著者

中田 裕貴 松原 克弥 松本 亮介

雑誌

研究報告システムソフトウェアとオペレーティング・システム(OS) (ISSN:21888795)

巻号頁・発行日

vol.2020-OS-148, no.12, pp.1-8, 2020-02-20

---

近年,コンテナ型仮想化技術を用いて,マルチテナント向けクラウドコンピューティング基盤を実現する事例が増えている.コンテナ型仮想化システムでは,OS カーネルを共有しつつ,プロセス単位で OS リソースを多重化することで,各コンテナ環境を隔離する.しかし,隔離空間から抜けて,他コンテナに対しての攻撃が可能な OS リソースや機能が存在する.これらの利用は実行権限によって制限されているが,粒度が不十分である.従来,これらの OS リソースの制限をおこなうために,コンテナのセキュリティ機能を用いた制御,仮想マシンを用いた OS 多重化による隔離,ユーザランドにおけるネットワークスタックの再構築などの手法が提案されている.しかし,これらの手法は,設定が柔軟でなかったり,ネットワークのオーバヘッドを増大させる課題があった.本研究では,ハードウェア仮想化技術を用いつつ,OS を多重化せずに軽量かつ柔軟なネットワーク隔離手法を提案する.