コンテナ技術入門 - 仮想化との違いを知り、要素技術を触って学ぼう

こんにちは。株式会社はてなでサーバー監視サービス「Mackerel」のSREを務めるhayajo_77（ @hayajo ）です。

さて、コンテナ技術はDockerの登場がきっかけとなり、本格的に活用が始まりました。現在はKubernetesを始めとするコンテナオーケストレーションツールや AWS, GCP, Azure などのクラウドサービスで提供されるコンテナマネジメントサービスを採用したサービス運用事例が数多く紹介されており、コンテナ技術は「理解する」フェイズから「利用する」フェイズに移ってきています。

コンテナそのものは上記のツールやサービスにより高度に抽象化されており、その要素技術に直接触れる機会はないかもしれません。ですが、効率の良い開発・運用をするためにはその仕組や特性を知ることはとても重要です。また、普及にともないgVisor, Kata Containers, Nabla Containers, Firecrackerなど、コンテナに対する新しいアプローチを持ったツールやサービスも出てきています。

これらのツールやサービスの特性、また「解決しようとしている問題」を理解し、自身が運用するサービスにマッチする技術を選択する上でも、コンテナ技術の基礎を理解することはとても大切です。

こうした背景から、本稿ではコンテナを構成する代表的な要素技術を解説します。コマンド例を多く載せているので、ぜひ手元で実行して理解を深めてください。本記事が少しでも開発・運用の一助となれば幸いです。

• コンテナとは
  • 仮想マシンとコンテナ
• コンテナを作ってみよう
  • 動作環境
  • コンテナを作る
• コンテナを構成する要素技術
• Namespace
  • Namespaceの操作方法
  • Namespaceを確認する
  • Namespaceを隔離する
  • Namespaceに接続する
  • Namespaceを維持する
• cgroup
  • cgroupfs
  • cgroupの操作方法
  • cgroupを確認する
  • cgroupでリソースを制限する
• Capability
  • SUID rootとCapability
  • Capabilityの種類
• DockerのデフォルトCapability
  • Capability Set
  • Capabilityの操作方法
  • Capabilityの確認
  • プロセスにCapabilityを設定する
• chrootとpivot_root
  • chroot, pivot_rootの操作
  • chroot, pivot_rootの確認
  • chrootでファイルシステムを隔離する
  • chrootからの脱出
  • pivot_rootでルートファイルシステムを入れ替える
• Copy On Write(COW)ファイルシステム
  • OverlayFS
  • OverlayFSを利用したコンテナイメージの作成
• ネットワークリソースの隔離
  • Network Namespaceを使ったプライベートネットワークの作成
• さらに掘り下げるための資料

コンテナとは