ContainerDays 18.12 に参加して
発表はどれもおもしろく、また、kubernetesの勢いを非常に感じました。
来年は、CloudNativeDaysになるようなので、さらに、おもしろい感じになりそうだなと思いました。あとCNCFによる、日本でのイベントもあるようです。
参加した中でもとりわけ面白かった、Container Runtime BoFの話について、関連がありそうな発表と、資料などまとめてみました。
Container Runtime BoF
NTTの須田さんと、サイバーエージェントの、長谷川さんの司会で、非常に勉強になる BoF でした。
詳しくは以下の議事録を読んでいただくのが良いかと思います。
BoFで、でていたコンテナ関連のセキュリティ技術について
- CNCF では、Falco - Container Native Runtime Security というプロジェクトがある
- Sysdig | Falco joins CNCF Sandbox.
- ただし、Falcoが、kubernetesを前提にしているかもしれないので、そのあたりはよく調査したほうが良いかもしれません。
- サービスとしては、以下の2社が有名っぽい?(aquaは話題になっていたとおもいますが、もう1つの方は、たしかこんな名前ではなかったかと。)
- aquasec
- Container Audits and Compliance
- こっちはブースも出ていた気がします。。
- neuvector
- aquasec
- ただし、これらだけでは十分かどうかわからない。
- コンテナから通信して、何かのスクリプトを取得する場合、その通信は、おそらく暗号化されている
- そのため、ビヘイビアで監視していくしかないのではないか?という話もありました。
- その場合、監視の仕方によっては、パフォーマンスがかなり落ちるらしいので、その場合も、何を選ぶか注意することみたいです。
感想など
名前しか聞いたことがないような、プロジェクトも実際試したり、実際使用してのコメントなどいろいろ面白かったです。
-
- LIGHTWEIGHT CONTAINER RUNTIME FOR KUBERNETES
-
Kata Containers - The speed of containers, the security of VMs
-
Nabla containers: a new approach to container isolation · Nabla Containers
-
firecracker-microvm/firecracker: Secure and fast microVMs for serverless computing.
またdockerで、device mapper や AUFSがdeprecatedになる(すでになっている?)という話や、filesystem, network, 高集積環境での挙動の話、(ウェブ)ホスティングとかの話もあり、rootless関連の話もあり、HPCもちょっとでてきたりで大変有意義でした。
あとこんなチップスも
Overlayがうまく動かない場合はvfsドライバ
XFSならcopy_file_rangeでCoWできる
関連する発表、資料など
もれがあるかもしれませんが、3つ関連しそうな発表がありました。
今すぐ役に立つテクニックから,次世代技術まで
NTTの須田さんの発表スライド及び、発表後のご自身によるレポート。
- 発表スライド
- ご自身によるレポート
rootless 関連で、須田さんによる、docker (moby) への以下のパッチが非常に楽しみです。
このパッチに関する情報がきけたのも非常に良かったです。
runcだけじゃない、コンテナ low level runtime 徹底比較
Container Runtime BoF の司会をされていた、
サイバーエージェントの、長谷川さんの、このイベントでの、発表資料です。
CRIUの概要とその活用 - 未来のコンテナ技術について
GMOペパボの、近藤さんのCRIU関連の発表
- スライド
- ご自身によるレポート
- JapanContainerDays v18.12 でCRIUに関して発表してきた - ローファイ日記
-
発表中、デモをしたので、特に反響があった Haconiwa + CRIU によるRailsコンテナのライブマイグレーション のデモ動画を置いておきます。
- ライブマイグレーションの話もおもしろかったです。