Google、Chromium OSをベースにDockerコンテナ実行に最適化した仮想マシンのイメージ「Container-VM Image」正式リリース。Google Cloud用として

Dockerコンテナの実行環境としてのLinux OSは、Dockerコンテナを実行するのに必要な機能以外を徹底的にそぎ落とし、余計なデーモンなどが起動されず、できるだけ小さなファイルサイズで、できるだけ小さなメモリ使用量のものが望ましいはずです。

Google Cloud Platform Japan 公式ブログ: Container-VM Image : コンテナに最適化されたセキュアな OS イメージ

そのような理想的なLinux OS環境にできるだけ近づけたLinuxとして、CoreOS社のCoreOSやDocker社のAlpine Linuxなどが提供されている中、GoogleがChromium OSをベースに作成した仮想マシンのイメージ「Container-VM Image」を正式にリリースしました。

Chromium OSは、「Google Chromebook」で採用されているChrome OSの基となっているLinux OSです。低スペックのマシンでも快適に実行可能な軽量性と堅牢なセキュリティを備え、自動アップデート機能を備えるなどの特徴があります。

Container-VM imageは、このChromium OSをDocker実行環境として最適化し、Dockerコンテナの実行に必要なソフトウェアだけを組み込んで仮想マシンイメージにしたものです。

その堅牢なセキュリティは、ブログ記事「Google Cloud Platform Japan 公式ブログ: Container-VM Image : コンテナに最適化されたセキュアな OS イメージ」で次のように説明されています。

Container-VM Image は、後付けではなく最初からセキュリティを意識して設計されています。小さなルート ファイル システムにより、攻撃対象は狭まります。ルート ファイル システムは読み出し専用でマウントされ、ブート時にカーネルがその完全性をチェックします。こうしたことから、攻撃者が永続的にシステムを悪用することは非常に困難になっています。

ただし残念ながらContainer-VM Imageはどの環境でも利用できるものではなく、Google Cloud専用となっています。