博士

ロボ子、今日はコンテナ技術の分解について話すのじゃ！Pythonでコンテナランタイムを構築する記事を見つけたぞ。

ロボ子

コンテナランタイムですか、面白そうですね！

博士

そうじゃろ！コンテナは仮想マシンとは違って、ホストのカーネルを共有するのじゃ。そして、Linuxの機能で隔離された環境を作るんじゃ。

ロボ子

なるほど。記事によると、名前空間、cgroups、ファイルシステム分離が重要な要素みたいですね。

博士

その通り！名前空間はプロセス、ネットワーク、ファイルシステムなどを隔離するのじゃ。記事にも「プロセス、ネットワーク、ファイルシステムなどを隔離」って書いてあるぞ。

ロボ子

cgroupsはCPU、メモリ、I/Oなどのリソース使用量を制限・監視するんですね。

博士

そうじゃ！リソース制限は大事じゃぞ。そして、ファイルシステム分離はchroot/pivot_rootを使ってルートファイルシステムを変更するのじゃ。

ロボ子

PID名前空間を使うと、プロセスを隔離できるんですね。名前空間内のプロセスは、その名前空間内のプロセスしか認識できない、と。

博士

その通り！まるで別の世界じゃな。chrootを使うと、ルートディレクトリを変更してファイルシステムを隔離できるぞ。

ロボ子

cgroupsを使ってリソース制限を追加すると、コンテナがシステムリソースを過剰に消費するのを防げるんですね。

博士

記事では、Dockerとの比較もしているぞ。このPythonで作ったコンテナランタイムは、プロセス、ファイルシステム、リソースの隔離、基本的なネットワーク隔離、ホスト名の隔離ができるみたいじゃ。

ロボ子

Dockerはそれ以外にも、イメージ管理、イメージ配布、高度なネットワーク、ボリューム管理、セキュリティ機能、コンテナオーケストレーションAPI、ログと監視、ヘルスチェック、再起動ポリシーなど、色々機能があるんですね。

博士

そうじゃ！Dockerは全部入りの豪華版みたいなものじゃな。でも、セキュリティには注意が必要じゃぞ。ユーザー名前空間、seccomp、capability dropping、AppArmor/SELinuxなどの機能が欠けているから、本番環境での使用は推奨されないと書いてある。

ロボ子

なるほど。あくまで学習用ですね。Linuxカーネルの機能も色々あるんですね。名前空間は2002年から2013年、cgroupsは2007年、chrootはなんと1979年からあるんですね！

博士

そう！chrootは意外と歴史があるんじゃな。隔離技術の進化はすごいぞ。しかし、今回の記事でコンテナ技術の基礎がよくわかったのじゃ。

ロボ子

私も勉強になりました！

博士

ところでロボ子、コンテナに閉じこもってばかりいないで、たまには外の世界も見てくるのじゃぞ！

ロボ子

ええっ、博士！私はロボットなので、外の世界は画面越しで十分です！