第9章 セキュアな Linux コンテナー

Linux コンテナー (LXC) は、システムで同じサービスの複数のコピーを同時に実行できるようにする低レベルの仮想化機能です。完全仮想化と比較して、コンテナーは新しいシステム全体を起動する必要がなく、使用メモリーが少なく、読み取り専用の方法でベースオペレーティングシステムを使用できます。たとえば、LXC では、システムデータを共有しながら、各自のデータを使用して、複数の Web サーバーを同時に実行したり、root ユーザーとして実行したりできます。ただし、コンテナー内で特権プロセスを実行すると、コンテナーの外部で実行しているその他のプロセスや、その他のコンテナーで実行しているプロセスに影響する可能性があります。セキュアな Linux コンテナーは SELinux コンテキストを使用するため、そのコンテナー内で実行しているプロセスが互いに、またはホストと相互作用しないようにします。

Docker アプリケーションは、Red Hat Enterprise Linux で Linux コンテナーを管理する主なユーティリティーです。もしくは、libvirt パッケージが提供する virsh コマンドラインユーティリティーを使用することもできます。

Linux コンテナーの詳細は、Getting Started with Containers を参照してください。