Docker、分離レベルの高いコンテナランタイム「Sysbox」の開発元Nestyboxの買収を発表

今回は「Docker、分離レベルの高いコンテナランタイム「Sysbox」の開発元Nestyboxの買収を発表」についてご紹介します。

関連ワード （下記、今後、開催等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Docker社は、5月10日（日本時間5月11日未明）に開催したイベント「DockerCon 2022」で、Nestybox社の買収を発表しました。

Nestyboxは、現在一般的に使われているコンテナランタイムであるruncよりも高い分離レベルを実現するコンテナランタイム「Sysbox」の開発元です。同社はSysboxを「次世代runc」と形容しています。

「Nestybox」でのSysboxの解説図

下記はDockerがNestybox買収を発表したブログ「Docker advances container isolation and workloads with acquisition of Nestybox」から、Sysboxの特徴を紹介した部分について引用したもの。

Sysbox took the OCI runc and added significant changes on top, including enhanced isolation via the Linux user-namespace, selective system-call interception, filesystem User-ID remapping, and the ability to emulate portions of the container’s filesystem to make the container more closely resemble a virtual machine (in essence bridging the gap between containers and VMs, but without using hardware virtualization).

Sysbox は OCI runc をベースに、Linuxユーザーの名前空間における分離の強化、選択的なシステムコールのインターセプト、ファイルシステムのユーザーID再マッピング、そしてコンテナファイルシステムの一部をエミュレートすることでコンテナをより仮想マシンに近づける機能（つまりハードウェア仮想化を使わずにコンテナと仮想マシンの間のギャップを埋める機能）などの大きな変更を加えています。

コンテナランタイムの分離レベルを上げ、よりセキュアにするためのアプローチとしては、従来のコンテナランタイムを改良していくアプローチと、仮想マシンを軽量にしていくアプローチに大別されます。Sysboxは前者のアプローチだといえそうです。

前者の代表的な実装はGoogleのgVisorが挙げられ、後者の代表的な実装としてはAWSのFirecracherが挙げられます。それ以外にもKata Containersをはじめとして、分離レベルを高めているコンテナランタイムにはさまざまな実装がすでに存在しています。

Sysboxもそうした中の1つであり、他のランタイムと比較するとあまり知られた存在ではありませんでした。今回開発元がDockerに買収されたことで、今後は有力な選択肢になっていくのかもしれません。