Build Your Own Container Using Less than 100 Lines of Go

ポイント

リソース共有

プロセスのisolation (独立/分離)

ファイルシステムとmetadataのパッケージ化

chroot jail

run.sh

セキュアではなく、スケールなど管理がしにくい

バンドルのサイズが大きいので送るのが大変

キャッシング

ベースイメージをキャッシュできることで送るのが楽

https://gyazo.com/e21daaa0642809f9216734a815b03b3d

セキュアに、繰り返しコードを送ることができる

コンテナの環境を分離する

pid namespace はプロセスのマッピングテーブルを提供する

コンテナからkernelにpidを探しにくときにマッピングテーブルから探すようにすることで独立させている

MNT

mount namespaceは他のnamespaceに影響を与えない独立したディレクトリをマウント/アンマウントするプロセス

pivot_rootを使うことでプロセスに個々のファイルシステムを提供

NET

network namespaceは独立したネットワークスタックを持つプロセスを提供する

UTS

UTS namespaceは独立したホスト、ドメイン名を提供

IPC

IPC namespaceはメッセージキューなどプロセス間の通信を提供

USER

USER namespaceは独立したユーザーを提供

uidのマッピングをしてる

コンテナ内でルートユーザーのような振る舞いができる

セキュリティの観点で重要

プロセスやタスクIDを管理しリソースの制限をかけている