ゼロからはじめる実践 Kubernetes セキュリティ(3) コンテナ技術の基礎（1）「カーネルの分離 namespace」

本連載では、エンタープライズシステムでコンテナ/Kubernetesを活用した業務システムを開発・運用するエンジニアに向けて、知っておくべきKubernetesセキュリティの基礎知識、Microsoftが提供するパブリッククラウド「Azure」を使ったクラウドでのKubernetesセキュリティ対策のポイント、気を付けておきたい注意点などの実践的なノウハウを紹介します。

今回より、コンテナセキュリティの基礎となる、以下のコンテナ技術について3回に分けて説明します。

カーネルの分離 namespace
リソースの分離 cgroup
namespaceとcgroupで下から見るKubernetes

初回となる今回は、カーネルの分離を実現するために利用されているnamespaceを取り上げます。

コンテナはOSを論理的に分割し、隔離された空間でアプリケーションを動作させる技術です。したがって、よく言われるように仮想マシンの場合はハイパーバイザーが仮想的なハードウェアを提供していて、その上で仮想マシンのOSがさらにその上でアプリケーションが動きますが、コンテナの場合はカーネルの機能によってプロセスを隔離しているだけという違いがあります。

コンテナ内でアプリケーションのプロセスだけを動かすことができ、ホストのOSからはプロセスを通常どおり起動するのと違わないため、仮想マシンに比べると圧倒的に速く起動します。

namespaceとは

「OSを論理的に分割し隔離された空間でアプリケーションを動作させる」際に中核となっているのがnamespaceです。ここではUbuntu 20.04でnamespaceの挙動を確認していくことにします。

namespaceには以下の種類があります。

PID プロセス群
Mount マウントポイント
Network ネットワーク関連
UTS ホスト名など
IPC プロセス間通信
User ユーザー/グループ、権限

PID namespaceの例

では、namespaceがどのような動きをするのかを確認していきましょう。主に使うのは以下の4つのコマンドです。

unshareコマンド: Namespaceを作成し指定したコマンドを実行
nsenterコマンド: 既存のNamespaceに関連付けて指定したコマンドを実行
ip netnsコマンド: Network Namespaceの操作
lsnsコマンド: namespaceの一覧を表示

まずは、DockerやKubernetesを動かしていない素の状態を確認します。使うのはlsnsコマンドです。

# lsns
        NS TYPE   NPROCS   PID USER             COMMAND
4026531835 cgroup     97     1 root             /sbin/init
4026531836 pid        97     1 root             /sbin/init
4026531837 user       97     1 root             /sbin/init
4026531838 uts        94     1 root             /sbin/init
4026531839 ipc        97     1 root             /sbin/init
4026531840 mnt        91     1 root             /sbin/init
4026531860 mnt         1    15 root             kdevtmpfs
4026531992 net        97     1 root             /sbin/init
4026532193 mnt         1   367 root             /lib/systemd/systemd-udevd
4026532194 uts         1   367 root             /lib/systemd/systemd-udevd
4026532195 mnt         1   494 systemd-timesync /lib/systemd/systemd-timesyncd
4026532196 uts         1   494 systemd-timesync /lib/systemd/systemd-timesyncd
4026532197 mnt         1   641 systemd-network  /lib/systemd/systemd-networkd
4026532198 mnt         1   643 systemd-resolve  /lib/systemd/systemd-resolved
4026532254 mnt         1   675 root             /lib/systemd/systemd-logind
4026532255 uts         1   675 root             /lib/systemd/systemd-logind

initやsystemdでnamespaceが使われているのが分かります。initで使われているnamespaceを調べる場合は、以下のように/proc/initのPID以下を見ます。

# ll /proc/1/ns
total 0
dr-x--x--x 2 root root 0 Nov  7 01:05 ./
dr-xr-xr-x 9 root root 0 Nov  7 01:05 ../
lrwxrwxrwx 1 root root 0 Nov  7 01:10 cgroup -> 'cgroup:[4026531835]'
lrwxrwxrwx 1 root root 0 Nov  7 01:10 ipc -> 'ipc:[4026531839]'
lrwxrwxrwx 1 root root 0 Nov  7 01:05 mnt -> 'mnt:[4026531840]'
lrwxrwxrwx 1 root root 0 Nov  7 01:10 net -> 'net:[4026531992]'
lrwxrwxrwx 1 root root 0 Nov  7 01:10 pid -> 'pid:[4026531836]'
lrwxrwxrwx 1 root root 0 Nov  7 01:11 pid_for_children -> 'pid:[4026531836]'
lrwxrwxrwx 1 root root 0 Nov  7 01:10 user -> 'user:[4026531837]'
lrwxrwxrwx 1 root root 0 Nov  7 01:10 uts -> 'uts:[4026531838]'

nsenterを使うと、特定のnamespaceの中に入ることができます。以下のような感じで使います。1は対象にするプロセスのPIDを指定していて、ここでは1なのでinitです。--allは/proc/[pid]/ns/*以下のすべてという意味です。種類を指定したい場合は「--net」や「--pid」を指定します。