OSレベルの仮想化
OSレベルの仮想化(英:OS-level virtualization)とは、オペレーティングシステム(OS)の枠組みで、コンテナ(LXC、Solaris containers、Docker、Podman)、zones(Solaris containers)、virtual private servers(OpenVZ)、パーティション、仮想環境(VEs)、仮想カーネル(DragonFly BSD)、jails(FreeBSD jailまたはchroot jail)[1]と呼ばれる、複数の分離したユーザー空間インスタンスをカーネルによって割り当てる。このようなインスタンスはその中で実行されているプログラムからの視点では実際のコンピュータのように見えることがある。通常のOS上で動作するコンピュータプログラムは、そのコンピュータのすべての資源(接続されているデバイス、ファイルやフォルダ、ネットワーク共有、CPU性能、定量化できるハードウェア能力)を見ることができる。しかし、コンテナ内で動作するプログラムは、コンテナの内部とコンテナに割り当てられたデバイスしか見ることができない。
Unix系OSではこの機能は現在実行中のプロセスとその子プロセスの見かけ上のルートフォルダを変更する、標準的なchrootメカニズムの高度な実装と見なすことができる。カーネルはしばしばアイソレーションメカニズムに加えて、あるコンテナの活動が他のコンテナに与える影響を制限するための資源管理機能を提供する。Linuxコンテナは、Linuxカーネルが提供する仮想化、アイソレーション、資源管理のメカニズム、特にLinux名前空間と cgroupsをベースにしている[2]。
コンテナという用語は、OSレベルの仮想化システムを指すのが一般的だが、MicrosoftのHyper-Vコンテナのように、ホストOSとさまざまなレベルで協調して動作する完全な仮想マシン環境を指すのにも多義的に使用されることがある。
実装
[編集]| 機構 | オペレーティング·システム | ライセンス | 以降またはその間に活発に開発された | 特徴 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ファイル システムの分離 | 書き込み時にコピー | ディスク クォータ | I/O レート制限 | メモリ制限 | CPU クォータ | ネットワーク分離 | ネストされた仮想化 | パーティションのチェックポイントとライブ マイグレーション | ルート権限の分離 | ||||
| chroot | ほとんどのUNIX系OS | オペレーティング システムによって異なる | 1982 | 部分的[注釈 1] | No | No | No | No | No | No | Yes | No | No |
| Docker | Linux,[4] FreeBSD,[5] Windows x64 (Pro, Enterprise and Education)[6] macOS[7] | アパッチ ライセンス 2.0 | 2013 | Yes | Yes | Not directly | Yes (since 1.10) | Yes | Yes | Yes | Yes | Only in Experimental Mode with CRIU [1] | Yes (since 1.10) |
| Linux-VServer(security context) | Linux, Windows Server 2016 | GNU GPLv2 | 2001 | Yes | Yes | Yes | Yes[注釈 2] | Yes | Yes | 部分的[注釈 3] | ? | No | Partial[注釈 4] |
| lmctfy | Linux | アパッチ ライセンス 2.0 | 2013 – 2015 | Yes | Yes | Yes | Yes[注釈 2] | Yes | Yes | 部分的[注釈 3] | ? | No | Partial[注釈 4] |
| LXC | Linux | GNU GPLv2 | 2008 | Yes[9] | Yes | 部分的[注釈 5] | 部分的[注釈 6] | Yes | Yes | Yes | Yes | Yes | Yes[9] |
| Singularity | Linux | BSD ライセンス | 2015[10] | Yes[11] | Yes | Yes | No | No | No | No | No | No | Yes[12] |
| OpenVZ | Linux | GNU GPLv2 | 2005 | Yes | Yes[13] | Yes | Yes[注釈 7] | Yes | Yes | Yes[注釈 8] | 部分的[注釈 9] | Yes | Yes[注釈 10] |
| Virtuozzo | Linux, Windows | トライアルウェア | 2000[17] | Yes | Yes | Yes | Yes[注釈 11] | Yes | Yes | Yes[注釈 8] | 部分的[注釈 12] | Yes | Yes |
| Solaris Containers (Zones) | illumos (OpenSolaris), Solaris |
CDDL、
独自 |
2004 | Yes | Yes (ZFS) | Yes | 部分的[注釈 13] | Yes | Yes | Yes[注釈 14][20][21] | 部分的[注釈 15] | 部分的[注釈 16][注釈 17] | Yes[注釈 18] |
| FreeBSD jail | FreeBSD, DragonFly BSD | BSD ライセンス | 2000[23] | Yes | Yes (ZFS) | Yes[注釈 19] | Yes | Yes[24] | Yes | Yes[25] | Yes | 部分的[26][27] | Yes[28] |
| vkernel | DragonFly BSD | BSD ライセンス | 2006[29] | Yes[30] | Yes[30] | — | ? | Yes[31] | Yes[31] | Yes[32] | ? | ? | Yes |
| sysjail | OpenBSD, NetBSD | BSD ライセンス | 2006–2009 | Yes | No | No | No | No | No | Yes | No | No | ? |
| WPARs | AIX | 商用 のプロプライエタリ ソフトウェア | 2007 | Yes | No | Yes | Yes | Yes | Yes | Yes[注釈 20] | No | Yes[34] | ? |
| iCore Virtual Accounts | Windows XP | フリーウェア | 2008 | Yes | No | Yes | No | No | No | No | ? | No | ? |
| Sandboxie | Windows | GNU GPLv3 | 2004 | Yes | Yes | 部分的 | No | No | No | 部分的 | No | No | Yes |
| systemd-nspawn | Linux | GNU LGPLv2.1+ | 2010 | Yes | Yes | Yes[35][36] | Yes[35][36] | Yes[35][36] | Yes[35][36] | Yes | ? | ? | Yes |
| Turbo | Windows | フリーミアム | 2012 | Yes | No | No | No | No | No | Yes | No | No | Yes |
| rkt | Linux | アパッチ ライセンス 2.0 | 2014[37]–2018 | Yes | Yes | Yes | Yes | Yes | Yes | Yes | ? | ? | Yes |
上記以外のLinuxコンテナには以下のようなものがある。
- LXD, Canonicalによって開発されたLXCの代替ラッパー[38]。
- Podman[39]: Dockerのドロップイン代替品
- Charliecloud: HPCシステムで使用されるコンテナ・ツールの一式[40]
- Kata Containers MicroVMプラットフォーム[41]
- Bottlerocketは、仮想マシンやベアメタルホスト上でコンテナを実行するためにAmazon Web Servicesが専用に開発したLinuxベースのオープンソース・オペレーティング・システムである[42]。
- CBL-Marinerは、Microsoft Azureが開発したオープンソースのLinuxディストリビューションで、Fedora CoreOSに類似している。
関連項目
[編集]- コンテナオーケストレーション
- Linux名前空間
- Linuxのcgroups
- サンドボックス (ソフトウェア開発)
- Container Linux
- ハイパーバイザ
- ポータブルアプリケーションクリエイター
- Open Container Initiative
- 分離カーネル
- サーバーレス・コンピューティング
- Snapパッケージ管理システム
- ストレージハイパーバイザー
- バーチャル・プライベート・サーバ
- 仮想リソースパーティショニング
脚注
[編集]注釈
[編集]- ^ Root user can easily escape from chroot. Chroot was never supposed to be used as a security mechanism.[3]
- ^ a b Using the CFQ scheduler, there is a separate queue per guest.
- ^ a b Networking is based on isolation, not virtualization.
- ^ a b A total of 14 user capabilities are considered safe within a container. The rest may cannot be granted to processes within that container without allowing that process to potentially interfere with things outside that container.[8]
- ^ Disk quotas per container are possible when using separate partitions for each container with the help of LVM, or when the underlying host filesystem is btrfs, in which case btrfs subvolumes are automatically used.
- ^ I/O rate limiting is supported when using Btrfs.
- ^ Available since Linux kernel 2.6.18-028stable021. Implementation is based on CFQ disk I/O scheduler, but it is a two-level schema, so I/O priority is not per-process, but rather per-container.[14]
- ^ a b Each container can have its own IP addresses, firewall rules, routing tables and so on. Three different networking schemes are possible: route-based, bridge-based, and assigning a real network device (NIC) to a container.
- ^ Docker containers can run inside OpenVZ containers.[15]
- ^ Each container may have root access without possibly affecting other containers.[16]
- ^ Available since version 4.0, January 2008.
- ^ Docker containers can run inside Virtuozzo containers.[18]
- ^ Yes with illumos[19]
- ^ See OpenSolaris Network Virtualization and Resource Control for more details.
- ^ Only when top level is a KVM zone (illumos) or a kz zone (Oracle).
- ^ Starting in Solaris 11.3 Beta, Solaris Kernel Zones may use live migration.
- ^ Cold migration (shutdown-move-restart) is implemented.
- ^ Non-global zones are restricted so they may not affect other zones via a capability-limiting approach. The global zone may administer the non-global zones.[22]
- ^ Check the "allow.quotas" option and the "Jails and File Systems" section on the FreeBSD jail man page for details.
- ^ Available since TL 02.[33]
出典
[編集]- ^ Hogg, Scott (2014年5月26日). “Software Containers: Used More Frequently than Most Realize”. Network World, Inc 2015年7月9日閲覧. "There are many other OS-level virtualization systems such as: Linux OpenVZ, Linux-VServer, FreeBSD Jails, AIX Workload Partitions (WPARs), HP-UX Containers (SRP), Solaris Containers, among others."
- ^ Rami, Rosen. “Namespaces and Cgroups, the basis of Linux Containers” 18 August 2016閲覧。
- ^ 3.5. Limiting your program's environment freebsd.org.
- ^ “Docker drops LXC as default execution environment”. InfoQ
- ^ “Docker comes to FreeBSD”. (July 9, 2015)
- ^ “Get started with Docker for Windows”. Docker. (10 September 2021)
- ^ “Get started with Docker Desktop for Mac”. (December 6, 2019)
- ^ “Paper - Linux-VServer”
- ^ a b Graber, Stéphane (1 January 2014). “LXC 1.0: Security features [6/10”] 12 February 2014閲覧. "LXC now has support for user namespaces. [...] LXC is no longer running as root so even if an attacker manages to escape the container, he'd find himself having the privileges of a regular user on the host"
- ^ Sylabs Brings Singularity Containers into Commercial HPC | TOP500 Supercomputer Sites www.top500.org.
- ^ “Redirecting…”. (14 March 2018)
- ^ Kurtzer, Gregory M.; Sochat, Vanessa; Bauer, Michael W. (May 11, 2017). “Singularity: Scientific containers for mobility of compute”. PLOS ONE 12 (5): e0177459. Bibcode: 2017PLoSO..1277459K. doi:10.1371/journal.pone.0177459. PMC 5426675. PMID 28494014.
- ^ Bronnikov, Sergey. “Comparison on OpenVZ wiki page”. OpenVZ 28 December 2018閲覧。
- ^ “I/O priorities for containers”. OpenVZ Virtuozzo Containers Wiki
- ^ “Docker inside CT”
- ^ “Container”. OpenVZ Virtuozzo Containers Wiki
- ^ “Initial public prerelease of Virtuozzo (named ASPcomplete at that time)”
- ^ “Parallels Virtuozzo Now Provides Native Support for Docker”
- ^ Pijewski, Bill. “Our ZFS I/O Throttle”
- ^ Network Virtualization and Resource Control (Crossbow) FAQ Archived 2008-06-01 at the Wayback Machine.
- ^ “Managing Network Virtualization and Network Resources in Oracle® Solaris 11.2”
- ^ Oracle Solaris 11.1 Administration, Oracle Solaris Zones, Oracle Solaris 10 Zones and Resource Management E29024.pdf, pp. 356–360. Available within an archive.
- ^ “Contain your enthusiasm - Part Two: Jails, Zones, OpenVZ, and LXC”. "Jails were first introduced in FreeBSD 4.0 in 2000"
- ^ “Hierarchical_Resource_Limits - FreeBSD Wiki”. Wiki.freebsd.org. (2012年10月27日) 2014年1月15日閲覧。
- ^ “Implementing a Clonable Network Stack in the FreeBSD Kernel”. usenix.org. (2003年6月13日)
- ^ “VPS for FreeBSD” 2016年2月20日閲覧。
- ^ “[Announcement VPS // OS Virtualization // alpha release”] 2016年2月20日閲覧。
- ^ “3.5. Limiting your program's environment”. Freebsd.org 2014年1月15日閲覧。
- ^ Matthew Dillon (2006年). “sys/vkernel.h”. DragonFly BSD
- ^ a b “vkd(4) — Virtual Kernel Disc”. DragonFly BSD. ""treats the disk image as copy-on-write.""
- ^ a b Sascha Wildner (2007年1月8日). “vkernel, vcd, vkd, vke — virtual kernel architecture”. DragonFly Miscellaneous Information Manual (DragonFly BSD)
- “vkernel, vcd, vkd, vke - virtual kernel architecture”. DragonFly Miscellaneous Information Manual
- ^ “vke(4) — Virtual Kernel Ethernet”. DragonFly BSD
- ^ “IBM Fix pack information for: WPAR Network Isolation - United States”. ibm.com. (21 July 2011)
- ^ “Live Application Mobility in AIX 6.1”. (June 3, 2008)
- ^ a b c d “systemd-nspawn”
- ^ a b c d “2.3. Modifying Control Groups Red Hat Enterprise Linux 7”
- ^ Polvi, Alex. “CoreOS is building a container runtime, rkt”. オリジナルの2019年4月1日時点におけるアーカイブ。 12 March 2019閲覧。
- ^ “LXD” 2021年2月11日閲覧。
- ^ Rootless containers with Podman and fuse-overlayfs, CERN Workshop, 2019-06-04
- ^ “Overview — Charliecloud 0.25 documentation” 4 October 2020閲覧。
- ^ Home - katacontainers.io.
- ^ Bottlerocket is a Linux-based operating system purpose-built to run containers