ContainerDays 18.12 Runtime , Security, CRIU and BoF関連の資料など

5848 ワード
criu Docker Security container Network Network テキストリンク

ContainerDays 18.12 に参加して

JapanContainerDays v18.12

発表はどれもおもしろく、また、kubernetesの勢いを非常に感じました。
来年は、CloudNativeDaysになるようなので、さらに、おもしろい感じになりそうだなと思いました。あとCNCFによる、日本でのイベントもあるようです。

参加した中でもとりわけ面白かった、Container Runtime BoFの話について、関連がありそうな発表と、資料などまとめてみました。

Container Runtime BoF

NTTの須田さんと、サイバーエージェントの、長谷川さんの司会で、非常に勉強になる BoF でした。

詳しくは以下の議事録を読んでいただくのが良いかと思います。

BoFで、でていたコンテナ関連のセキュリティ技術について

  • CNCF では、Falco - Container Native Runtime Security というプロジェクトがある
    • Sysdig | Falco joins CNCF Sandbox.
    • ただし、Falcoが、kubernetesを前提にしているかもしれないので、そのあたりはよく調査したほうが良いかもしれません。
  • サービスとしては、以下の2社が有名っぽい?(aquaは話題になっていたとおもいますが、もう1つの方は、たしかこんな名前ではなかったかと。)
  • ただし、これらだけでは十分かどうかわからない。
    • コンテナから通信して、何かのスクリプトを取得する場合、その通信は、おそらく暗号化されている
    • そのため、ビヘイビアで監視していくしかないのではないか?という話もありました。
    • その場合、監視の仕方によっては、パフォーマンスがかなり落ちるらしいので、その場合も、何を選ぶか注意することみたいです。

感想など

名前しか聞いたことがないような、プロジェクトも実際試したり、実際使用してのコメントなどいろいろ面白かったです。

またdockerで、device mapper や AUFSがdeprecatedになる(すでになっている?)という話や、filesystem, network, 高集積環境での挙動の話、(ウェブ)ホスティングとかの話もあり、rootless関連の話もあり、HPCもちょっとでてきたりで大変有意義でした。

あとこんなチップスも

Overlayがうまく動かない場合はvfsドライバ
XFSならcopy_file_rangeでCoWできる

関連する発表、資料など

もれがあるかもしれませんが、3つ関連しそうな発表がありました。

今すぐ役に立つテクニックから,次世代技術まで

NTTの須田さんの発表スライド及び、発表後のご自身によるレポート。

rootless 関連で、須田さんによる、docker (moby) への以下のパッチが非常に楽しみです。
このパッチに関する情報がきけたのも非常に良かったです。
- パッチ
- Allow running dockerd as a non-root user (Rootless mode) by AkihiroSuda · Pull Request #38050 · moby/moby

runcだけじゃない、コンテナ low level runtime 徹底比較

Container Runtime BoF の司会をされていた、
サイバーエージェントの、長谷川さんの、このイベントでの、発表資料です。

CRIUの概要とその活用 - 未来のコンテナ技術について

GMOペパボの、近藤さんのCRIU関連の発表

Python学習のテキスト処理の小さなタスク
Python第2課制御文