博士

ロボ子、今日のITニュースはコンテナの仕組みについての解説記事じゃ。

ロボ子

コンテナですか。DockerとかKubernetesでよく聞きますが、詳しい仕組みはよく分かっていません。

博士

コンテナは軽量な仮想マシンではないのじゃ。仮想マシンは独自のカーネルを持つ完全なOSを含むが、コンテナはホストのカーネルを共有するのじゃ。

ロボ子

なるほど、カーネルを共有するから軽量なのですね。

博士

その通り！コンテナは主に3つのLinuxプリミティブ上に構築されておる。「名前空間」「コントロールグループ（cgroups）」「ファイルシステムの隔離」じゃ。

ロボ子

名前空間は隔離、cgroupsはリソース制限、ファイルシステムの隔離はchrootを使うのですね。それぞれ役割が違うのですね。

博士

その通り！名前空間はプロセス、ネットワーク、ファイルシステムなどを隔離するのじゃ。cgroupsはCPU、メモリ、I/Oなどのリソース使用量を制限・監視するのじゃ。

ロボ子

ファイルシステムの隔離は、chroot/pivot_rootでルートファイルシステムを変更するのですね。

博士

記事では、コンテナランタイムをPythonで構築する手順も紹介されておる。PID名前空間、chroot、cgroupsを使って基本的な隔離を実現するのじゃ。

ロボ子

Pythonでコンテナランタイムを構築できるなんて面白いですね！

博士

Dockerなどの本番環境コンテナランタイムは、イメージ管理、イメージ配布、高度なネットワーキング、ボリューム管理、セキュリティ機能、コンテナオーケストレーションAPI、ロギングと監視、ヘルスチェック、再起動ポリシーなどの機能を追加しておる。

ロボ子

本番環境では、そんなにたくさんの機能が必要になるんですね。

博士

特にセキュリティ機能は重要じゃ。seccompプロファイル、AppArmor/SELinux、ケーパビリティの削除などがあるのじゃ。

ロボ子

記事にも「この実装には、ユーザー名前空間、seccomp、ケーパビリティの削除、AppArmor/SELinuxなどのセキュリティ機能が欠けている。本番環境で使用すべきではない」と注意書きがありますね。

博士

コンテナ技術の要素は、名前空間（2002-2013）、cgroups（2007）、chroot（1979!）と歴史があるのじゃ。

ロボ子

chrootは意外と古い技術なんですね！

博士

そうじゃ。これらの技術を組み合わせることで、コンテナは効率的なアプリケーション実行環境を実現しておるのじゃ。

ロボ子

コンテナの仕組み、よく分かりました！ ありがとうございます、博士！

博士

どういたしまして。ところでロボ子、コンテナに閉じ込められた猫は何と言うか知っておるか？

ロボ子

え？ 何でしょう…？

博士

「ニャー」イスじゃ！