「Docker」のおかげで、今では至るところでコンテナを見かけるようになっている。ただ、コンテナはアプリケーションの開発やパッケージ化、配備の方法を変革したものの、安全性については完璧とは言えなかった。そこでGoogleは、コンテナの隔離に向けた新たな手法を考え出した。それが、Googleがオープンソースで公開した「gVisor」だ。
gVisorにより、Googleはコンテナのサンドボックス化に向けた新たな道を開いた。gVisorは、ホストOSとコンテナ内で動作するアプリケーションの間にセキュアな隔離境界を提供するためのコンテナだ。
gVisorは、ユーザー空間で動くカーネルを提供しており、プログラミング言語Goで記述されている。gVisorは、Linuxシステムにおけるインターフェース部分のかなりの部分を実装しており、コンテナ化されたプログラムからのアプリケーションシステムコールを捕捉するようになっている。
gVisorには、「runsc」と呼ばれるOpen Container Initiative(OCI)ランタイムが含まれている。runscによって、アプリケーションと、ホストのカーネルの間における隔離境界が提供される。このランタイムはDockerや「Kubernetes」と統合されているため、本番環境内でも簡単にサンドボックス化されたコンテナを稼働できるようになる。
Dockerや「CoreOS rkt」といった従来型のLinuxコンテナ内で動作するアプリケーションは通常のアプリケーションと同様に、ホストのカーネルに対して直接システムコールを発行してシステムリソースにアクセスする。こういったカーネルは特権モードで稼働することで、必要なハードウェアとやり取りし、結果をアプリケーションに返すようになっている。
従来のコンテナでは、アプリケーションがアクセスできるリソースをカーネルが制限する。こうした制限はLinuxのcgroupやnamespaceによって実現されるが、すべてのリソースがこれらの仕組みで制御できるわけではない。さらにこれらの制限がある場合でも、カーネルは悪意のあるアプリケーションが直接攻撃できる部分を大きく露出させている。
コンテナのセキュリティは、「seccomp」フィルタのようなカーネル機能を用いて、アプリケーションとホストのカーネルとの間の隔離性能を向上させることで強化できる。しかし、こういった機能を使用するには、システムコールのホワイトリストを事前に定義しておく必要がある。
自らの仮想マシンで各コンテナを実行することでコンテナの隔離を改善することもできるが、コンテナを使う主な理由の1つであるサイズや速度を犠牲にすることになる。
gVisorのアプローチは、同等レベルの隔離性能を実現する仮想マシン(VM)よりも軽量なものとなっている。
gVisorの核心は、ほとんどのLinuxシステムコールをサポートする一般的な非特権プロセスとして稼働するカーネルだ。このカーネルの記述言語には、「LXD」と同様に、メモリ安全性と型安全性に優れたGoが採用されている。
gVisorは、ゲストカーネルとして機能し、すべてをユーザー空間で稼働させながら、アプリケーションシステムコールを捕捉することで、堅牢な隔離境界を実現している。このアーキテクチャによって、VMとは異なり、リソースのフットプリントに柔軟性がもたらされるとともに、仮想化にともなって発生するコストを引き下げられるようになる。
またgVisorのランタイムは、OCIのランタイムAPIに準拠したrunsc(「run Sandboxed Container」の略)を通じてDockerやKubernetesとシームレスに統合されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
