IT の世界では、コンテナベースのインフラストラクチャの採用が日々増加しています。しかし、その利点、欠点、さらには制限事項が誰にとっても明らかであるわけではありません。 大企業でさえコンテナベースのインフラストラクチャに移行しつつあることを考慮すると、攻撃の可能性のある領域やデータ侵害の潜在的な影響は考慮されていません。 Docker (containerd) や LXC などのテクノロジーは、ホストされているオペレーティング システムと同じ Linux カーネルを共有するため、真に分離されたシステムではありません。 潜在的な攻撃者にとって、大企業内にコンテナを起動することは絶好のチャンスです。しかし、コンテナ技術自体によって、私たちが自らを守ることが容易になるのでしょうか? 現在のコンテナ技術コンテナは、すべての機能が 1 つのソフトウェアまたはオペレーティング システムにパッケージ化されたモノリシック アプリケーションではなく、アプリケーションをパッケージ化、共有、および展開する新しい方法であることが何度も繰り返されてきました。 現在、コンテナは新しいものを活用していませんが、Linux 名前空間と cgroup の上に構築された進化形です。名前空間は仮想の分離されたユーザー空間を作成し、ファイル システム、ネットワーク、プロセスなどのシステム リソースをアプリケーションに分離します。この抽象化により、同じホスト上で実行されている他のアプリケーションに干渉することなく、アプリケーションを独立して起動できるようになります。 したがって、名前空間と cgroup の組み合わせにより、分離された環境で同じホスト上で実行される多くのアプリケーションを確実に起動できます。 コンテナと仮想マシン仮想マシン環境と比較すると、コンテナ テクノロジが分離、移植性、合理化されたアーキテクチャの問題を解決することは明らかです。しかし、仮想マシンを使用すると、特にカーネル レベルでアプリケーションを分離できるため、ハッカーがコンテナから脱出してシステムを侵害するリスクは、仮想マシンから脱出するリスクよりもはるかに高いことを忘れないでください。 Linux カーネルの脆弱性のほとんどはコンテナに潜在的に適用されるため、影響を受ける名前空間だけでなく、同じオペレーティング システム内の他の名前空間もエスカレートして侵害される可能性があります。 こうしたセキュリティ上の懸念から、研究者はホストから完全に分離された名前空間を作成しようと試みました。具体的には「サンドボックス化」と呼ばれ、gVisor や Kata Containers など、これらの機能を提供するソリューションはいくつかあります。 Kubernetes のコンテナ ランタイムコンテナ オーケストレーター Kubernetes では、この種のテクノロジーをさらに深く掘り下げることができます。 Kubernetes は、コンテナを管理するために kubelet コンポーネントを使用します。与えられた仕様に責任を持ち、時間通りに正確に業務を実行する船長と定義することができます。 Kubelet はポッド仕様を取得し、割り当てられたホスト上でコンテナとして実行し、OCI 標準に準拠している限り、任意のコンテナ ランタイムと対話できます (その実装は RunC です) コンテナランタイムの仕組み RunC はもともと Docker アーキテクチャに組み込まれ、2015 年にスタンドアロン ツールとしてリリースされました。DevOps チームがコンテナ エンジンの一部として使用できる、一般的な標準のクロスファンクショナル コンテナ ランタイムになりました。 RunC は、既存の低レベルの Linux 機能と対話するためのすべての機能を提供します。名前空間とコントロール グループを使用して、コンテナー プロセスを作成および実行します。 次の段落では、ランタイム クラスとコア要素について紹介します。デフォルト値が RunC である RuntimeClass ハンドラーもあります (コンテナー ランタイムとして containerd を使用する Kubernetes インストールの場合)。 ランタイムクラス名前が示すように、ランタイム クラスを使用すると、さまざまなコンテナー ランタイムを操作できます。 2014 年当時、Kubernetes で利用できる唯一のコンテナ ランタイムは Docker でした。 Kubernetes バージョン 1.3 から Rocket (RKT) との互換性が追加され、最終的に Kubernetes 1.5 では、標準インターフェースとすべてのコンテナ ランタイムの可能性を備えた Container Runtime Iterface (CRI) が導入されました。このインターフェース標準と直接対話できるため、開発者はさまざまなコンテナ ランタイムに適応したり、バージョンのメンテナンスについて心配したりする手間が省けます。 実際、CRI を使用すると、コンテナ ランタイム部分を Kubernetes から分離することができ、さらに重要な点として、Kata Containers や gVisor などのテクノロジーを containerd の形式でコンテナ ランタイムに接続できるようになります。 Kubernetes 1.14 では、ハンドラー属性を中核とする組み込みクラスター リソースとして RuntimeClass が再導入されました。 ハンドラーは、コンテナ作成要求を受け取り、コンテナ ランタイムに対応するプログラムです。 種類: ランタイムクラス
デフォルトでは、Docker または containerd を使用したクラスターがある場合、ハンドラーは runc ですが、gVisor を使用する場合は runc になります。 gVisor を使用して Kubernetes で Linux ホストとコンテナを分離するここでは、Kubernetes クラスターに複数のコンテナ ランタイムを用意し、機密性の高いワークロードに対してより制限の厳しいコンテナ ランタイムを選択する方法について説明します。 このチュートリアルでは、containerd を使用して Kubernetes クラスターをインストールした以前のプロジェクトを使用しました。 https://github.com/alessandrolomanto/k8s-vanilla-containerd Kubernetes クラスターを初期化します。 vagrant の作成- 開始 マシンを起動した後、すべてのコンポーネントが起動して実行されていることを確認します。 vagrant ssh マスター 名前ステータス役割年齢バージョン worker1 に gVisor をインストールします。 ssh worker1 # Vagrant のデフォルトパスワード: vagrant 最新の gVisor バージョンをインストールします。 ( 終了しました-- 2022-04-28 07 : 24 : 44 -- コンテナ ランタイムを構成します。 猫<< EOF | sudo tee / etc / containerd / config を実行します。 トムル コンテナ サービスを再起動します。 sudo systemctl コンテナを再起動します gVisor の RuntimeClass をインストールします。 猫<< EOF | kubectl を適用- f - 確認する: vagrant @ マスター: ~ $ kubectl ランタイムクラスを取得する gVisor RuntimeClass を使用して Pod を作成します。 猫<< EOF | kubectl を適用- f - Pod が実行中であることを確認します。 kubectl get pod nginx - gvisor - o ワイド vagrant @ マスター: ~ $ kubectl get pod nginx - gvisor - o wide 最新情報については、公式ドキュメントを参照してください。 https://gvisor.dev/docs/user_guide/install/ 結論は現在のコンテナ テクノロジでは、分離が弱いという問題が起こっていることがわかりました。コンテナの迅速なパッチ適用や最小限のセキュリティ コンテキスト権限などの一般的なプラクティスにより、攻撃対象領域を効果的に制限できます。コンテナ ランタイムが複数存在する可能性があるため、上記のチュートリアルのようにランタイム セキュリティ対策の実装を開始する必要があります。 もちろん、これは誰もが必要とするものではありませんが、ホストマシンに何ら影響を与えずに信頼できないコンテナを実行したい場合には確かに便利です。 同じホスト上で異なる顧客のコンテナを起動するコンテナ ホスティング サービスであるとします。コンテキストを共有することで他のクライアントに害を与えていませんか?これらの問題を軽減する方法について考え始めましょう。 |
<<: クラウドコストの最適化に関するベストプラクティスは何ですか?
>>: プラットフォーム・アズ・コードの未来はKubernetes拡張機能
2025年までに、IoT接続数は150億に達するでしょう。これらの IoT デバイスとセンサーは、強...
SEO を行っているウェブマスターにとって、外部リンクのクエリは常に頭痛の種でした。一般的に使用され...
Linodeは、ヨーロッパの重要なデータハブであるオランダのアムステルダムにデータセンターを開設し、...
ITインターネット業界は今年も混乱の一年が続いています。過去を振り返り、未来を見据えて、本誌では業界...
クラウド移行、つまりデータとアプリケーションをオンサイトの IT インフラストラクチャからクラウド ...
最近、一部の団体が「拡散お願いします!値引き交渉は個人情報を盗みます…値引き交渉には絶対に手を出さな...
ご存知のとおり、ウェブサイトの最適化のプロセスには、ウェブサイトのキーワード密度の把握、ウェブサイト...
1995 年以降に生まれた世界中の人々の 98% は、通常、実店舗での買い物を好みます。これは、オン...
iResearch は、さまざまな業界におけるクラウド コンピューティング、人工知能、ビッグ モデル...
[[427956]]この記事はWeChatの公開アカウント「ビッグデータ左右手」から転載したもので、...
eName.cnは5月14日、午前9時頃、一部のネットユーザーがVancl.comの公式サイトにログ...
Microsoft は、大規模なコンピューティング集約型ワークロードに対して顧客により多くのオプシ...
導入長い間 Java を使ってきた開発者のほとんどは、gRPC に触れることはほとんどないと思います...
今年1月に終了したダボス会議の世界経済フォーラム2024年年次総会では、 「生成型人工知能:第4次産...
zji は現在、香港の葵湾データセンターの専用サーバーに対して特別プロモーションを提供しており、月額...