Uploaded byi_yudai
6,888 views

すごく分かるwarden

Cloud Foundryで用いられるコンテナシステム「Warden」の動作について、ソースコードを交えた紹介を行います。 第8回CloudFoundry輪読会で発表を行いました:http://atnd.org/events/30614

Embed presentation

Downloaded 120 times
すごく分かるWarden 岩嵜 雄大 NTT Software Innovation Center 2012-07-26 NTT Software Innovation Center
Warden(ウォードン)とは https://github.com/cloudfoundry/warden DEA上でアプリケーションを隔離する仕組み 2012-07-26 NTT Software Innovation Center 2
Outline  なぜWardenが必要なのか  Wardenの動作原理 2012-07-26 NTT Software Innovation Center 3
なぜWardenが必要なのか 2012-07-26 NTT Software Innovation Center 4
なぜWardenが必要なのか ユーザ権限で 動作 App App App DEAホスト(OS)  Appはユーザが自由に開発する – 悪意のあるAppの可能性もある  現在はUNIX UserによりAppを隔離 2012-07-26 NTT Software Innovation Center 5
Unix Userの問題点 App App App  脆弱性に弱い – 特権昇格 DEAホスト(OS) App A p A p  他のAppの影響を受ける – CPU、メモリ、IO、etc. p p DEAホスト(OS) App App App  情報が他Appに伝わる – PID、CPU、メモリ、etc. – 気持ち悪い DEAホスト(OS) 2012-07-26 NTT Software Innovation Center 6
求められるもの App App App 制限 DEAホスト 一方通行  App環境の隔離  リソース制限の導入  操作用API 2012-07-26 NTT Software Innovation Center 7
FAQ  AppごとにVM建てればいいのでは? – パフォーマンス的に難しい  chroot jailではダメ? – マウントポイントしか隠ぺいできない  LXCではダメ? – 初期のWardenはLXCを利用していたが… – Linuxでしか動かない – 機能過多 2012-07-26 NTT Software Innovation Center 8
Wardenの動作原理 2012-07-26 NTT Software Innovation Center 9
基本方針  コンテナ – 環境の隔離:Namespaces – リソース制限:Cgroups – /sbin/init起動によるシステムコンテナ  操作用API – Wardenサーバがコンテナを管理 – Warden Protocl経由でサーバにアクセス 2012-07-26 NTT Software Innovation Center 10
Cgroups  Linux Kernel 2.6.24から  プロセスをグループに分離 – メモリ使用量、CPU・IOの優先度 書いてあるよ! 2012-07-26 NTT Software Innovation Center 11
Namepaces  プロセスの名前空間を分離 – PID、Network, Mount、UTS、IPC、User – unshare(1), clone(2)  マウント状況も分離される – 高級版chroot jail  ネットワークも分離される – 仮想NIC(veth)を使用 2012-07-26 NTT Software Innovation Center 12
Wardenの概要 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 13
サーバ本体 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 14
サーバ本体  /lib/warden  命令を受け取ってコンテナの操作を行う – EMがListen – OS・環境ごとのクラスに委譲  Linuxクラス – シェルスクリプトに処理を委託 2012-07-26 NTT Software Innovation Center 15
サーバ本体  /lib/warden/container/linux.rb def do_create sh "#{env_command} #{root_path}/create.sh #{handle}", :timeout => nil debug "container created" write_bind_mount_commands コンテナの生成 debug "wrote bind mount commands" sh "#{container_path}/start.sh", :timeout => nil debug "container started" end コンテナの起動 (コンテナは常時起動) 2012-07-26 NTT Software Innovation Center 16
シェルスクリプト部分 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 17
シェルスクリプト部分  /root/linux  コンテナの生成・削除  Skeleton – ファイルがコンテナごとにコピーされる 2012-07-26 NTT Software Innovation Center 18
シェルスクリプト部分(コンテナ生成)  /root/linux/create.sh # インスタンスごとのディレクトリ target="instances/${1}" mkdir -p instances … cp -r skeleton "${target}“ unshare -m "${target}"/setup.sh – スケルトンをコピー – マウント名前空間をunshareしてsetup.shを実行  /root/linux/skeleton/setup.sh – 設定を/etc内に書きだす – /etc/ssh, /etc/init.d, /etc/hosts, etc. 2012-07-26 NTT Software Innovation Center 19
シェルスクリプト部分(コンテナ起動)  /root/linux/skeleton/start.sh env -i unshare -n ../../../../src/clone/clone – network名前空間をunshareしてclone.cを実行 2012-07-26 NTT Software Innovation Center 20
シェルスクリプト部分 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 21
clone.c  /src/clone/clone.c  システムコールによるコンテナ生成 – clone(2) 2012-07-26 NTT Software Innovation Center 22
clone.c  /src/clone/clone.c rv = unshare(CLONE_NEWNS); … # clone前のフック # コンテナ用のファイルシステムをマウントする rv = run("./hook-parent-before-clone.sh"); … # コンテナ内のinitプロセスを起動する rv = parent_clone_child(h); … # clone後のフック rv = run("./hook-parent-after-clone.sh"); 2012-07-26 NTT Software Innovation Center 23
clone.c  /src/clone/clone.c rv = unshare(CLONE_NEWNS); … # clone前のフック # コンテナ用のファイルシステムをマウントする rv = run("./hook-parent-before-clone.sh"); … # コンテナ内のinitプロセスを起動する rv = parent_clone_child(h); … # clone後のフック rv = run("./hook-parent-after-clone.sh"); 2012-07-26 NTT Software Innovation Center 24
skeletonに寄り道  /root/linux/skeleton/hook-parent-before-clone.sh setup_fs  /root/linux/skeleton/common.sh:setup_fs() if [ ! -f fs ]; then dd if=/dev/null of=fs bs=1M seek=${disk_size_mb} … fi mkdir -p rootfs ${target} mount -n -o loop fs rootfs … mount -n -t overlayfs -o rw,upperdir=rootfs,lowerdir=../../base/rootfs none ${target} – コンテナごとのファイルをループバックマウント – OSが入っているベースにオーバーレイ • ベースは書き込み禁止状態で共有 2012-07-26 NTT Software Innovation Center 25
clone.c  /src/clone/clone.c rv = unshare(CLONE_NEWNS); … # clone前のフック # コンテナ用のファイルシステムをマウントする rv = run("./hook-parent-before-clone.sh"); … # コンテナ内のinitプロセスを起動する rv = parent_clone_child(h); … # clone後のフック rv = run("./hook-parent-after-clone.sh"); 2012-07-26 NTT Software Innovation Center 26
clone.c int parent_clone_child(clone_helper_t *h) { … # 名前空間分離の設定 /* Setup namespaces */ flags |= CLONE_NEWIPC; flags |= CLONE_NEWNET; flags |= CLONE_NEWNS; flags |= CLONE_NEWPID; flags |= CLONE_NEWUTS; # start()から子プロセス起動 pid = clone(start, stack, flags, h); … } 2012-07-26 NTT Software Innovation Center 27
clone.c int start(void *data) { … rv = run(hook_before_pivot … rv = run(hook_after_pivot); … # /sbin/initをexecvpして起動完了 char * const argv[] = { "/sbin/init", "--debug", NULL }; execvp(argv[0], argv); … } 2012-07-26 NTT Software Innovation Center 28
clone.c  /src/clone/clone.c rv = unshare(CLONE_NEWNS); … # clone前のフック # コンテナ用のファイルシステムをマウントする rv = run("./hook-parent-before-clone.sh"); … # コンテナ内のinitプロセスを起動する rv = parent_clone_child(h); … # clone後のフック rv = run("./hook-parent-after-clone.sh"); 2012-07-26 NTT Software Innovation Center 29
skeletonに寄り道  /root/linux/skeleton/hook-parent-after-clone.sh # 新しいcgroupを作って mkdir -p /dev/cgroup/instance-${id} pushd /dev/cgroup/instance-${id} > /dev/null # 上限などを決め cat ../cpuset.cpus > cpuset.cpus cat ../cpuset.mems > cpuset.mems # 子プロセスに値をコピーするコールバックを呼ぶ設定 echo 1 > cgroup.clone_children # cgroupsに現在のプロセスを登録 echo ${PID} > tasks 2012-07-26 NTT Software Innovation Center 30
ジョブの起動 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 31
ファイルの送受信とコマンドの実行  DEA用の特別な仕掛けは見当たらない – ファイルの送受信(rsync) – コマンドの実行(ssh) • ジョブとして入出力を管理 2012-07-26 NTT Software Innovation Center 32
ジョブの起動  /lib/warden/container/linux.rb def create_job(request) user = request.privileged ? "root" : "vcap" # -T: Never request a TTY # -F: Use configuration from <container_path>/ssh/ssh_config args = ["-T", "-F", File.join(container_path, "ssh", "ssh_config"), "#{user}@container"] args << { :input => request.script } child = DeferredChild.new("ssh", *args) … 2012-07-26 NTT Software Innovation Center 33
ファイルの送受信  /lib/warden/container/linux.rb def do_copy_in(request, response) src_path = request.src_path dst_path = request.dst_path perform_rsync(src_path, "vcap@container:#{dst_path}") nil end def do_copy_out(request, response) src_path = request.src_path dst_path = request.dst_path perform_rsync("vcap@container:#{src_path}", dst_path) if request.owner sh "chown", "-R", request.owner, dst_path end nil end private def perform_rsync(src_path, dst_path) ssh_config_path = File.join(container_path, "ssh", "ssh_config") # Build arguments args = ["rsync"] args += ["-e", "ssh -T -F #{ssh_config_path}"] args += ["-r"] # Recursive copy args += ["-p"] # Preserve permissions args += ["--links"] # Preserve symlinks args += [src_path, dst_path] # Add option hash args << { :timeout => nil } sh *args end 2012-07-26 NTT Software Innovation Center 34
まとめ  WardenはApp隔離用のコンテナ  LinuxではCgroupsとNamespacesを使用  サーバがコンテナの操作を行う  ファイルを転送してコマンドを実行する 2012-07-26 NTT Software Innovation Center 35

More Related Content

PDF
Containers: The What, Why, and How
bySneha Inguva
 
PDF
Midi technique - présentation docker
byOlivier Eeckhoutte
 
PPTX
Docker basics
byAmanSoni129
 
PDF
kubernetes for beginners
byDominique Dumont
 
PDF
Docker
bySangtongPeesing
 
PPTX
Docker Tutorial For Beginners | What Is Docker And How It Works? | Docker Tut...
bySimplilearn
 
PDF
Introduction of Kubernetes - Trang Nguyen
byTrang Nguyen
 
PDF
Dockerfile Tutorial with Example | Creating your First Dockerfile | Docker Tr...
byEdureka!
 
Containers: The What, Why, and How
bySneha Inguva
 
Midi technique - présentation docker
byOlivier Eeckhoutte
 
Docker basics
byAmanSoni129
 
kubernetes for beginners
byDominique Dumont
 
Docker
bySangtongPeesing
 
Docker Tutorial For Beginners | What Is Docker And How It Works? | Docker Tut...
bySimplilearn
 
Introduction of Kubernetes - Trang Nguyen
byTrang Nguyen
 
Dockerfile Tutorial with Example | Creating your First Dockerfile | Docker Tr...
byEdureka!
 

What's hot

PDF
[발표자료] 오픈소스 기반 클라우드 네이티브 애플리케이션 구축 방안 (feat. Kubernetes)
byOpen Source Consulting
 
PDF
Introduction to Docker
byLuong Vo
 
PDF
Docker Introduction
byPeng Xiao
 
PPTX
FIWARE - スマートサービスを支えるオープンソース
byfisuda
 
PDF
[GuideDoc] Deploy EKS thru eksctl - v1.22_v0.105.0.pdf
byJo Hoon
 
PDF
Kubernetes: A Short Introduction (2019)
byMegan O'Keefe
 
PDF
Introduction to Docker storage, volume and image
byejlp12
 
PPTX
DevOps with Kubernetes
byEastBanc Tachnologies
 
PDF
Docker Commands With Examples | Docker Tutorial | DevOps Tutorial | Docker Tr...
byEdureka!
 
PDF
Docker vs VM | | Containerization or Virtualization - The Differences | DevOp...
byEdureka!
 
PDF
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
byAmazon Web Services Japan
 
PDF
AWS vs Azure vs Google (GCP) - Slides
byTobyWilman
 
PDF
[오픈소스컨설팅]Docker기초 실습 교육 20181113_v3
byJi-Woong Choi
 
PDF
AWS Black Belt Techシリーズ Amazon CloudSearch
byAmazon Web Services Japan
 
PDF
A la découverte de kubernetes
byJulien Maitrehenry
 
PDF
Introduction to container based virtualization with docker
byBangladesh Network Operators Group
 
PDF
Docker volume
byMyoungSu Shin
 
PDF
Kubernetes Architecture | Understanding Kubernetes Components | Kubernetes Tu...
byEdureka!
 
PDF
Introducción a Kubernetes
byParadigma Digital
 
PDF
Présentation docker et kubernetes
byKiwi Backup
 
[발표자료] 오픈소스 기반 클라우드 네이티브 애플리케이션 구축 방안 (feat. Kubernetes)
byOpen Source Consulting
 
Introduction to Docker
byLuong Vo
 
Docker Introduction
byPeng Xiao
 
FIWARE - スマートサービスを支えるオープンソース
byfisuda
 
[GuideDoc] Deploy EKS thru eksctl - v1.22_v0.105.0.pdf
byJo Hoon
 
Kubernetes: A Short Introduction (2019)
byMegan O'Keefe
 
Introduction to Docker storage, volume and image
byejlp12
 
DevOps with Kubernetes
byEastBanc Tachnologies
 
Docker Commands With Examples | Docker Tutorial | DevOps Tutorial | Docker Tr...
byEdureka!
 
Docker vs VM | | Containerization or Virtualization - The Differences | DevOp...
byEdureka!
 
AWS Lambdaによるデータ処理理の⾃自動化とコモディティ化
byAmazon Web Services Japan
 
AWS vs Azure vs Google (GCP) - Slides
byTobyWilman
 
[오픈소스컨설팅]Docker기초 실습 교육 20181113_v3
byJi-Woong Choi
 
AWS Black Belt Techシリーズ Amazon CloudSearch
byAmazon Web Services Japan
 
A la découverte de kubernetes
byJulien Maitrehenry
 
Introduction to container based virtualization with docker
byBangladesh Network Operators Group
 
Docker volume
byMyoungSu Shin
 
Kubernetes Architecture | Understanding Kubernetes Components | Kubernetes Tu...
byEdureka!
 
Introducción a Kubernetes
byParadigma Digital
 
Présentation docker et kubernetes
byKiwi Backup
 

Viewers also liked

PDF
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
byMasahito Zembutsu
 
PDF
Cloud Foundry にアプリケーションを push する際の典型的な10のエラー
bynota-ja
 
PDF
Cloud FoundryでDockerも.NETも。新しいDiegoの仕組み入門
byKazuto Kusama
 
PDF
Cloud Foundryで学ぶ、PaaSのしくみ講座
byKazuto Kusama
 
PDF
はじめてのCF buildpack
byKazuto Kusama
 
PPTX
Leadership Coaching MasterNous
bySARGIA Partners
 
PDF
DevStackで始めるCloud FoundryとBOSH
byi_yudai
 
PDF
Wardenで学ぶコンテナの基礎
byHiroaki_UKAJI
 
PDF
Cloud Foundry V2を、もうちょっと深掘りしよう
byKazuto Kusama
 
PDF
Docker PaaSとしての OpenShift, Deis, Flynn比較
byKazuto Kusama
 
PPTX
Cloud Foundry varz
byUemura Yuichi
 
PDF
BOSHでお手軽CFデプロイon AWS
byi_yudai
 
PDF
Autoscaling Cloud Foundry with BOSH
byi_yudai
 
PDF
たまにはOpenShiftも触ってみよう
byKazuto Kusama
 
PDF
Alfan P Laksono
byAlfan P Laksono
 
PDF
Greenpaper creative industries
bypesec
 
PDF
Бенчмаркинг День 2013 - программа
byYulya Uzhakina
 
PPTX
D2 career development v1
byDS-Egypt
 
PDF
Bản tin Sống độc lập số 42 (Tháng 6 và 7 năm 2013)
byĐoàn Nguyễn Xuân
 
PPTX
D2 interview skills v1
byDS-Egypt
 
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
byMasahito Zembutsu
 
Cloud Foundry にアプリケーションを push する際の典型的な10のエラー
bynota-ja
 
Cloud FoundryでDockerも.NETも。新しいDiegoの仕組み入門
byKazuto Kusama
 
Cloud Foundryで学ぶ、PaaSのしくみ講座
byKazuto Kusama
 
はじめてのCF buildpack
byKazuto Kusama
 
Leadership Coaching MasterNous
bySARGIA Partners
 
DevStackで始めるCloud FoundryとBOSH
byi_yudai
 
Wardenで学ぶコンテナの基礎
byHiroaki_UKAJI
 
Cloud Foundry V2を、もうちょっと深掘りしよう
byKazuto Kusama
 
Docker PaaSとしての OpenShift, Deis, Flynn比較
byKazuto Kusama
 
Cloud Foundry varz
byUemura Yuichi
 
BOSHでお手軽CFデプロイon AWS
byi_yudai
 
Autoscaling Cloud Foundry with BOSH
byi_yudai
 
たまにはOpenShiftも触ってみよう
byKazuto Kusama
 
Alfan P Laksono
byAlfan P Laksono
 
Greenpaper creative industries
bypesec
 
Бенчмаркинг День 2013 - программа
byYulya Uzhakina
 
D2 career development v1
byDS-Egypt
 
Bản tin Sống độc lập số 42 (Tháng 6 và 7 năm 2013)
byĐoàn Nguyễn Xuân
 
D2 interview skills v1
byDS-Egypt
 

Similar to すごく分かるwarden

PDF
LXC入門 - Osc2011 nagoya
byMasahide Yamamoto
 
PDF
【18-E-3】クラウド・ネイティブ時代の2016年だから始める Docker 基礎講座
byMasahito Zembutsu
 
PDF
Lxc で始めるケチケチ仮想化生活?!
byEtsuji Nakai
 
PPTX
Docker & Kubernetes基礎
byDaisuke Hiraoka
 
PDF
Dockerの仕組みとIIJ社内での利用例
bymaebashi
 
PDF
Docker for Windows & Web Apps for Containers 実践活用技法
byMicrosoft Corporation
 
PDF
コンテナ時代にインフラエンジニアは何をするのか
bygree_tech
 
PDF
ソフトウェア工学2023 06 コンテナ仮想化
byToru Tamaki
 
PDF
すごいBOSHたのしく学ぼう
byi_yudai
 
PDF
マスタリング DEA/NG 第2版
byi_yudai
 
PDF
試して学べるクラウド技術! OpenShift
byEtsuji Nakai
 
PPT
2010 04クラウド技術講座
bysisawa
 
PDF
Personal Cloud Automation
byEtsuji Nakai
 
PDF
IaaSクラウドを支える基礎技術 v1_0
byEtsuji Nakai
 
PDF
環境構築自動化ツールのご紹介
byEtsuji Nakai
 
PDF
Try andstudy cloud
byEtsuji Nakai
 
PDF
コンテナ導入概要資料2018
byMasahito Zembutsu
 
PDF
インフラエンジニアがk8sでアプリを作って見えた今後のインフラ
bysusumu tanaka
 
PDF
めんどうくさくないWardenハンズオン
byi_yudai
 
PDF
Cloudera Manager4.0とNameNode-HAセミナー資料
byCloudera Japan
 
LXC入門 - Osc2011 nagoya
byMasahide Yamamoto
 
【18-E-3】クラウド・ネイティブ時代の2016年だから始める Docker 基礎講座
byMasahito Zembutsu
 
Lxc で始めるケチケチ仮想化生活?!
byEtsuji Nakai
 
Docker & Kubernetes基礎
byDaisuke Hiraoka
 
Dockerの仕組みとIIJ社内での利用例
bymaebashi
 
Docker for Windows & Web Apps for Containers 実践活用技法
byMicrosoft Corporation
 
コンテナ時代にインフラエンジニアは何をするのか
bygree_tech
 
ソフトウェア工学2023 06 コンテナ仮想化
byToru Tamaki
 
すごいBOSHたのしく学ぼう
byi_yudai
 
マスタリング DEA/NG 第2版
byi_yudai
 
試して学べるクラウド技術! OpenShift
byEtsuji Nakai
 
2010 04クラウド技術講座
bysisawa
 
Personal Cloud Automation
byEtsuji Nakai
 
IaaSクラウドを支える基礎技術 v1_0
byEtsuji Nakai
 
環境構築自動化ツールのご紹介
byEtsuji Nakai
 
Try andstudy cloud
byEtsuji Nakai
 
コンテナ導入概要資料2018
byMasahito Zembutsu
 
インフラエンジニアがk8sでアプリを作って見えた今後のインフラ
bysusumu tanaka
 
めんどうくさくないWardenハンズオン
byi_yudai
 
Cloudera Manager4.0とNameNode-HAセミナー資料
byCloudera Japan
 

すごく分かるwarden

  • 1.
    すごく分かるWarden 岩嵜 雄大 NTT SoftwareInnovation Center 2012-07-26 NTT Software Innovation Center
  • 2.
    Warden(ウォードン)とは https://github.com/cloudfoundry/warden DEA上でアプリケーションを隔離する仕組み 2012-07-26 NTT Software Innovation Center 2
  • 3.
    Outline  なぜWardenが必要なのか  Wardenの動作原理 2012-07-26 NTT Software Innovation Center 3
  • 4.
    なぜWardenが必要なのか 2012-07-26 NTT Software Innovation Center 4
  • 5.
    なぜWardenが必要なのか ユーザ権限で 動作 App App App DEAホスト(OS)  Appはユーザが自由に開発する – 悪意のあるAppの可能性もある  現在はUNIX UserによりAppを隔離 2012-07-26 NTT Software Innovation Center 5
  • 6.
    Unix Userの問題点 App App App  脆弱性に弱い – 特権昇格 DEAホスト(OS) App A p A p  他のAppの影響を受ける – CPU、メモリ、IO、etc. p p DEAホスト(OS) App App App  情報が他Appに伝わる – PID、CPU、メモリ、etc. – 気持ち悪い DEAホスト(OS) 2012-07-26 NTT Software Innovation Center 6
  • 7.
    求められるもの App App App 制限 DEAホスト 一方通行  App環境の隔離  リソース制限の導入  操作用API 2012-07-26 NTT Software Innovation Center 7
  • 8.
    FAQ  AppごとにVM建てればいいのでは? – パフォーマンス的に難しい  chroot jailではダメ? – マウントポイントしか隠ぺいできない  LXCではダメ? – 初期のWardenはLXCを利用していたが… – Linuxでしか動かない – 機能過多 2012-07-26 NTT Software Innovation Center 8
  • 9.
    Wardenの動作原理 2012-07-26 NTT Software Innovation Center 9
  • 10.
    基本方針  コンテナ – 環境の隔離:Namespaces – リソース制限:Cgroups – /sbin/init起動によるシステムコンテナ  操作用API – Wardenサーバがコンテナを管理 – Warden Protocl経由でサーバにアクセス 2012-07-26 NTT Software Innovation Center 10
  • 11.
    Cgroups  Linux Kernel 2.6.24から  プロセスをグループに分離 – メモリ使用量、CPU・IOの優先度 書いてあるよ! 2012-07-26 NTT Software Innovation Center 11
  • 12.
    Namepaces  プロセスの名前空間を分離 – PID、Network, Mount、UTS、IPC、User – unshare(1), clone(2)  マウント状況も分離される – 高級版chroot jail  ネットワークも分離される – 仮想NIC(veth)を使用 2012-07-26 NTT Software Innovation Center 12
  • 13.
    Wardenの概要 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 13
  • 14.
    サーバ本体 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 14
  • 15.
    サーバ本体  /lib/warden  命令を受け取ってコンテナの操作を行う – EMがListen – OS・環境ごとのクラスに委譲  Linuxクラス – シェルスクリプトに処理を委託 2012-07-26 NTT Software Innovation Center 15
  • 16.
    サーバ本体  /lib/warden/container/linux.rb def do_create sh "#{env_command} #{root_path}/create.sh #{handle}", :timeout => nil debug "container created" write_bind_mount_commands コンテナの生成 debug "wrote bind mount commands" sh "#{container_path}/start.sh", :timeout => nil debug "container started" end コンテナの起動 (コンテナは常時起動) 2012-07-26 NTT Software Innovation Center 16
  • 17.
    シェルスクリプト部分 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 17
  • 18.
    シェルスクリプト部分  /root/linux  コンテナの生成・削除  Skeleton – ファイルがコンテナごとにコピーされる 2012-07-26 NTT Software Innovation Center 18
  • 19.
    シェルスクリプト部分(コンテナ生成)  /root/linux/create.sh # インスタンスごとのディレクトリ target="instances/${1}" mkdir -p instances … cp -r skeleton "${target}“ unshare -m "${target}"/setup.sh – スケルトンをコピー – マウント名前空間をunshareしてsetup.shを実行  /root/linux/skeleton/setup.sh – 設定を/etc内に書きだす – /etc/ssh, /etc/init.d, /etc/hosts, etc. 2012-07-26 NTT Software Innovation Center 19
  • 20.
    シェルスクリプト部分(コンテナ起動)  /root/linux/skeleton/start.sh env -i unshare -n ../../../../src/clone/clone – network名前空間をunshareしてclone.cを実行 2012-07-26 NTT Software Innovation Center 20
  • 21.
    シェルスクリプト部分 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 21
  • 22.
    clone.c  /src/clone/clone.c  システムコールによるコンテナ生成 – clone(2) 2012-07-26 NTT Software Innovation Center 22
  • 23.
    clone.c  /src/clone/clone.c rv = unshare(CLONE_NEWNS); … # clone前のフック # コンテナ用のファイルシステムをマウントする rv = run("./hook-parent-before-clone.sh"); … # コンテナ内のinitプロセスを起動する rv = parent_clone_child(h); … # clone後のフック rv = run("./hook-parent-after-clone.sh"); 2012-07-26 NTT Software Innovation Center 23
  • 24.
    clone.c  /src/clone/clone.c rv = unshare(CLONE_NEWNS); … # clone前のフック # コンテナ用のファイルシステムをマウントする rv = run("./hook-parent-before-clone.sh"); … # コンテナ内のinitプロセスを起動する rv = parent_clone_child(h); … # clone後のフック rv = run("./hook-parent-after-clone.sh"); 2012-07-26 NTT Software Innovation Center 24
  • 25.
    skeletonに寄り道  /root/linux/skeleton/hook-parent-before-clone.sh setup_fs  /root/linux/skeleton/common.sh:setup_fs() if [ ! -f fs ]; then dd if=/dev/null of=fs bs=1M seek=${disk_size_mb} … fi mkdir -p rootfs ${target} mount -n -o loop fs rootfs … mount -n -t overlayfs -o rw,upperdir=rootfs,lowerdir=../../base/rootfs none ${target} – コンテナごとのファイルをループバックマウント – OSが入っているベースにオーバーレイ • ベースは書き込み禁止状態で共有 2012-07-26 NTT Software Innovation Center 25
  • 26.
    clone.c  /src/clone/clone.c rv = unshare(CLONE_NEWNS); … # clone前のフック # コンテナ用のファイルシステムをマウントする rv = run("./hook-parent-before-clone.sh"); … # コンテナ内のinitプロセスを起動する rv = parent_clone_child(h); … # clone後のフック rv = run("./hook-parent-after-clone.sh"); 2012-07-26 NTT Software Innovation Center 26
  • 27.
    clone.c int parent_clone_child(clone_helper_t *h) { … # 名前空間分離の設定 /* Setup namespaces */ flags |= CLONE_NEWIPC; flags |= CLONE_NEWNET; flags |= CLONE_NEWNS; flags |= CLONE_NEWPID; flags |= CLONE_NEWUTS; # start()から子プロセス起動 pid = clone(start, stack, flags, h); … } 2012-07-26 NTT Software Innovation Center 27
  • 28.
    clone.c int start(void *data) { … rv = run(hook_before_pivot … rv = run(hook_after_pivot); … # /sbin/initをexecvpして起動完了 char * const argv[] = { "/sbin/init", "--debug", NULL }; execvp(argv[0], argv); … } 2012-07-26 NTT Software Innovation Center 28
  • 29.
    clone.c  /src/clone/clone.c rv = unshare(CLONE_NEWNS); … # clone前のフック # コンテナ用のファイルシステムをマウントする rv = run("./hook-parent-before-clone.sh"); … # コンテナ内のinitプロセスを起動する rv = parent_clone_child(h); … # clone後のフック rv = run("./hook-parent-after-clone.sh"); 2012-07-26 NTT Software Innovation Center 29
  • 30.
    skeletonに寄り道  /root/linux/skeleton/hook-parent-after-clone.sh # 新しいcgroupを作って mkdir -p /dev/cgroup/instance-${id} pushd /dev/cgroup/instance-${id} > /dev/null # 上限などを決め cat ../cpuset.cpus > cpuset.cpus cat ../cpuset.mems > cpuset.mems # 子プロセスに値をコピーするコールバックを呼ぶ設定 echo 1 > cgroup.clone_children # cgroupsに現在のプロセスを登録 echo ${PID} > tasks 2012-07-26 NTT Software Innovation Center 30
  • 31.
    ジョブの起動 Warden クライアント ②コンテナの起動 EMサーバ シェル (Ruby) スクリプト群 Linux クラス clone.c DEA コンテナ ①コンテナの生成 ジョブ sshd ③ジョブの起動 OS 2012-07-26 NTT Software Innovation Center 31
  • 32.
    ファイルの送受信とコマンドの実行  DEA用の特別な仕掛けは見当たらない – ファイルの送受信(rsync) – コマンドの実行(ssh) • ジョブとして入出力を管理 2012-07-26 NTT Software Innovation Center 32
  • 33.
    ジョブの起動  /lib/warden/container/linux.rb def create_job(request) user = request.privileged ? "root" : "vcap" # -T: Never request a TTY # -F: Use configuration from <container_path>/ssh/ssh_config args = ["-T", "-F", File.join(container_path, "ssh", "ssh_config"), "#{user}@container"] args << { :input => request.script } child = DeferredChild.new("ssh", *args) … 2012-07-26 NTT Software Innovation Center 33
  • 34.
    ファイルの送受信  /lib/warden/container/linux.rb def do_copy_in(request, response) src_path = request.src_path dst_path = request.dst_path perform_rsync(src_path, "vcap@container:#{dst_path}") nil end def do_copy_out(request, response) src_path = request.src_path dst_path = request.dst_path perform_rsync("vcap@container:#{src_path}", dst_path) if request.owner sh "chown", "-R", request.owner, dst_path end nil end private def perform_rsync(src_path, dst_path) ssh_config_path = File.join(container_path, "ssh", "ssh_config") # Build arguments args = ["rsync"] args += ["-e", "ssh -T -F #{ssh_config_path}"] args += ["-r"] # Recursive copy args += ["-p"] # Preserve permissions args += ["--links"] # Preserve symlinks args += [src_path, dst_path] # Add option hash args << { :timeout => nil } sh *args end 2012-07-26 NTT Software Innovation Center 34
  • 35.
    まとめ  WardenはApp隔離用のコンテナ  LinuxではCgroupsとNamespacesを使用  サーバがコンテナの操作を行う  ファイルを転送してコマンドを実行する 2012-07-26 NTT Software Innovation Center 35