コンテナの軽量さと、より安全な分離を実現する「gVisor」、Googleがオープンソースで公開

2018年5月7日

Googleがオープンソースで公開したgVisorは、準仮想化のような仕組みを用いて従来のコンテナよりも安全性を高めたコンテナランタイムだ。Kubernetes時代の標準コンテナランタイムとなる有力候補かもしれない。


Dockerなどに代表されるコンテナ型仮想化は、OSのユーザー空間の名前空間を分離することなどで実現されています。

この仕組みの利点は、あらかじめ起動されているOSの上で名前空間を分離するだけでコンテナが起動できる点にあります。これがコンテナの迅速さや軽量さにつながっている一方、コンテナ間でOSのカーネルを共有しているためにコンテナ間の分離レベルは高くなく、同一OS上で稼働している別のコンテナの負荷の影響を受けやすかったり、コンテナからOSのシステムコールを直接呼び出せることなどによるセキュリティ上の課題を引き起こしやすくもあります。

OCIに準拠し、runc互換のgVisor

Googleがオープンソースで公開した「gVisor」は、従来のコンテナの軽量さを保ちつつ、コンテナの分離について新たな実装を提供することよって、準仮想化に近い、より安全な分離を提供するコンテナランタイムです。

gVisorはコンテナ実装の標準であるOCI(Open Container Interface)に準拠しておりDockerのコンテナ実装であるruncとの互換性を備えているため、runcと置き換えてDockerやKubernetesのコンテナランタイムとして用いることができると説明されています。

gVisorは安全に分離された「サンドボックス化されたコンテナ」

GoogleはgVisorを、従来のコンテナよりも安全に分離されたコンテナ環境として「サンドボックス化されたコンテナ(Sandboxed containers)」と呼んでいます。

gVisorはホストとなるカーネルの上に独自のgVisorレイヤを提供し、コンテナからのシステムコールをいったん受け止めています。このレイヤがあることによって、従来のコンテナよりも安全な分離と、カーネルに対するよりセキュアな環境を実現しているのです。

gVisorの仕組み

その仕組みは準仮想化に似ていると、次のように説明されています。

gVisor provides a strong isolation boundary by intercepting application system calls and acting as the guest kernel, all while running in user-space. Unlike a VM which requires a fixed set of resources on creation, gVisor can accommodate changing resources over time, as most normal Linux processes do.

gVisorはつねにユーザー空間で稼働していますが、ゲストカーネルとして振る舞い、アプリケーションのシステムコールを横取りすることで強力な分離境界を提供します。起動時に一定のリソースを要求する仮想マシンとは異なり、gVisorは通常のLinuxプロセスと同様、利用するリソースはそのときに応じて変化します。

gVisor can be thought of as an extremely paravirtualized operating system with a flexible resource footprint and lower fixed cost than a full VM.

gVisorは仮想マシンと比較して、柔軟なリソース容量に対応し小さなコストで実行できる、例外的な準仮想化オペレーティングシステムであると考えることができるでしょう。

gVisorによる分離は仮想マシンのそれとどのくらい差があるのでしょうか? Googleのプロダクトマネージャー Yoshi Tamura氏は、「非常に近いレベルだと確信している」(We believe that is kind of very closer level, for sure.)と説明しています(動画は本記事の最後に紹介しています)。また、gVisorは150ミリ秒以内に起動すると、軽量さについてもアピールしています。

Kubernetes時代の標準コンテナランタイムになるか

コンテナランタイムはコモディティ化し、今後はKubernetesを軸としたソリューションを提供することがコンテナの中心的な話題となるだろうと、以前の記事「Dockerコンテナ時代の第一章の終わり、そして第二章の展望など」で書きました。

コンテナ環境においてKubernetesが普及してくると、ホスト上に多様なアプリケーションのコンテナや、多様なテナントのコンテナが並行して実行されるようになるでしょう。

すると当然ながら、コンテナ間をより安全に分離したいという要求が高まってくるはずです。

すでに、より分離レベルを高めたコンテナ実装としてはOpenStack FoundationによるKata Containerや、マイクロソフトのHyper-V Containerなどがありますが、Kubernetesの開発元でもあるGoogleから登場したgVisorは、より安全性の高い分離を求められるKubernetes時代のコンテナランタイムとして、標準の座を狙える有力候補になるのかもしれません。


あわせて読みたい

Kubernetes コンテナ型仮想化 Google

Publickey広告




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本