールキット「BuildKit」に脆弱性が明らかとなったもの。発見したSnykの研究者は、これら脆弱性を「漏れる容器」を意味する「Leaky Vessels」と名付けている。 コンテナを起動、実行するために用いるOpen Container Initiative(OCI)の「runc」では、「同1.1.11」および以前のバージョンに「CVE-2024-21626」が判明。 またMoby Projectの「Buildkit」では、「同0.12.4」および以前のバージョンに「TOCTOU」によるマウントキャッシュの競合の脆弱性
[レポート]Road to SRE NEXT 2024@福岡に参加してきた #srenext | DevelopersIO
SRE NEXT 2024について 信頼性に関するプラクティスに深い関心を持つエンジニアのためのカンファレンス「SRE NEXT 2024」が2024年8月3日〜4日の2日間にわたってAbema Towersで開催されます。 この「SRE NEXT」のプレイベントとして、仙台、京都、広島など日本全国各地で「Road to SRE NEXT」が予定されており、5月24日(金)に福岡@GMOペパボで初回イベントが開催されました。 地元開催ということで参加してきたので、簡単にレポートします。 SRE NEXTオーガナイザーの @shotaTsuge さんと @ryuichi_1208 さんの挨拶からイベントは始まりました。 参加ー #srenext pic.twitter.com/CuhWI6r0Ue — L I N Y O W S (@linyows) May 24, 2024 セッションは幅
![[レポート]Road to SRE NEXT 2024@福岡に参加してきた #srenext | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/012f39d37dbd0c7c4206ae791a508cdf643605e3/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F05%2Feyecatch_srenext.png)
Noble Numbat Release Notes Table of Contents Introduction New features in 24.04 LTS Known Issues Official flavours More information Introduction These release notes for Ubuntu 24.04 LTS (Noble Numbat) provide an overview of the release and document the known issues with Ubuntu and its flavours. Support lifespan Ubuntu 24.04 LTS will be supported for 5 years until June 2029. If you need Long Term S
Client: Version: 25.0.3 API version: 1.44 Go version: go1.20.12 Git commit: 4debf41 Built: Mon Feb 12 00:00:00 2024 OS/Arch: linux/amd64 Context: default Server: Engine: Version: 25.0.3 API version: 1.44 (minimum version 1.24) Go version: go1.20.12 Git commit: f417435 Built: Mon Feb 12 00:00:00 2024 OS/Arch: linux/amd64 Experimental: false containerd: Version: 1.7.11 GitCommit: 64b8a811b07ba628823
Youkiとは runc同様、OCI runtime specである。Rustで書かれている。日本語の容器が名前の由来。 なお、OCI runtime specは、1. 隔離環境の作成, 2. コンテナ実行, 3. プロセスのKill, 4. コンテナの削除、に関する明文化された仕様を指す。 メリット Rustで実装するメリットは、Goよりsystem callを扱いやすい(Cを呼び出すオーバーヘッドが少ない、ゼロコスト抽象化などの仕様のおかげ?)、Cと比べてメモリ安全、が挙げられていた。そのおかげか、Youkiは、runcより高速に動作するらしい。 仕様 現在はLinux環境しかサポートしていない。Linux以外の環境で動かしたい場合、VagrantでVMを利用する必要がある。 Youkiは低レベル container runtimeなので、Docker, Podmanなどの高レベル c
Podmanは、デーモンレス・Docker互換の次世代のコンテナエンジンです。Dockerの弱点だったセキュリティが強化されたのみならず、root権限がなくてもコマンドを実行できるため、急速に普及してきています。本書は、Red HatでPodmanチームを率いる著者が、Podmanでコンテナを構築、管理、実行する方法を、基礎から徹底解説します。さらに高度な機能の使用方法、コンテナのセキュリティについても詳しく紹介しています。 Part 1 基礎 Chapter 1 次世代のコンテナエンジンPodman 1.1 用語について 1.2 コンテナの概要 1.2.1 コンテナイメージ:ソフトウェアを配布するための新たな方法 1.2.2 コンテナイメージとマイクロサービス 1.2.3 コンテナイメージのフォーマット 1.2.4 コンテナ標準の策定 1.3 なぜDockerではなくPodmanなのか
MacでDocker Desktop4.27.0に上げたらMySQL 5.7(amd)のコンテナが動かなくなった場合の対処法 - こまぶろ
追記 Docker Desktop は runcの脆弱性対応で2024/2/2現在の最新はv4.27.1になっています。 www.docker.com 環境 MacBook Pro 2023 Apple M2 Max macOS: Ventura 13.6.4 Docker Desktop v4.27.0 Dockerイメージ: mysql:5.7(MySQL official) 事象 Docker Desktopのバージョンをv4.27.0に上げたところ、これまで使用できていたmysql:5.7のDockerコンテナが起動できなくなった。 エラーメッセージは、以下のようなもの。 2024-02-01 17:38:46 2024-02-01 17:38:46+09:00 [Note] [Entrypoint]: Entrypoint script for MySQL Server 5.7.
バルス祭り#10 | 脆弱性管理の最前線〜リスク評価からSSVC、VEX、AIまで〜 (2024/08/20 18:00〜)
イベントの概要 基調講演として、ICI(伊藤忠サイバー&インテリジェンス)から最近公開された「ICIリスクアセスメントツール」の内容をもとに、リスクアセスメントツール・全体的なリスクアセスメントの考え方、実際にICIでは脆弱性をどのように取り扱ってどのように対応しているのかについて紹介していただきます。 Software Bill of Materials (SBOM)やSoftware Composition Analysis (SCA)ツールの普及により、既知の脆弱性の可視化が進んできました。しかし、その一方で大量に検知された脆弱性の影響調査、リスク判断、優先順位付けが難しいという新たな課題が生じています。以降のセッションでは、それらの課題を解決する以下の2つのアプローチについて紹介します。 ノイズを減らす 検知された脆弱性が「実際に影響するのかを機械的に判別可能」なVEX(Vulne
Dockerさまさま今日は某クラウド向け環境構築のために、おそらく人生で初めて自分用のDockerfileを書いてみて、CLIなアプリの動作環境をDockerで構築することの素晴らしさを理解した。今までは、Dockerで動かすことを前提としている、他者のアプリを実行するときのみDockerを用いていた。Dockerでの開発環境・動作環境の構築って、素早く壊しては作れるし可搬性があるし、なんて楽なんだ〜!! 世間より数年遅れで気づいた自分に呆れるが、調べながら実際に手を動かすことによってやっとそれを強く理解したのだから仕方がない。 というわけで、手元の持ち歩きパソコンのM1 MacでもDocker環境を整えたくなり、最新の情報を調べてやってみたというのが今回のメモである。 「Rancher Desktop by SUSE」のインストール macOS (Apple Silicon) 環境の場合
Leaky Vessels flaws allow hackers to escape Docker, runc containers
HomeNewsSecurityLeaky Vessels flaws allow hackers to escape Docker, runc containers Four vulnerabilities collectively called "Leaky Vessels" allow hackers to escape containers and access data on the underlying host operating system. The flaws were discovered by Snyk security researcher Rory McNamara in November 2023, who reported them to impacted parties for fixing. Snyk has found no signs of acti
関連性のある新たな脆弱性の開示に関する最新情報など、主要な最新情報が入手可能になり次第、今後もこのブログを更新していきます。このブログには、エクスプロイトの検出を支援する 2 つのオープンソースツールに加え、開示された各脆弱性に関する詳細なブログのリンクが含まれています。 Snyk のセキュリティ研究者 Rory McNamara は、Snyk Security Labs チームとともに、コンテナのエスケープを可能にする「Leaky Vessels」と呼ばれる 4 つの脆弱性がコアコンテナインフラストラクチャコンポーネントにあることを特定しました。攻撃者がこれらのコンテナエスケープを使用すると、基盤となるホストオペレーティングシステムにコンテナ内から不正にアクセスできる可能性があります。攻撃者は基盤となるホストオペレーティングシステムにアクセスすると、機密データ (認証情報、顧客情報など)
Amazon Linux 2023が正式リリース Amazon Linux2の後継となるAmazon Linux 2023が正式リリースされました。 Amazon Linux2の保守期限は2025年6月30日までとなります。Amazon Linux2がCentOSベースでしたが Amazon Linux 2023からはFedoraベースとなっています。 リリースから5年間の無償サポート 2年ごとのメジャーバージョンアップ カーネルライブパッチが可能。リブート無しで脆弱性パッチが適用できる。 などなどアナウンスされていますね。 Amazon Linux2がCentOSベースでしたが、CentOSが8で事実上終了となってしまったので連動したサポート終了も自明の理ですね。 CentOSはCentOS8はサポート期間が短縮されて2021年末で終了、CentOS7も2024年6月までとなっています。
Ubuntu Weekly Topics Ubuntu 24.04 LTS(noble)の開発 / Thunderbirdのソースビルド版Snapとデスクトッププロビジョニング noble(Ubuntu 24.04 LTS)の開発 / Thunderbirdのソースビルド版Snapとデスクトッププロビジョニング noble(Ubuntu 24.04 LTS)は2月末のFeature Freezeに向けて、いろいろな新機能のプロトタイプが投入される時期に入っています。また、universeに属するパッケージについては「新しいバージョンのアップストリームリリース」を取り込むことが行われています。 Ubuntu的にはFeature Freezeはあくまで目安にすぎず、Freeze後も適切な承認を得れば新機能を投入できるのですが、レビューにかかる時間や実装のアグレッシブさによっては「次まで延期」と
Noble Numbat リリースノート 目次 イントロダクション Ubuntu 24.04 LTS の新機能 既知の問題 公式フレーバー より詳しい情報 イントロダクション このリリースノートには、 Ubuntu 24.04 LTS(Noble Numbat)のリリース概要とUbuntuとそのフレーバーに関する既知の不具合を記述しています。 サポート期間 Ubuntu 24.04 LTS は2029年6月までの5年間サポートされます。もし、Long Term Support(長期サポート)版が必要な場合、24.04.1 リリースされるまでは Ubuntu 22.04 LTSを利用してください。 アップグレード Ubuntu 23.10 のユーザーは、リリース後すぐに24.04への自動アップグレードが提供されます。 ただし、22.04 LTSのユーザーには、8月15日に予定されている24.
Wind River Systemsが提供するRTOSのコンテナエンジンが、SigstoreのCosignをサポートした。VxWorksベースのデバイスにおいて、デプロイおよび管理する際のセキュリティを強化できる。 Wind River Systems(Wind River)は2023年11月15日(現地時間)、RTOS(リアルタイムオペレーティングシステム)のコンテナエンジンがSigstoreのCosignをサポートしたと発表した。 Wind Riverが販売するRTOSのVxWorksをベースとしたデバイスは、コンテナを使用してソフトウェアをデプロイおよび管理する際のセキュリティを強化できるようになる。VxWorksはOCI(Open Container Initiative)準拠のコンテナをサポートする。 今回の機能強化は、Wind Riverのリアルタイム組み込みコンテナエンジンが
Cgroups - Deep Dive into Resource Management in Kubernetes | Martin Heinz | Personal Website & Blog
There's a lot of "magic" that happens behind the scenes to make whole Kubernetes work. One of those is resource management and resource allocation done by Linux cgroups. In this article we will take a deep dive into what cgroups are, how Kubernetes uses them to manage Node resources, and how we can take advantage of them beyond setting resource requests and limits on Pods. What are Cgroups? First
はじめに NRI OpenStandia Advent Calendar 2020の 6日目は、Kubernetesとコンテナランタイムについて題材にします。 12月1-3日頃、「Kubernetesが v1.20 からコンテナランタイムとしてDockerを選択することが非推奨となる」というニュースが話題になりました。 話題になりすぎて、Kubernetesが「パニックになるな」という公式アナウンスを出す展開となりました。 たしかに「非推奨」という単語は衝撃的でしたが、実はこちらほとんどの開発者には影響は及ぼしません。 コンテナランタイムとしてDocker自体を使うことが非推奨になるだけでcontainerd(Dockerの機能の一部)を使うことは引き続き推奨されています。 とはいえ「どうして非推奨なのに、ほとんどの開発者に影響がないのか?」という疑問も多くの方は抱いたのではないでしょうか
【セキュリティ ニュース】Docker、脆弱性「Leaky Vessels」を修正したアップデートを公開(1ページ目 / 全1ページ):Security NEXT
Dockerは、コンテナのコアコンポーネントに脆弱性「Leaky Vessels」が見つかった問題で、アップデートをリリースした。 ランタイムである「runc」やイメージのビルドに用いる「Buildkit」に「Leaky Vessels」と名付けられた4件の脆弱性「CVE-2024-21626」「CVE-2024-23651」「CVE-2024-23652」「CVE-2024-23653」が判明したもの。 「Docker Engine 25.0.1」「同24.0.8」「Docker Desktop 4.27.0」および以前のバージョンが影響を受ける。脆弱性の影響については「高(High)」とレーティングした。 脆弱性は「runc1.1.12」「Buildkit 0.12.5」にて修正されており、これらを反映した「Moby(Docker Engine)25.0.2」「同24.0.9」を現地時
Red Hatの織です。本記事はAWS Containers Advent Calendar 2023の12/15のエントリーです。 内容としてはAmazon Linux 2023でPodmanを動かしてみました、という話です(AWSのコンテナ関連サービスを使ってなくて申し訳ありません...)。一言でまとめると、現状いろいろパッケージが足りないため、頑張ってコンパイルしていくhard wayな感じです。男らしくmainブランチのHEADをごりごりとビルドしていきます。 いろいろコンパイル rpmがあるものについてはそれを活用します。 sudo dnf install -y git golang runc cni-plugins gpgme-devel 作業ディレクトリを作成しておきます。 mkdir work cd work 最低限必要なソースコードをgit cloneします。 git c
はじめに 以前、自身でUbuntu18.04の記事を書いたのですが、かなり古くなっているので記事を書き替えます。 ついでに、Ubuntu24.04を使いましょう! 手順 # WSLをインストールしていない場合は、インストールしてください wsl --install # WSLのバージョンが古い場合は、systemctlが動かない場合があるので確認してください wsl --version # --versionが通らない場合は、WSLのバージョンが古いので、アップデートしましょう wsl --update wsl --install -d Ubuntu-24.04 wsl --set-default Ubuntu-24.04 # rootのパスワード設定があるので、進めましょう # もし古いdockerを入れていた場合は、removeします for pkg in docker.io dock
![[WSL] Ubuntu 24.04でdocker環境を整える - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/5e7e1fefd0700790705ba947ee1eb0302c08951f/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCV1NMJTVEJTIwVWJ1bnR1JTIwMjQuMDQlRTMlODElQTdkb2NrZXIlRTclOTIlQjAlRTUlQTIlODMlRTMlODIlOTIlRTYlOTUlQjQlRTMlODElODglRTMlODIlOEImdHh0LWFsaWduPWxlZnQlMkN0b3AmdHh0LWNvbG9yPSUyMzFFMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZzPWJhMjMwYjI5YzRjNjA3YjQzYjU2MzRmZmNiMDRjN2Qy%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBoa3VzYWJhJnR4dC1jb2xvcj0lMjMxRTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1mNGJiNWUyMjMyNTJlOGZlYzc4OTIxNzE4ZWVkYjM2Nw%26blend-x%3D142%26blend-y%3D436%26blend-mode%3Dnormal%26txt64%3DaW4g5qCq5byP5Lya56S-RnVzaWM%26txt-width%3D770%26txt-clip%3Dend%252Cellipsis%26txt-color%3D%25231E2121%26txt-font%3DHiragino%2520Sans%2520W6%26txt-size%3D36%26txt-x%3D156%26txt-y%3D536%26s%3D50947475642aa2d3c823242a925bce22)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Dockerだけではない: Podman、LXD、ZeroVMを含む主要なコンテナ技術を探る
containerにおけるSELinuxの役割について - Gekko0114 備忘録
コンテナランタイム「containerd 2.0」がまもなく登場。何が変わるのか?
コンテナランタイムを自作した - zebian.log
2024年度新卒エンジニア研修を実施しました! - Pepabo Tech Portal
Docker内部の仕組みについて手を動かして理解してみた
runc working directory breakout (CVE-2024-21626)
Kubernetes と cgroup v2 - Qiita
Leaky Vessels: Docker and runc Container Breakout Vulnerabilities - January 2024 | Snyk
「Docker Desktop」に最大深刻度「High」の脆弱性 ~修正版が公開へ/同梱する「runc」「BuildKit」「Moby」に全6件の脆弱性
Dockerとruncに4つの脆弱性が見つかる 悪用でホストOSにアクセスされるリスク
[EKS] Amazon Linux 2023 への移行
Kindを使ったKubernetes環境構築 - Qiita
Ubuntu 24.04 LTS (Noble Numbat) Release Notes
DifyをEC2上に構築して、IAMロールでBedrockを呼び出す - Qiita
Youkiの基礎知識とcontribution環境構築 - Gekko0114 備忘録
Podmanイン・アクション - 秀和システム あなたの学びをサポート!
macOSでのDockerはRancher Desktopが良さげ
Leaky Vessels: Docker および runc コンテナブレイクアウトの脆弱性 (2024 年 1 月) | Snyk
Amazon Linux 2023に環境入替を行う
Ubuntu 24.04 LTS(noble)の開発 / Thunderbirdのソースビルド版Snapとデスクトッププロビジョニング | gihyo.jp
NobleNumbat/ReleaseNotes/Ja - Ubuntu Wiki
「VxWorks」のコンテナエンジンにおけるデプロイと管理のセキュリティを強化
Kubernetes の コンテナランタイムについて、改めて見つめなおしてみた - Qiita
Amazon Linux 2023でPodmanを動かす - 赤帽エンジニアブログ
[WSL] Ubuntu 24.04でdocker環境を整える - Qiita