最近では開発環境をローカルに構築することなく、Dockerをはじめとするコンテナ技術を使用する場面が増えています。コンテナ技術の利用により、環境の構築手間が大幅に軽減でき、さらにプログラミング言語やデータベースのバージョン管理も柔軟に行えるのが主な利点として挙げられます。 そんなコンテナ技術で有名なものとしてはDockerが存在しますが、最近では他にもさまざまなコンテナ技術や仮想化技術が登場しています。本記事では、これらの技術の相違点や特徴について紹介します。 コンテナはホストOSから独立した環境でアプリケーションを実行する技術です。 Dockerの場合を見てみると、下の図のようにホストOSの上にDockerが存在し、このDockerが様々なアプリケーションを「コンテナ」として管理しているとイメージできます。 具体的には、コンテナ内には必要なライブラリや依存関係がパッケージ化されており、こ
先日、Kubernetes Meetup Tokyo #59 で「KEP から眺める Kubernetes」というタイトルで発表しました。発表の後で Kubernetes の upstream のキャッチアップ方法について質問を受けました。その場で回答はしたのですが、ちょうど社内の共有会で似たような話をしたところだったので、加筆修正したものを公開しておきます。 はじめに Kubernetes の upstream を追いかけ始めて 1 年ちょっと経ったので、その経験をまとめます。Kubernetes の upstream やエコシステムを観察しているだけで、コントリビュータではありません。間違っている部分があったらごめんなさい...! Kubernetes の開発体制や開発者の所属組織の分布、新しい機能を追加する際のプロセスの話を簡単にしてから私のキャッチアップ方法についてまとめています。
The internals and the latest trends of container runtimes (2023)
Last week I had an opportunity to give an online lecture about containers to students at Kyoto University. The slide deck can be found here (PDF): 1. Introduction to containersWhat are containers?Containers are a set of various lightweight methods to isolate filesystems, CPU resources, memory resources, system permissions, etc. Containers are similar to virtual machines in many senses, but they ar
Kubernetesに最適化されたコンテナランタイム「cri-o」、十分成熟したプロジェクトとしてCNCFの卒業プロジェクトに
Kubernetesに最適化されたコンテナランタイム「cri-o」、十分成熟したプロジェクトとしてCNCFの卒業プロジェクトに Kubernetesなどの開発をホストしているCloud Native Computing Foundation(CNCF)は、Kubernetesに最適化されたコンテナランタイム「cri-o」が、十分に成熟したプロジェクトとして卒業プロジェクトになったことを発表しました。 Kubernetesが管理するコンテナはもともとDocker Engineをコンテナランタイムとして採用していましたが、2016年にrunCをコアにしたKubernetesに最適化したコンテナランタイムの開発が始まります。 また、CNCFがKubernetesとコンテナランタイムのあいだのインターフェイスを「CRI」として標準化し、このCRIとコンテナランタイムの標準であるOCIの両方に準拠し
SREホールディングス株式会社 でソフトウェアエンジニアをやっている釜田です。 近年、Webアプリケーション開発者にとって、コンテナの起動や停止のためにDockerコマンドを用いることが一般的になりましたが、その背後の仕組みについてご存知でしょうか? 実は、コンソールからDockerコマンドを実行した裏側で、コンテナランタイムがコンテナの作成や起動を行っています。 今回はそのようなDockerの裏側について紹介するとともにコンテナランタイムを直接動かしてコンテナを作成、起動してみようと思います。 今回紹介するコンテナランタイムの役割と機能についての理解を深めることで、今後より適切なコンテナランタイムを選択して、コンテナのセキュリティレベルを向上させることが可能になります。 対象読者 業務でDockerを利用している方 Dockerがどのような仕組みでコンテナを実行しているか気になる方 コン
runc working directory breakout (CVE-2024-21626) by Mohit Gupta Snyk recently identified a flaw in runc <= 1.1.11, CVE-2024-21626. This issue effectively allowed an attacker to gain filesystem access to the underlying host's OS, which could be used to gain privileged access to the host. This has an impact on orchestration based environments which use runc, such as Kubernetes. An attacker able to d
はじめに Kubernetes は v1.25 で cgroup v2 サポートを GA しており、その後に cgroup v2 に関連する機能が追加されています。しかしまだ多くのディストリビューションで Kubernetes がデフォルトで cgroup v2 を使用しない設定のため、実際に利用している方は多くないと思います。PFN では2022年12月に Kubernetes バージョンを v1.25 にアップグレードするのと同じタイミングで cgroup v2 に切り替えています。 このエントリでは Kubernetes の cgroup v2 に関する機能である MemoryQoS フィーチャゲートと memory.oom.group の2つについて、機能概要と課題を共有します。なお、Kubernetes v1.28 時点での情報です。 そもそもの cgroup v2 について そ
We will continue to update this blog with any key updates, including updates on the disclosure of any new related vulnerabilities. This blog includes links to detailed blogs on each of the disclosed vulnerabilities, as well as two open source tools to aid in exploit detection. Snyk security researcher Rory McNamara, with the Snyk Security Labs team, identified four vulnerabilities — dubbed "Leaky
リソース制限をかけたKubernetes Podの中でhtopをしてもホスト上のリソースが表示されるのはなぜか - inductor's blog
はじめに これは、Kubernetesアドベントカレンダー2の20日目の記事です、と思っていたら1の17日目が空いていたのでそっちに移します。 結論 htopはホストのリソースを取得できるカーネルの情報を見に行っているから! 終 制作・著作 ━━━━━ ⓃⒽⓀ 終わりではない これだけだとアドベントカレンダーの記事としては内容があまりにも薄すぎるのでもうちょっと書きます。 この話を進める前に揃えておくべき前提知識の話。コンテナとVMの違いを説明する方法はいくつかありますが、決定的な違いとしては根本的にリソースの分離の仕方がちがうところにあります(細かいこというのもアレですが、ここではruncなどの標準的なコンテナ実装を用いた場合の話をしています)。 仮想マシンはホストマシンのリソースを(USBやPCIなどをパススルーする場合を除いて)基本的には全て隠蔽し、少ないリソースでデバイスのエミュレ
WasmバイナリをrunwasiとPodman/crun/WasmEdgeから実行してみた | DevelopersIO
DockerやKubernetesで利用されているコンテナランタイム containerd からは、shim を通じてruncやAWS Fargateで利用されているFirecrackerなど様々なコンテナ実行方法をサポートします。 数年前にDocker社のプレスリリースで話題になったのように、WebAssembly(Wasm)アプリも実行することができ、Wasm向けshimから runwasi を呼び出すほか、runc 向け shimから Wasm対応した crun を 呼び出す事もできます。 ※ 図はIntroducing the Docker+Wasm Technical Preview | Docker から 本記事では、両ケースに対応する containerd をインストールしたあと、runwasi 方式とPodman&crun のそれぞれで実行します。 検証環境 Ubuntu
Dockerコンテナを活用したテストツール【Testcontainers】 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに Testcontainersとは Testcontainersのメリット ハンズオン 環境設定 goプロジェクトの作成 必要なパッケージのインストール テストコードの作成 コンテナリクエストの設定 コンテナの起動 コンテナのホストとポートの取得 結果の確認 まとめ はじめに こんにちは! エンジニア2年目のTKDSです! 前回はDaggerを紹介しました。 今回もコンテナ技術を活用して、テストを容易にするツールについて紹介します。 今回取り上げるのは、統合テストやエンドツーエンドテストのためにDockerコンテナを利用するライブラリ、Testcontainersです。 Testcontainersとは Testcontainersはさまざまなプログラミング言語(Java、Go、Python、Node.jsなど)向けに提供されており、Daggerと同様にテスト用のコンテナを簡単に作
Dockerとruncに潜む4つのセキュリティリスク Snykが警鐘 Leaky Vesselsは4つの脆弱性で構成されており、これらを悪用された場合、サイバー攻撃者がコンテナを抜け出してホストOSにアクセスする可能性がある。これらの脆弱性の中には深刻度が「緊急」(Critical)と分類されるものが含まれているため、該当プロダクトを使用している場合は情報を確認するとともに、必要に応じて対処することが求められる。 Leaky Vesselsを構成する脆弱性の詳細は以下の通りだ。 CVE-2024-21626: 内部ファイル記述子の漏えいによって新しく起動したコンテナプロセスにおいて、ホストのファイルシステム名前空間内の作業ディレクトリを保持できる脆弱性。これを悪用した場合、ホストファイルシステムへの不正アクセスやコンテナ環境からの脱走が可能になる CVE-2024-23651: 同じキャッ
Docker Security Advisory: Multiple Vulnerabilities in runc, BuildKit, and Moby | Docker
* Only CVE-2024-21626 and CVE-2024-24557 were fixed in Moby 24.0.9. If you are unable to update to an unaffected version promptly after it is released, follow these best practices to mitigate risk: Only use trusted Docker images (such as Docker Official Images). Don’t build Docker images from untrusted sources or untrusted Dockerfiles. If you are a Docker Business customer using Docker Desktop and
2024/2/29 に Amazon Linux 2023 が EKS で正式サポートされました。全てのリージョンの Karpenter Node、マネージドノードグループ、セルフマネージドノードグループで利用可能です。現在 EKS でサポート対象の 1.25 以降に加えて、延長サポートに入っている EKS 1.23 / 1.24 でも利用できます。Amazon Linux 2023 のサポートに関しては Amazon EKS-Optimized Amazon Linux 2023 AMIs Now Available のブログに詳細がまとまっています。 セキュリティ機能の強化 Amazon Linux 2023 では、Security Enhanced Linux (SELinux) や OpenSSL v3、Instance Metadata Service Version 2 (IM
![[EKS] Amazon Linux 2023 への移行](https://cdn-ak-scissors.b.st-hatena.com/image/square/5bbc48fb0940f501a43a0ec29c402e020e4f5eb9/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--j0IsPPKo--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255BEKS%25255D%252520Amazon%252520Linux%2525202023%252520%2525E3%252581%2525B8%2525E3%252581%2525AE%2525E7%2525A7%2525BB%2525E8%2525A1%25258C%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3AtoVersus%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyL2Q5NjQ3ZDFhMDguanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
本レポートでは、2024年1月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年1月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は235件であり、1日あたりの平均件数は7.58件でした。期間中に観測された最も規模の大きな攻撃では、最大で約533万ppsのパケットによって2.47Gbpsの通信が発
【セキュリティ ニュース】コンテナの制限を回避する脆弱性「Leaky Vessels」が判明(1ページ目 / 全2ページ):Security NEXT
コンテナ関連のコアコンポーネントにコンテナによる制限を回避し、ホストOSのroot権限によるアクセスが可能となる脆弱性「Leaky Vessels」が明らかとなった。 「Dockerエンジン」で使用されるコンテナランタイム「runc」や、コンテナイメージをビルドするためのツールキット「BuildKit」に脆弱性が明らかとなったもの。発見したSnykの研究者は、これら脆弱性を「漏れる容器」を意味する「Leaky Vessels」と名付けている。 コンテナを起動、実行するために用いるOpen Container Initiative(OCI)の「runc」では、「同1.1.11」および以前のバージョンに「CVE-2024-21626」が判明。 またMoby Projectの「Buildkit」では、「同0.12.4」および以前のバージョンに「TOCTOU」によるマウントキャッシュの競合の脆弱性
背景とか目的 最近Kubernetesを使って、色々試したいことが多い。 一発コマンドでマルチクラスタを作って、きれいさっぱりさよならしたい。 物理マシン数台でclusterを構築したり、管理するのがめんどくさい。 自分の開発マシンだけでマルチノードクラスタを立ち上げて、アプリの動作を確認したい。 Kindとは Kubernetes IN Docker らしいです。少しだけ概要にも触れておきます。 Kubernetesのノードとしてdockerコンテナを起動しています。dockerコンテナ一つがKubernetesのノードとして割り当てられます。 dockerコンテナの中(仮想的なノードの中)ではコンテナランタイム(containerd)が起動しています。このコンテナランタイムがKubernetesのコンポーネントやアプリケーションをコンテナとして管理しています。dockerコンテナの中で
Rancher Desktop で サーバー(Docker daemon)に接続できない時の対処 | DevelopersIO
こんにちは、CX事業本部 Delivery部の若槻です。 Rancher Desktop は、Mac 端末のデスクトップ上で利用可能なオープンソースのコンテナ管理ツールです。最近は Docker Desktop の代替ツールとして注目を浴びています。 今回は、Rancher Desktop で サーバー(Docker daemon)に接続できない時の対処方法を確認してみました。 環境 バージョン 事象 Docker daemon に接続できません。 $ docker version Client: Version: 24.0.2-rd API version: 1.43 Go version: go1.20.4 Git commit: e63f5fa Built: Fri May 26 16:40:56 2023 OS/Arch: darwin/arm64 Context: default
Youkiとは runc同様、OCI runtime specである。Rustで書かれている。日本語の容器が名前の由来。 なお、OCI runtime specは、1. 隔離環境の作成, 2. コンテナ実行, 3. プロセスのKill, 4. コンテナの削除、に関する明文化された仕様を指す。 メリット Rustで実装するメリットは、Goよりsystem callを扱いやすい(Cを呼び出すオーバーヘッドが少ない、ゼロコスト抽象化などの仕様のおかげ?)、Cと比べてメモリ安全、が挙げられていた。そのおかげか、Youkiは、runcより高速に動作するらしい。 仕様 現在はLinux環境しかサポートしていない。Linux以外の環境で動かしたい場合、VagrantでVMを利用する必要がある。 Youkiは低レベル container runtimeなので、Docker, Podmanなどの高レベル c
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Dockerだけではない: Podman、LXD、ZeroVMを含む主要なコンテナ技術を探る
Kubernetes の upstream のキャッチアップ
Docker内部の仕組みについて手を動かして理解してみた
runc working directory breakout (CVE-2024-21626)
Kubernetes と cgroup v2 - Qiita
Leaky Vessels: Docker and runc Container Breakout Vulnerabilities - January 2024 | Snyk
「Docker Desktop」に最大深刻度「High」の脆弱性 ~修正版が公開へ/同梱する「runc」「BuildKit」「Moby」に全6件の脆弱性
Dockerとruncに4つの脆弱性が見つかる 悪用でホストOSにアクセスされるリスク
[EKS] Amazon Linux 2023 への移行
wizSafe Security Signal 2024年1月 観測レポート
Kindを使ったKubernetes環境構築 - Qiita
Youkiの基礎知識とcontribution環境構築 - Gekko0114 備忘録