gVisorとは
gVisorとは、コンテナ型仮想化で使われる技術の1つで、OCI Runtime Specificationに基づいて作られたKubernetesやDockerの低レベルなランタイムです。
gVisorは、Go言語で書かれたユーザスペースで動くカーネルと紹介されています。Google社が開発し、オープンソースとして公開されています。runcのセキュリティの問題を解消するために開発されました。
コンテナ・アーキテクチャ
コンテナ型仮想化は、OCI Runtime Specification、OCI Image Format Specification、CRI(Container Runtime Interface)などの規定によって、アーキテクチャーが標準化されています。図は、そのアーキテクチャを示したものです。
gVisorは、このアーキテクチャのうちの低レベルのランタイムとして、実装されています。
gVisorとrunc
低レベルのランタイムとしては、Dockerのコードから分離して作られたruncが知られています。runcでは、すべてのコンテナが1つのカーネルを共有して動作します。そのため、不適切なコンテナが存在した場合には、他のコンテナに影響が及ぶ可能性があり、セキュリティ的に脆弱だと懸念されています。
gVisorは、コンテナの動作に必要なシステムコールの多くを、直接ホストカーネルに渡さず、ユーザ空間で処理します。ただし、ハードウェアに関連する一部のシステムコールだけは、ホストカーネルに処理を委ねる構造になっています。このような構造によって、gVisorは、ホストカーネルとコンテナを切り離し、コンテナをサンドボックス化することができます。
gVisorは、Linuxでのみ動作します。
低レベルのランタイムとしては、他にKata Containerなどがあります。
【カテゴリ】:システム管理 仮想化 オープンソースソフトウェア
【共催セミナー】研修管理・運用の負担を軽減 学習管理システム(LMS)紹介セミナー
| 日程: | 5月23日(木)Webセミナー「BigBlueButton」を使用します。 |
| 内容: | 社内研修の課題を解決できる学習管理システム(LMS)について紹介します。 |
| ご興味のあるかたはぜひご参加ください。 | |
関連用語
- Kubernetesとは
- Dockerとは
- Kata Containerとは
- CRI-Oとは
- runcとは
- containerdとは
- rktとは
- Podとは
- podmanとは
- Deploymentとは
- ReplicaSetとは
- Minikubeとは
- Microk8sとは
- Dockerfileとは