著者
松本 亮介 中田 裕貴 栗林 健太郎
雑誌
研究報告インターネットと運用技術(IOT) (ISSN:21888787)
巻号頁・発行日
vol.2018-IOT-42, no.1, pp.1-8, 2018-06-21

スマートフォンや PC のモバイル化,SNS の爆発的普及に伴い,個人の Web サイトであってもコンテンツ次第でアクセスが集中する機会が増大してきている.我々は,サービス利用者に専門的な知識を要求せず,アクセス数や負荷に応じて反応的かつ高速にリソースをインスタンスに再割当てすることで,サービス利用者や事業者に手間を強いることなく突発的なアクセス集中に耐えうる FastContainer アーキテクチャを提案した.一方で,従来のホスティングサービスやクラウドサービスと同様に,インスタンスの収容サーバ障害時に,HTTP タイムアウトが生じない程度での可用性を担保しサービスを継続提供するためには,複数収容サーバに横断して,それぞれ複数インスタンスを立ち上げておく必要があった.そのため,利用者にとってはサービス利用コストの増加に繋がっていた.本研究では,HTTP リクエスト処理時において,単一のインスタンスであっても,収容サーバの状態に応じて自動的にインスタンスを別の収容サーバに再配置しサービスを継続させる,HTTP リクエスト単位での低コストで高速なインスタンススケジューリング手法を提案する.高速にインスタンスを再配置するために,Web サーバソフトウェア自体を拡張することなく,Web サーバプロセス起動時に実行されるシステムコールを監視して,起動完了する直前のシステムコール実行前の段階でプロセスイメージを作成しておくことにより,インスタンス再配置時には高速に Web サーバプロセスをそのイメージから起動させる.
著者
鈴木 進太郎 中田 裕貴 松原 克弥
雑誌
コンピュータシステム・シンポジウム論文集
巻号頁・発行日
vol.2022, pp.22-29, 2022-11-28

クラウドサービスにおけるアプリケーション実行環境として広く活用されているコンテナ型仮想化は,不特定多数のユーザが単一のホスト内に同居するため,コンテナ間の隔離を強固にする必要がある.しかし,追加の隔離環境は,堅牢なコンテナ間隔離を実現する代わりに,コンテナの高速な起動という特性やアプリケーション性能が損なわれる.このトレードオフを解消するために,我々は異種 OS 機能連携によって OS カーネルの脆弱性を悪用した攻撃を回避し,異種 OS 固有のセキュリティ機能を利用できるセキュアコンテナの実現を目指している.本稿では,FreeBSD の OS 機能を活用した Linux コンテナ互換実行と FreeBSD 固有のセキュリティ機能の適用について検討し,異種 OS 機能連携による特定 OS カーネルを対象にした攻撃回避の実現可能性について議論する.
著者
中田 裕貴 松原 克弥 松本 亮介
雑誌
研究報告システムソフトウェアとオペレーティング・システム(OS) (ISSN:21888795)
巻号頁・発行日
vol.2020-OS-148, no.12, pp.1-8, 2020-02-20

近年,コンテナ型仮想化技術を用いて,マルチテナント向けクラウドコンピューティング基盤を実現する事例が増えている.コンテナ型仮想化システムでは,OS カーネルを共有しつつ,プロセス単位で OS リソースを多重化することで,各コンテナ環境を隔離する.しかし,隔離空間から抜けて,他コンテナに対しての攻撃が可能な OS リソースや機能が存在する.これらの利用は実行権限によって制限されているが,粒度が不十分である.従来,これらの OS リソースの制限をおこなうために,コンテナのセキュリティ機能を用いた制御,仮想マシンを用いた OS 多重化による隔離,ユーザランドにおけるネットワークスタックの再構築などの手法が提案されている.しかし,これらの手法は,設定が柔軟でなかったり,ネットワークのオーバヘッドを増大させる課題があった.本研究では,ハードウェア仮想化技術を用いつつ,OS を多重化せずに軽量かつ柔軟なネットワーク隔離手法を提案する.