コンテナ内部構造を理解しよう！Docker・namespace・cgroupの仕組み解説

Dockerコンテナを使っていて、「なぜこんなに軽量で高速なんだろう？」と疑問に思ったことはありませんか？

仮想マシンとは違って、コンテナは驚くほど少ないリソースで動作し、起動も一瞬で完了します。

その秘密は、Linuxカーネルが提供するnamespaceとcgroupという機能にあります。

今回は、コンテナ技術の核心部分であるこれらの仕組みを、実際のコマンド例とともに詳しく解説していきます！

コンテナ技術の基礎知識

Dockerコンテナとは何か

コンテナとは、アプリケーションとその実行環境を一つのパッケージにまとめた軽量な仮想化技術です。

従来の課題：

• 「私の環境では動くのに…」問題
• 環境構築の複雑さ
• リソース使用量の多さ

コンテナが解決すること：

• 環境の一貫性
• 簡単なデプロイメント
• 効率的なリソース利用

Dockerコンテナの特徴を確認してみましょう：

# コンテナの基本情報を確認
docker run --rm alpine:latest cat /etc/os-release

このシンプルなコマンドで、完全に独立したLinux環境が瞬時に起動します。

従来の仮想化技術との違い

仮想マシン（VM）の場合：

• ハードウェア全体を仮想化
• ゲストOS全体が必要
• 起動に数分かかることも
• メモリ使用量：GB単位

コンテナの場合：

• プロセスレベルでの分離
• ホストOSのカーネルを共有
• 起動時間：数秒
• メモリ使用量：MB単位

実際に比較してみましょう：

# コンテナのプロセス確認
docker run -d --name test-container alpine:latest sleep 3600
docker exec test-container ps aux

# ホスト側からコンテナプロセスを確認
ps aux | grep sleep

同じプロセスがホスト側からも見えることが分かります。これがコンテナの軽量性の秘密です。

コンテナの基本概念を理解できたところで、より深いシステムレベルの知識を身につけたい方には「Binary Hacks Rebooted」がおすすめです。コンテナ技術の内部実装から詳細な仕組みまで、プロフェッショナルレベルの解説が含まれています。

namespaceによるプロセス分離の仕組み

namespaceの種類と役割

namespaceは、Linuxカーネルが提供するリソース分離機能です。

主要なnamespace：

• PID namespace: プロセスIDの分離
• Network namespace: ネットワークの分離
• Mount namespace: ファイルシステムの分離
• UTS namespace: ホスト名の分離
• IPC namespace: プロセス間通信の分離
• User namespace: ユーザーIDの分離

実際にnamespaceを確認してみましょう：

# 現在のnamespace情報を確認
ls -la /proc/$$/ns/

出力例：

lrwxrwxrwx 1 root root 0 Aug 13 10:00 ipc -> 'ipc:[4026531839]'
lrwxrwxrwx 1 root root 0 Aug 13 10:00 mnt -> 'mnt:[4026531840]'
lrwxrwxrwx 1 root root 0 Aug 13 10:00 net -> 'net:[4026531992]'
lrwxrwxrwx 1 root root 0 Aug 13 10:00 pid -> 'pid:[4026531836]'

PID・Network・Mount namespaceの実践

PID namespaceの動作確認：

# コンテナ内のプロセス一覧
docker run --rm alpine:latest ps aux

コンテナ内では、プロセスIDが1から始まることが確認できます。

Network namespaceの分離：

# ホストのネットワーク情報
ip addr show

# コンテナのネットワーク情報
docker run --rm alpine:latest ip addr show

コンテナには独自のネットワークインターフェースが割り当てられています。

Mount namespaceによるファイルシステム分離：

# ホストのマウント情報
mount | head -5

# コンテナのマウント情報
docker run --rm alpine:latest mount | head -5

コンテナ内外でのプロセス確認方法

コンテナプロセスを詳しく調査する方法：

# コンテナを起動
docker run -d --name debug-container alpine:latest sleep 3600

# コンテナのPIDを取得
CONTAINER_PID=$(docker inspect debug-container --format '{{.State.Pid}}')
echo "Container PID: $CONTAINER_PID"

# namespaceの詳細確認
ls -la /proc/$CONTAINER_PID/ns/

# コンテナ内からホストを見る
docker exec debug-container cat /proc/1/cgroup

この調査により、コンテナがどのようにホストシステムから分離されているかが理解できます。

cgroupによるリソース制御

cgroupの基本概念と制御対象

cgroup（Control Groups）は、プロセスグループのリソース使用量を制限・監視する機能です。

制御できるリソース：

• CPU使用率
• メモリ使用量
• ディスクI/O
• ネットワーク帯域幅
• プロセス数

cgroupの階層構造を確認：

# cgroupマウントポイントの確認
mount | grep cgroup

# cgroupの階層構造
ls -la /sys/fs/cgroup/

CPU・メモリ・I/O制限の実装

CPU制限の実例：

# CPU使用率を50%に制限
docker run -d --name cpu-limited --cpus="0.5" alpine:latest \
  sh -c 'while true; do echo "CPU intensive task"; done'

# CPU使用状況の監視
docker stats cpu-limited --no-stream

メモリ制限の実例：

# メモリを128MBに制限
docker run -d --name memory-limited --memory="128m" alpine:latest \
  sh -c 'dd if=/dev/zero of=/tmp/testfile bs=1M count=200'

# メモリ使用状況の確認
docker stats memory-limited --no-stream

I/O制限の実例：

# ディスクI/Oを制限（読み取り速度を10MB/sに制限）
docker run -d --name io-limited --device-read-bps /dev/sda:10mb alpine:latest \
  dd if=/dev/zero of=/tmp/test bs=1M count=100

# I/O統計の確認
docker exec io-limited iostat 1 3

リソース制御の実践例を通じて、cgroupの強力さを実感できたのではないでしょうか。「Binary Hacks Rebooted」では、こうしたカーネルレベルの機能についてさらに深く解説されており、システム管理やパフォーマンスチューニングに役立つ知識が満載です。

Dockerのファイルシステム構造

レイヤー化ファイルシステムの仕組み

Dockerは、イメージを複数のレイヤーに分割して管理しています。

レイヤー構造の利点：

• ディスク使用量の削減
• 効率的なイメージ配布
• 高速なコンテナ起動

イメージのレイヤー構造を確認：

# イメージの詳細情報
docker history alpine:latest

# レイヤー情報の詳細表示
docker inspect alpine:latest | jq '.RootFS.Layers'

Union FSとOverlayFSの動作原理

OverlayFSの仕組み：

# Dockerのストレージドライバー確認
docker info | grep "Storage Driver"

# OverlayFSのマウント状況
mount | grep overlay

実際のレイヤー構造を探る：

# コンテナを起動
docker run -d --name layer-test alpine:latest sleep 3600

# コンテナのファイルシステム詳細
docker inspect layer-test | jq '.GraphDriver'

# 実際のレイヤーディレクトリを確認
sudo ls -la /var/lib/docker/overlay2/

イメージとコンテナの関係性

イメージレイヤーの重ね合わせ：

# ベースイメージから新しいレイヤーを作成
docker run -it --name custom-container alpine:latest sh

# コンテナ内でファイルを変更
echo "Custom content" > /tmp/custom.txt
exit

# 変更をイメージとしてコミット
docker commit custom-container custom-alpine:latest

# 新しいイメージのレイヤー構造確認
docker history custom-alpine:latest

Copy-on-Write（CoW）の動作確認：

# 同じイメージから複数コンテナを起動
docker run -d --name cow-test1 alpine:latest sleep 3600
docker run -d --name cow-test2 alpine:latest sleep 3600

# ディスク使用量の確認
docker system df

複数のコンテナが同じベースレイヤーを共有していることが確認できます。

コンテナ起動プロセスの内部動作

docker runコマンドの裏側で起こること

docker runを実行したとき、内部では以下の処理が行われます：

1. イメージの準備

# イメージのプル過程を詳しく見る
docker pull --quiet=false alpine:latest

# イメージの展開状況確認
docker images --digests alpine

2. namespace・cgroupの作成

# コンテナ起動と同時にnamespace確認
docker run -d --name trace-container alpine:latest sleep 3600

# 作成されたnamespaceの確認
CONTAINER_PID=$(docker inspect trace-container --format '{{.State.Pid}}')
sudo ls -la /proc/$CONTAINER_PID/ns/

# cgroupの作成確認
sudo find /sys/fs/cgroup -name "*$CONTAINER_PID*" 2>/dev/null | head -5

3. ファイルシステムのマウント

# コンテナのマウント情報詳細
docker exec trace-container cat /proc/mounts | head -10

# OverlayFSの構造確認
docker inspect trace-container | jq '.GraphDriver.Data'

コンテナランタイムとカーネル機能の連携

containerdとruncの役割：

# containerdプロセスの確認
ps aux | grep containerd

# runcによるコンテナ一覧
sudo runc list

# コンテナの詳細設定確認
docker exec trace-container cat /proc/1/cgroup | head -5

システムコールレベルでの動作確認：

# コンテナ起動時のシステムコール追跡
strace -f -e trace=clone,unshare,mount docker run --rm alpine:latest echo "Hello Container"

この出力から、clone()システムコールでのnamespace作成やmount()でのファイルシステム操作を確認できます。

コンテナの内部動作まで深く理解できた今、さらにシステムレベルの知識を極めたい方は「Binary Hacks Rebooted」をぜひ読んでみてください。カーネル機能の詳細な解説から実践的なシステム解析手法まで、エンジニアとしてのスキルを大幅に向上させる内容が詰まっています。

コンテナセキュリティと実践的な調査方法

コンテナのセキュリティ境界と注意点

コンテナは軽量ですが、セキュリティ上の考慮点があります。

主要なセキュリティリスク：

• カーネル共有によるリスク
• 権限昇格の可能性
• リソース枯渇攻撃

セキュリティ設定の確認：

# コンテナのセキュリティ設定確認
docker run --rm alpine:latest cat /proc/1/status | grep Cap

# AppArmorやSELinuxの状態確認
docker info | grep -i security

# 権限制限の確認
docker run --rm alpine:latest id
docker run --rm --user 1000:1000 alpine:latest id

rootlessコンテナの実践：

# 非特権ユーザーでのコンテナ実行
docker run --rm --user 1000:1000 --cap-drop=ALL alpine:latest \
  sh -c 'whoami && cat /proc/1/status | grep Cap'

実環境でのコンテナ内部構造確認テクニック

詳細な内部構造調査：

# コンテナの完全な設定情報
docker inspect container_name | jq '.[0].HostConfig'

# プロセスツリーの確認
docker exec container_name ps axjf

# ネットワーク設定の詳細
docker exec container_name netstat -i
docker exec container_name ss -tuln

トラブルシューティング手法：

# コンテナログの確認
docker logs --timestamps container_name

# リソース使用状況の監視
docker stats --format "table {{.Container}}\t{{.CPUPerc}}\t{{.MemUsage}}\t{{.NetIO}}\t{{.BlockIO}}"

# プロセスの詳細調査
docker exec container_name top -p 1

パフォーマンス分析：

# I/O統計の取得
docker exec container_name iostat -x 1 3

# メモリ使用量の詳細
docker exec container_name cat /proc/meminfo | head -10

# CPU情報の確認
docker exec container_name cat /proc/cpuinfo | grep processor

デバッグ用の特権コンテナ：

# ホストの/procファイルシステムにアクセス
docker run -it --rm --pid=host --privileged alpine:latest \
  sh -c 'ps aux | head -10'

# ホストネットワークの調査
docker run -it --rm --net=host alpine:latest \
  ip addr show

こうした調査方法を使いこなすことで、コンテナ環境の問題を効率的に特定・解決できるようになります。

まとめ

今回は、コンテナ技術の核心である内部構造について詳しく解説しました。

学習したポイント：

• namespace: プロセス・ネットワーク・ファイルシステムの分離
• cgroup: CPU・メモリ・I/Oリソースの制御
• レイヤー化ファイルシステム: 効率的なストレージ管理
• コンテナランタイム: カーネル機能との連携
• セキュリティ: 適切な権限管理と監視

これらの仕組みを理解することで：

• コンテナのパフォーマンス問題を解決できる
• セキュリティリスクを適切に評価できる
• 効率的なコンテナ設計ができる
• トラブルシューティング能力が向上する

最初は複雑に感じるかもしれませんが、実際に手を動かしながら学ぶことで、必ず理解が深まります。

コンテナの内部構造を一通り学習できましたが、さらに深いシステムレベルの知識や高度な解析テクニックを身につけたい方には「Binary Hacks Rebooted」を強くおすすめします。本記事で触れた内容がさらに詳しく解説されており、プロフェッショナルなシステムエンジニアとしてのスキルを大幅に向上させることができる一冊です。

コンテナ技術は日々進化していますが、その基盤となる仕組みを理解していれば、新しい技術にも柔軟に対応できるはずです。

ぜひ実際の開発や運用で活用してみてくださいね！

皆さんのコンテナライフがより充実したものになることを願っています。