Kubernetes で信頼できないコンテナを実行する方法

Kubernetes で信頼できないコンテナを実行する方法

IT の世界では、コンテナベースのインフラストラクチャの採用が日々増加しています。しかし、その利点、欠点、さらには制限事項が誰にとっても明らかであるわけではありません。

大企業でさえコンテナベースのインフラストラクチャに移行しつつあることを考慮すると、攻撃の可能性のある領域やデータ侵害の潜在的な影響は考慮されていません。

Docker (containerd) や LXC などのテクノロジーは、ホストされているオペレーティング システムと同じ Linux カーネルを共有するため、真に分離されたシステムではありません。

潜在的な攻撃者にとって、大企業内にコンテナを起動することは絶好のチャンスです。しかし、コンテナ技術自体によって、私たちが自らを守ることが容易になるのでしょうか?

現在のコンテナ技術

コンテナは、すべての機能が 1 つのソフトウェアまたはオペレーティング システムにパッケージ化されたモノリシック アプリケーションではなく、アプリケーションをパッケージ化、共有、および展開する新しい方法であることが何度も繰り返されてきました。

現在、コンテナは新しいものを活用していませんが、Linux 名前空間と cgroup の上に構築された進化形です。名前空間は仮想の分離されたユーザー空間を作成し、ファイル システム、ネットワーク、プロセスなどのシステム リソースをアプリケーションに分離します。この抽象化により、同じホスト上で実行されている他のアプリケーションに干渉することなく、アプリケーションを独立して起動できるようになります。

したがって、名前空間と cgroup の組み合わせにより、分離された環境で同じホスト上で実行される多くのアプリケーションを確実に起動できます。

コンテナと仮想マシン

仮想マシン環境と比較すると、コンテナ テクノロジが分離、移植性、合理化されたアーキテクチャの問題を解決することは明らかです。しかし、仮想マシンを使用すると、特にカーネル レベルでアプリケーションを分離できるため、ハッカーがコンテナから脱出してシステムを侵害するリスクは、仮想マシンから脱出するリスクよりもはるかに高いことを忘れないでください。

Linux カーネルの脆弱性のほとんどはコンテナに潜在的に適用されるため、影響を受ける名前空間だけでなく、同じオペレーティング システム内の他の名前空間もエスカレートして侵害される可能性があります。

こうしたセキュリティ上の懸念から、研究者はホストから完全に分離された名前空間を作成しようと試みました。具体的には「サンドボックス化」と呼ばれ、gVisor や Kata Containers など、これらの機能を提供するソリューションはいくつかあります。

Kubernetes のコンテナ ランタイム

コンテナ オーケストレーター Kubernetes では、この種のテクノロジーをさらに深く掘り下げることができます。

Kubernetes は、コンテナを管理するために kubelet コンポーネントを使用します。与えられた仕様に責任を持ち、時間通りに正確に業務を実行する船長と定義することができます。

Kubelet はポッド仕様を取得し、割り当てられたホスト上でコンテナとして実行し、OCI 標準に準拠している限り、任意のコンテナ ランタイムと対話できます (その実装は RunC です)

コンテナランタイムの仕組み

RunC はもともと Docker アーキテクチャに組み込まれ、2015 年にスタンドアロン ツールとしてリリースされました。DevOps チームがコンテナ エンジンの一部として使用できる、一般的な標準のクロスファンクショナル コンテナ ランタイムになりました。

RunC は、既存の低レベルの Linux 機能と対話するためのすべての機能を提供します。名前空間とコントロール グループを使用して、コンテナー プロセスを作成および実行します。

次の段落では、ランタイム クラスとコア要素について紹介します。デフォルト値が RunC である RuntimeClass ハンドラーもあります (コンテナー ランタイムとして containerd を使用する Kubernetes インストールの場合)。

ランタイムクラス

名前が示すように、ランタイム クラスを使用すると、さまざまなコンテナー ランタイムを操作できます。 2014 年当時、Kubernetes で利用できる唯一のコンテナ ランタイムは Docker でした。 Kubernetes バージョン 1.3 から Rocket (RKT) との互換性が追加され、最終的に Kubernetes 1.5 では、標準インターフェースとすべてのコンテナ ランタイムの可能性を備えた Container Runtime Iterface (CRI) が導入されました。このインターフェース標準と直接対話できるため、開発者はさまざまなコンテナ ランタイムに適応したり、バージョンのメンテナンスについて心配したりする手間が省けます。

実際、CRI を使用すると、コンテナ ランタイム部分を Kubernetes から分離することができ、さらに重要な点として、Kata Containers や gVisor などのテクノロジーを containerd の形式でコンテナ ランタイムに接続できるようになります。

Kubernetes 1.14 では、ハンドラー属性を中核とする組み込みクラスター リソースとして RuntimeClass が再導入されました。

ハンドラーは、コンテナ作成要求を受け取り、コンテナ ランタイムに対応するプログラムです。

 種類: ランタイムクラス
apiバージョン: ノードk8sio / v1
メタデータ:
name : #ランタイムクラス
ハンドラー: #container ランタイム: runc
オーバーヘッド:
ポッド修正:
メモリ: "" # 64 Mi
CPU : "" # 250 m
スケジュール:
ノードセレクタ:
< キー> : < > # コンテナ- rt : gvisor
  • ハンドラー フィールドは、使用する特定のコンテナー ランタイムまたは構成を指します。
  • オーバーヘッドを宣言すると、クラスター (スケジューラを含む) はポッドとリソースに関する決定を行う際にそれを考慮できるようになります。これらのフィールドを使用すると、この RuntimeClass でポッドを実行するコストを指定し、これらのコストが Kubernetes で考慮されるようにすることができます。
  • スケジューリング フィールドは、ポッドが正しいノードにスケジュールされていることを確認するために使用されます。

デフォルトでは、Docker または containerd を使用したクラスターがある場合、ハンドラーは runc ですが、gVisor を使用する場合は runc になります。

gVisor を使用して Kubernetes で Linux ホストとコンテナを分離する

ここでは、Kubernetes クラスターに複数のコンテナ ランタイムを用意し、機密性の高いワークロードに対してより制限の厳しいコンテナ ランタイムを選択する方法について説明します。

このチュートリアルでは、containerd を使用して Kubernetes クラスターをインストールした以前のプロジェクトを使用しました。

https://github.com/alessandrolomanto/k8s-vanilla-containerd

Kubernetes クラスターを初期化します。

 vagrant の作成- 開始

マシンを起動した後、すべてのコンポーネントが起動して実行されていることを確認します。

 vagrant ssh マスター

kubectl ノードを取得する
 名前ステータス役割年齢バージョン

マスター準備完了コントロールプレーン マスター7 m59s v1 .21 .0

ワーカー1 準備完了< なし> 5 分 50 秒v1 .21 .0

ワーカー2 準備完了< なし> 3 m51s v1 .21 .0

worker1 に gVisor をインストールします。

 ssh worker1 # Vagrant のデフォルトパスワード: vagrant

sudo su

最新の gVisor バージョンをインストールします。


セット- e
ARCH = $ ( uname - m )
URL = https://storage.googleapis.com/gvisor/releases/release/latest/${ARCH }
wget $ { URL } /runsc ${URL}/ runscsha512 \\
$ { URL } /containerd-shim- runsc - v1 $ { URL } /containerd-shim-runsc-v1.sha512
sha512sum -c 実行しますsha512 \\
-c コンテナ- shim - runsc - v1.sha512
rm -f * .sha512
chmod a + rx runsc containerd - shim - runsc - v1
sudo mv runsc containerd -shim - runsc -v1 / usr / local / bin
 終了しました-- 2022-04-28 07 : 24 : 44 --

合計時計時間: 5.2

ダウンロード: 4 ファイル、62M 3.1 ( 20.2 MB / )

runsc : OK

containerd - shim - runsc - v1 : OK

コンテナ ランタイムを構成します。

 << EOF | sudo tee / etc / containerd / config を実行しますトムル
バージョン= 2
[ プラグイン. ["io.containerd.runtime.v1.linux" ]
shim_debug =
[ プラグイン. 「io.containerd.grpc.v1.cri」コンテナ化ランタイムランク]
runtime_type = "io.containerd.runc.v2"
[ プラグイン. 「io.containerd.grpc.v1.cri」コンテナ化ランタイムランスc ]
ランタイムタイプ= "io.containerd.runsc.v1"
終了

コンテナ サービスを再起動します。

 sudo systemctl コンテナを再起動します

gVisor の RuntimeClass をインストールします。

 << EOF | kubectl を適用- f -
apiバージョン: ノードk8sio / v1beta1
種類: ランタイムクラス
メタデータ:
名前: gvisor
ハンドラ: runsc
終了

確認する:

 vagrant @ マスター: ~ $ kubectl ランタイムクラスを取得する

名前ハンドラー年齢

gvisor ランス17

gVisor RuntimeClass を使用して Pod を作成します。

 << EOF | kubectl を適用- f -
APIバージョン: v1
種類: ポッド
メタデータ:
名前: nginx - gvisor
仕様:
ランタイムクラス名: gvisor
コンテナ:
- 名前: nginx
画像: nginx
終了

Pod が実行中であることを確認します。

 kubectl get pod nginx - gvisor - o ワイド
 vagrant @ マスター: ~ $ kubectl get pod nginx - gvisor - o wide

名前準備完了ステータス再起動年齢IP ノード指名ノード準備完了ゲート

nginx - gvisor 1 / 1 実行中0 31 192.168 .235 .129 worker1 < なし> < なし>

最新情報については、公式ドキュメントを参照してください。 https://gvisor.dev/docs/user_guide/install/

結論は

現在のコンテナ テクノロジでは、分離が弱いという問題が起こっていることがわかりました。コンテナの迅速なパッチ適用や最小限のセキュリティ コンテキスト権限などの一般的なプラクティスにより、攻撃対象領域を効果的に制限できます。コンテナ ランタイムが複数存在する可能性があるため、上記のチュートリアルのようにランタイム セキュリティ対策の実装を開始する必要があります。

もちろん、これは誰もが必要とするものではありませんが、ホストマシンに何ら影響を与えずに信頼できないコンテナを実行したい場合には確かに便利です。

同じホスト上で異なる顧客のコンテナを起動するコンテナ ホスティング サービスであるとします。コンテキストを共有することで他のクライアントに害を与えていませんか?これらの問題を軽減する方法について考え始めましょう。

<<:  クラウドコストの最適化に関するベストプラクティスは何ですか?

>>:  プラットフォーム・アズ・コードの未来はKubernetes拡張機能

推薦する

Baiduウェブマスタープラットフォーム外部リンククエリツールが正式にリリースされました

SEO を行っているウェブマスターにとって、外部リンクのクエリは常に頭痛の種でした。一般的に使用され...

Linodeはどうですか?オランダのアムステルダム データ センターのクラウド サーバーのレビュー

Linodeは、ヨーロッパの重要なデータハブであるオランダのアムステルダムにデータセンターを開設し、...

独立系動画サイトは死んでいる。草の根動画サイトは「富裕層の第二世代」を阻止できない

ITインターネット業界は今年も混乱の一年が続いています。過去を振り返り、未来を見据えて、本誌では業界...

クラウド移行のベストプラクティス

クラウド移行、つまりデータとアプリケーションをオンサイトの IT インフラストラクチャからクラウド ...

ブランドマーケティングプロモーション:60日間で何千万人ものユーザーを増やすには?

最近、一部の団体が「拡散お願いします!値引き交渉は個人情報を盗みます…値引き交渉には絶対に手を出さな...

型破りな要素を活用してBaiduでのウェブサイトのパフォーマンスを向上させる

ご存知のとおり、ウェブサイトの最適化のプロセスには、ウェブサイトのキーワード密度の把握、ウェブサイト...

2019年95歳以降のユーザーインサイトレポート!

1995 年以降に生まれた世界中の人々の 98% は、通常、実店舗での買い物を好みます。これは、オン...

これが Scala の真髄です。これを受講すれば、面接を恐れることはありません。

[[427956]]この記事はWeChatの公開アカウント「ビッグデータ左右手」から転載したもので、...

Vancl の Web サイトを開くことができません。ページにドメイン名の有効期限が切れていることが表示されます。

eName.cnは5月14日、午前9時頃、一部のネットユーザーがVancl.comの公式サイトにログ...

マイクロソフトは、クラウドサービスは以前は高価すぎたが、よりコスト効率の高いAzure VMが利用可能になったと述べている

Microsoft は、大規模なコンピューティング集約型ワークロードに対して顧客により多くのオプシ...

5 分で gRPC を学びましょう。学びましたか?

導入長い間 Java を使ってきた開発者のほとんどは、gRPC に触れることはほとんどないと思います...

ジェネレーティブAIを活用して製造業の新たな成長エンジンを生み出す方法

今年1月に終了したダボス会議の世界経済フォーラム2024年年次総会では、 「生成型人工知能:第4次産...

zji: 香港 CN2 ライン サーバー (防御強化)、最低 450 元、e3-1230/16g メモリ/480gSSD/10M 帯域幅

zji は現在、香港の葵湾データセンターの専用サーバーに対して特別プロモーションを提供しており、月額...