セキュアなコンテナランタイム「Kata Container」が、AWSのマイクロVM「Firecracker」をサポート。アプリごとに適切なコンテナランタイムを選ぶ時代へ

2019年2月19日

OpenStack Foundationがオープンソースで開発しているセキュアなコンテナランタイム「Kata Container」の新バージョン1.5が登場。このKata Container 1.5では、Amazon Web Services（以下AWS）がオープンソースとして公開したマイクロVM（軽量な仮想マシン）の「Firecracker」に対応しました。

セキュアな分離を実現するためにQEMUをベースに採用

もともとKata Containerは、よりセキュアなコンテナランタイムを実装するためにOpenStack Foundationが開発を開始したものです。

参考：コンテナの軽量さと仮想マシンの堅牢さを兼ね備えた新しいコンテナ実装「Kata Containers」、OpenStack Foundationが発表

一般にコンテナは、コンテナ間でカーネルを共有しつつユーザー空間だけを分離することで、軽量で高速な環境を実現してきました。しかしこれは一方でコンテナ間の分離レベルが低いという課題を抱えていました。

Kata Containersはコンテナの軽量さを保ちつつ、このコンテナ間の分離レベルを仮想マシン並みの高いものにするため、カーネルの共有を行わずコンテナごとにカーネルを持つ実装を選択しています。

この分離レベルを実現するための仕組みとして、Kata ContainerはデフォルトでQEMUをベースに開発が進められてきました。QEMUはエミュレータの一種であり厳密には仮想化ハイパーバイザとは異なるものですが、あるレイヤをエミュレーションによって隠蔽することで仮想化ハイパーバイザのように環境を分離する機能を提供します。

そしてKata Containers Projectは、この環境分離を実現するQEMUの部分を入れ替え可能にしようとしており、1つ前のバージョンであるKata Container 1.4では、QEMUをベースに機能を絞り、インテルの64ビットCPUやARMに特化し、性能や安定性を優先させた「NEMU」をサポートしました。

Kata Container 1.5でAWSのFirecrackerをサポート

そしてQEMU、NEMUに続いてKata Containerの高度な分離レベルを実現する入れ替え可能なコンポーネントとして、AWSがオープンソースで公開したマイクロVMの「Firecracker」のサポートをバージョン1.5で実現したわけです。

FirecrackerはAWSが昨年、2018年11月にイベント「AWS re:Invent 2018」で発表しました。

Firecrackerは、コンテナ用マネージドサービスであるAWS Fargateや、コンテナを用いたサーバレス環境であるAWS Lambdaのようなマルチテナントのコンテナ環境のために開発された仮想化技術です。

少ないメモリで迅速に起動し、高い分離レベルを実現するハイパーバイザとしてQEMUの代替を目指して開発されたと説明されています。

Kata ContainerでFirecrackerをサポートするため、Kata Containerの開発チームとFirecrackerの開発チームはミーティングを行うなどで協力したことが、AWSのブログで報告されています。

Wrapping up a great discussion among @katacontainers and @AWSOpen #firecracker developers. There are lots of exciting opportunities for collaboration, and it's going to be super interesting to continue exploring them. pic.twitter.com/hUpnWhzxSu
— Noah Meyerhans (@nmeyerhans) 2018年12月11日