Kubernetes で信頼できないコンテナを実行する方法

Kubernetes で信頼できないコンテナを実行する方法

IT の世界では、コンテナベースのインフラストラクチャの採用が日々増加しています。しかし、その利点、欠点、さらには制限事項が誰にとっても明らかであるわけではありません。

大企業でさえコンテナベースのインフラストラクチャに移行しつつあることを考慮すると、攻撃の可能性のある領域やデータ侵害の潜在的な影響は考慮されていません。

Docker (containerd) や LXC などのテクノロジーは、ホストされているオペレーティング システムと同じ Linux カーネルを共有するため、真に分離されたシステムではありません。

潜在的な攻撃者にとって、大企業内にコンテナを起動することは絶好のチャンスです。しかし、コンテナ技術自体によって、私たちが自らを守ることが容易になるのでしょうか?

現在のコンテナ技術

コンテナは、すべての機能が 1 つのソフトウェアまたはオペレーティング システムにパッケージ化されたモノリシック アプリケーションではなく、アプリケーションをパッケージ化、共有、および展開する新しい方法であることが何度も繰り返されてきました。

現在、コンテナは新しいものを活用していませんが、Linux 名前空間と cgroup の上に構築された進化形です。名前空間は仮想の分離されたユーザー空間を作成し、ファイル システム、ネットワーク、プロセスなどのシステム リソースをアプリケーションに分離します。この抽象化により、同じホスト上で実行されている他のアプリケーションに干渉することなく、アプリケーションを独立して起動できるようになります。

したがって、名前空間と cgroup の組み合わせにより、分離された環境で同じホスト上で実行される多くのアプリケーションを確実に起動できます。

コンテナと仮想マシン

仮想マシン環境と比較すると、コンテナ テクノロジが分離、移植性、合理化されたアーキテクチャの問題を解決することは明らかです。しかし、仮想マシンを使用すると、特にカーネル レベルでアプリケーションを分離できるため、ハッカーがコンテナから脱出してシステムを侵害するリスクは、仮想マシンから脱出するリスクよりもはるかに高いことを忘れないでください。

Linux カーネルの脆弱性のほとんどはコンテナに潜在的に適用されるため、影響を受ける名前空間だけでなく、同じオペレーティング システム内の他の名前空間もエスカレートして侵害される可能性があります。

こうしたセキュリティ上の懸念から、研究者はホストから完全に分離された名前空間を作成しようと試みました。具体的には「サンドボックス化」と呼ばれ、gVisor や Kata Containers など、これらの機能を提供するソリューションはいくつかあります。

Kubernetes のコンテナ ランタイム

コンテナ オーケストレーター Kubernetes では、この種のテクノロジーをさらに深く掘り下げることができます。

Kubernetes は、コンテナを管理するために kubelet コンポーネントを使用します。与えられた仕様に責任を持ち、時間通りに正確に業務を実行する船長と定義することができます。

Kubelet はポッド仕様を取得し、割り当てられたホスト上でコンテナとして実行し、OCI 標準に準拠している限り、任意のコンテナ ランタイムと対話できます (その実装は RunC です)

コンテナランタイムの仕組み

RunC はもともと Docker アーキテクチャに組み込まれ、2015 年にスタンドアロン ツールとしてリリースされました。DevOps チームがコンテナ エンジンの一部として使用できる、一般的な標準のクロスファンクショナル コンテナ ランタイムになりました。

RunC は、既存の低レベルの Linux 機能と対話するためのすべての機能を提供します。名前空間とコントロール グループを使用して、コンテナー プロセスを作成および実行します。

次の段落では、ランタイム クラスとコア要素について紹介します。デフォルト値が RunC である RuntimeClass ハンドラーもあります (コンテナー ランタイムとして containerd を使用する Kubernetes インストールの場合)。

ランタイムクラス

名前が示すように、ランタイム クラスを使用すると、さまざまなコンテナー ランタイムを操作できます。 2014 年当時、Kubernetes で利用できる唯一のコンテナ ランタイムは Docker でした。 Kubernetes バージョン 1.3 から Rocket (RKT) との互換性が追加され、最終的に Kubernetes 1.5 では、標準インターフェースとすべてのコンテナ ランタイムの可能性を備えた Container Runtime Iterface (CRI) が導入されました。このインターフェース標準と直接対話できるため、開発者はさまざまなコンテナ ランタイムに適応したり、バージョンのメンテナンスについて心配したりする手間が省けます。

実際、CRI を使用すると、コンテナ ランタイム部分を Kubernetes から分離することができ、さらに重要な点として、Kata Containers や gVisor などのテクノロジーを containerd の形式でコンテナ ランタイムに接続できるようになります。

Kubernetes 1.14 では、ハンドラー属性を中核とする組み込みクラスター リソースとして RuntimeClass が再導入されました。

ハンドラーは、コンテナ作成要求を受け取り、コンテナ ランタイムに対応するプログラムです。

 種類: ランタイムクラス
apiバージョン: ノードk8sio / v1
メタデータ:
name : #ランタイムクラス
ハンドラー: #container ランタイム: runc
オーバーヘッド:
ポッド修正:
メモリ: "" # 64 Mi
CPU : "" # 250 m
スケジュール:
ノードセレクタ:
< キー> : < > # コンテナ- rt : gvisor
  • ハンドラー フィールドは、使用する特定のコンテナー ランタイムまたは構成を指します。
  • オーバーヘッドを宣言すると、クラスター (スケジューラを含む) はポッドとリソースに関する決定を行う際にそれを考慮できるようになります。これらのフィールドを使用すると、この RuntimeClass でポッドを実行するコストを指定し、これらのコストが Kubernetes で考慮されるようにすることができます。
  • スケジューリング フィールドは、ポッドが正しいノードにスケジュールされていることを確認するために使用されます。

デフォルトでは、Docker または containerd を使用したクラスターがある場合、ハンドラーは runc ですが、gVisor を使用する場合は runc になります。

gVisor を使用して Kubernetes で Linux ホストとコンテナを分離する

ここでは、Kubernetes クラスターに複数のコンテナ ランタイムを用意し、機密性の高いワークロードに対してより制限の厳しいコンテナ ランタイムを選択する方法について説明します。

このチュートリアルでは、containerd を使用して Kubernetes クラスターをインストールした以前のプロジェクトを使用しました。

https://github.com/alessandrolomanto/k8s-vanilla-containerd

Kubernetes クラスターを初期化します。

 vagrant の作成- 開始

マシンを起動した後、すべてのコンポーネントが起動して実行されていることを確認します。

 vagrant ssh マスター

kubectl ノードを取得する
 名前ステータス役割年齢バージョン

マスター準備完了コントロールプレーン マスター7 m59s v1 .21 .0

ワーカー1 準備完了< なし> 5 分 50 秒v1 .21 .0

ワーカー2 準備完了< なし> 3 m51s v1 .21 .0

worker1 に gVisor をインストールします。

 ssh worker1 # Vagrant のデフォルトパスワード: vagrant

sudo su

最新の gVisor バージョンをインストールします。


セット- e
ARCH = $ ( uname - m )
URL = https://storage.googleapis.com/gvisor/releases/release/latest/${ARCH }
wget $ { URL } /runsc ${URL}/ runscsha512 \\
$ { URL } /containerd-shim- runsc - v1 $ { URL } /containerd-shim-runsc-v1.sha512
sha512sum -c 実行しますsha512 \\
-c コンテナ- shim - runsc - v1.sha512
rm -f * .sha512
chmod a + rx runsc containerd - shim - runsc - v1
sudo mv runsc containerd -shim - runsc -v1 / usr / local / bin
 終了しました-- 2022-04-28 07 : 24 : 44 --

合計時計時間: 5.2

ダウンロード: 4 ファイル、62M 3.1 ( 20.2 MB / )

runsc : OK

containerd - shim - runsc - v1 : OK

コンテナ ランタイムを構成します。

 << EOF | sudo tee / etc / containerd / config を実行しますトムル
バージョン= 2
[ プラグイン. ["io.containerd.runtime.v1.linux" ]
shim_debug =
[ プラグイン. 「io.containerd.grpc.v1.cri」コンテナ化ランタイムランク]
runtime_type = "io.containerd.runc.v2"
[ プラグイン. 「io.containerd.grpc.v1.cri」コンテナ化ランタイムランスc ]
ランタイムタイプ= "io.containerd.runsc.v1"
終了

コンテナ サービスを再起動します。

 sudo systemctl コンテナを再起動します

gVisor の RuntimeClass をインストールします。

 << EOF | kubectl を適用- f -
apiバージョン: ノードk8sio / v1beta1
種類: ランタイムクラス
メタデータ:
名前: gvisor
ハンドラ: runsc
終了

確認する:

 vagrant @ マスター: ~ $ kubectl ランタイムクラスを取得する

名前ハンドラー年齢

gvisor ランス17

gVisor RuntimeClass を使用して Pod を作成します。

 << EOF | kubectl を適用- f -
APIバージョン: v1
種類: ポッド
メタデータ:
名前: nginx - gvisor
仕様:
ランタイムクラス名: gvisor
コンテナ:
- 名前: nginx
画像: nginx
終了

Pod が実行中であることを確認します。

 kubectl get pod nginx - gvisor - o ワイド
 vagrant @ マスター: ~ $ kubectl get pod nginx - gvisor - o wide

名前準備完了ステータス再起動年齢IP ノード指名ノード準備完了ゲート

nginx - gvisor 1 / 1 実行中0 31 192.168 .235 .129 worker1 < なし> < なし>

最新情報については、公式ドキュメントを参照してください。 https://gvisor.dev/docs/user_guide/install/

結論は

現在のコンテナ テクノロジでは、分離が弱いという問題が起こっていることがわかりました。コンテナの迅速なパッチ適用や最小限のセキュリティ コンテキスト権限などの一般的なプラクティスにより、攻撃対象領域を効果的に制限できます。コンテナ ランタイムが複数存在する可能性があるため、上記のチュートリアルのようにランタイム セキュリティ対策の実装を開始する必要があります。

もちろん、これは誰もが必要とするものではありませんが、ホストマシンに何ら影響を与えずに信頼できないコンテナを実行したい場合には確かに便利です。

同じホスト上で異なる顧客のコンテナを起動するコンテナ ホスティング サービスであるとします。コンテキストを共有することで他のクライアントに害を与えていませんか?これらの問題を軽減する方法について考え始めましょう。

<<:  クラウドコストの最適化に関するベストプラクティスは何ですか?

>>:  プラットフォーム・アズ・コードの未来はKubernetes拡張機能

推薦する

百度の「知心検索」は美容整形サイトのSEOにどのような影響を与えるのでしょうか? - A5 ウェブマスターネットワーク

2013年10月16日の夜、上海で開催された百度ウェブマスタープラットフォームの高級サロン「百度ナイ...

SEOチームを構築する際に考慮すべき3つの重要な要素

Baidu アルゴリズムの継続的な調整により、多くの個人ウェブマスターは、正しいウェブサイト最適化方...

Baidu Share なしでウェブサイトを最適化する方法はありますか?

Baidu を使用する際に、Baidu スナップショット後の Baidu 共有データに注目したことが...

分散クラウドの自動化を拡張する際に考慮すべきこと

デジタル ビジネス時代では、IT 運用、デジタル サービス、収益創出の間に直接的なつながりが生まれま...

医療ウェブサイトのコンバージョン率を向上させる効果的な方法

多くの人がウェブサイト、特に医療ウェブサイトのコンバージョン率について質問します。コンバージョン率を...

ホスティングは歴史と関連するトレンドの舞台から正式に消えた

hostigation.netは本日をもって正式に歴史の舞台から退き、存在しなくなりました。ドメイン...

Baidu アルゴリズムのアップグレード後にかつて人気だった SEO ソフトウェアを確認する方法

ソフトウェアは、SEO 作業の負担を軽減する強力な武器です。記事の更新、外部リンクの公開、ランキング...

アリババクラウドの収益は上半期に急増し、ディントークとクラウドは化学反応を起こした

アリババは8月20日夜、2021年度第1四半期決算を発表した。クラウド事業は力強く成長し、2020年...

胡先東氏が検索最適化の実用化について語る

5月25日、厦門でグローバル検索エンジン戦略会議が開催されました。Yousou Technology...

「近日公開」ページのデザイン原則とクリエイティブ要素

金曜日にタバコを吸いながら、一つの時代が終わるような気がした、と私は言った。同僚は、心機一転する時期...

加盟店コレクション: 韓国のVPS、Alipay決済

韓国の VPS 販売業者、特に Alipay 決済をサポートする韓国の VPS をいくつかお勧めしま...

pskz: VPS や専用サーバーなどを運営するカザフスタンのホスティング会社。

カザフスタンのホスティング会社である pskz は、2003 年 8 月に設立されました。主な事業は...

#黒5# ftpit: 35% オフのプロモーション、512M メモリ KVM がたったの 1.75 ドル、ロサンゼルス/ニューヨーク

ftpit は来年のブラック フライデーのプロモーションを発表しました。KVM と OpenVZ の...

NodeServ - $3.99/512m メモリ/150g ハードディスク/1T トラフィック/G ポート/フロリダ

フロリダのホスティングサービスは安いらしいと言われていますが?クリスシックなどの商品もとても安く販売...

電子商取引が欧州の伝統的小売業者に影響:賃料は下落を余儀なくされる

北京時間2月19日早朝、欧州最大の不動産ファンド運用会社アクサ・リアル・エステートは月曜日、今後数年...