Docker・namespace・cgroupの関係を整理！コンテナ技術の基礎

Dockerコンテナを日常的に使っているけれど、「なぜこんなに軽量で高速なのか？」「namespace、cgroup、Dockerの関係って何？」と疑問に思ったことはありませんか？

コンテナ技術は現代のソフトウェア開発に欠かせない技術ですが、その仕組みを深く理解している人は意外と少ないものです。

実は、Dockerの軽量さと安全性を支えているのは、Linuxカーネルが提供する「namespace」と「cgroup」という2つの重要な機能なんです！

この記事では、これらの技術がどのように連携してコンテナを実現しているのかを、具体例を交えながら分かりやすく解説していきます。

コンテナ技術をより深く理解したい方には、オライリー・ジャパンの「入門 モダンLinux」がおすすめです。この書籍では、namespace、cgroup、Dockerの関係について詳細に解説されており、実際のコマンド例とともに学習できます。

それでは、コンテナ技術の核心に迫っていきましょう！

コンテナ技術の基礎知識

そもそもコンテナとは何か

コンテナは、アプリケーションとその実行に必要なライブラリ、設定ファイルなどをひとまとめにしたパッケージのことです。

しかし、単なるパッケージではありません。コンテナの本質はプロセスの隔離技術にあります。

従来のLinuxシステムでは、すべてのプロセスが同じカーネル空間を共有していました。そのため、一つのプロセスが暴走すると、他のプロセスにも影響を与える可能性がありました。

コンテナ技術は、この問題を解決するために生まれました。同一のLinuxカーネル上で動作しながら、まるで独立したマシンのように動作する環境を作り出すことができるんです！

仮想マシンとの違い

仮想マシン（VM）とコンテナの違いを理解することは、とても重要です。

仮想マシンの場合：

• ハイパーバイザーが必要
• ゲストOS全体を仮想化
• リソース消費が大きい
• 起動時間が長い（数分）
• 完全な隔離

コンテナの場合：

• ホストOSのカーネルを共有
• プロセスレベルでの隔離
• リソース消費が小さい
• 起動時間が短い（数秒）
• 軽量な隔離

この違いにより、コンテナは「軽量で高速」という特徴を実現しています。

なぜDockerが軽量で高速なのか

Dockerが軽量で高速な理由は、主に3つの技術によるものです：

1. namespace：プロセス間の隔離
2. cgroup：リソースの制限・管理
3. Copy-on-Write（CoW）ファイルシステム：効率的なストレージ利用

これらの技術が組み合わさることで、仮想マシンのような完全な隔離を実現しながら、ホストOSのカーネルを直接利用できるため、オーバーヘッドを最小限に抑えることができています。

特に重要なのが、最初の2つ「namespace」と「cgroup」です。これらがコンテナ技術の核心部分を担っています。

namespaceによる隔離の仕組み

namespaceとは何か

namespaceは、Linuxカーネルが提供するプロセス隔離機能です。

簡単に言うと、「同じシステム上で動作していても、お互いに見えないようにする技術」です。

例えば、コンテナA内で動作するプロセスからは、コンテナB内のプロセスは見えません。まるで独立したマシンで動作しているかのような環境を作り出すことができます。

namespaceは「名前空間」とも呼ばれ、プロセスが参照できるリソースの範囲を制限します。

主要なnamespaceの種類

Linuxには、以下の主要なnamespaceが存在します：

PID namespace

• プロセスIDの隔離
• コンテナ内では独自のプロセス番号体系を持つ
• コンテナ内のプロセスIDは1から始まる

Network namespace

• ネットワークインターフェースの隔離
• 独自のネットワークスタック、IPアドレス、ルーティングテーブル
• コンテナごとに独立したネットワーク環境

Mount namespace

• ファイルシステムのマウントポイントの隔離
• コンテナごとに独立したファイルシステム階層
• ホストの他の部分にアクセスできない

UTS namespace

• ホスト名とドメイン名の隔離
• コンテナごとに独自のホスト名を設定可能

IPC namespace

• プロセス間通信（IPC）リソースの隔離
• 共有メモリ、セマフォ、メッセージキューの分離

User namespace

• ユーザーIDとグループIDの隔離
• コンテナ内では管理者権限でも、ホスト側では一般ユーザー

実際にnamespaceを確認してみよう

実際のシステムでnamespaceを確認する方法を見てみましょう。

現在のプロセスのnamespaceを確認：

# 現在のプロセスのnamespace情報
ls -la /proc/self/ns/

実行結果例：

lrwxrwxrwx 1 user user 0 Aug 18 10:00 ipc -> ipc:[4026531839]
lrwxrwxrwx 1 user user 0 Aug 18 10:00 mnt -> mnt:[4026531840]
lrwxrwxrwx 1 user user 0 Aug 18 10:00 net -> net:[4026531992]
lrwxrwxrwx 1 user user 0 Aug 18 10:00 pid -> pid:[4026531836]
lrwxrwxrwx 1 user user 0 Aug 18 10:00 user -> user:[4026531837]
lrwxrwxrwx 1 user user 0 Aug 18 10:00 uts -> uts:[4026531838]

角括弧内の数字がnamespace IDです。同じIDを持つプロセスは、同じnamespace内で動作しています。

Dockerコンテナのnamespaceを確認：

# Dockerコンテナを起動
docker run -d --name test-container alpine sleep 1000

# コンテナのプロセスIDを取得
docker inspect test-container | grep -i pid

# コンテナのnamespaceを確認
sudo ls -la /proc/[コンテナのPID]/ns/

ホストシステムとは異なるnamespace IDが表示されることが確認できます。

cgroupによるリソース制御

cgroupの役割と重要性

cgroup（Control Groups）は、プロセスグループのリソース使用量を制限・監視する仕組みです。

namespaceが「隔離」を担当するのに対し、cgroupは「リソース制御」を担当します。

cgroupがなければ、コンテナ内のプロセスがCPUやメモリを独占してしまい、他のコンテナやホストシステムに悪影響を与える可能性があります。

cgroupが制御できるリソース：

• CPU使用率・時間
• メモリ使用量
• ディスクI/O
• ネットワーク帯域幅
• デバイスアクセス

CPU・メモリ・I/Oの制限方法

cgroupを使ったリソース制限の具体例を見てみましょう。

CPUの制限：

# CPUコアの50%に制限
docker run --cpus="0.5" alpine

# CPU時間の相対的な重み付け
docker run --cpu-shares=512 alpine

メモリの制限：

# メモリを128MBに制限
docker run -m 128m alpine

# メモリとスワップの合計制限
docker run -m 128m --memory-swap=256m alpine

I/Oの制限：

# 読み込み速度を10MB/sに制限
docker run --device-read-bps /dev/sda:10mb alpine

# 書き込みIOPSを100に制限
docker run --device-write-iops /dev/sda:100 alpine

cgroupの階層構造を理解する

cgroupは階層構造を持っており、親の制限が子に継承されます。

cgroupファイルシステムの確認：

# cgroupのマウントポイント確認
mount | grep cgroup

# Dockerのcgroupディレクトリ
ls /sys/fs/cgroup/memory/docker/
ls /sys/fs/cgroup/cpu/docker/

各コンテナには専用のcgroupディレクトリが作成され、そこでリソース制限が管理されています。

実際のリソース使用量確認：

# メモリ使用量の確認
cat /sys/fs/cgroup/memory/docker/[コンテナID]/memory.usage_in_bytes

# CPU使用統計の確認
cat /sys/fs/cgroup/cpu/docker/[コンテナID]/cpuacct.stat

この仕組みにより、コンテナごとに細かいリソース管理が可能になっています。

Dockerが使う技術の組み合わせ

Docker内でのnamespace活用

Dockerは、複数のnamespaceを組み合わせて完全な隔離環境を作り出しています。

Dockerが使用するnamespace：

1. PID namespace: コンテナ内で独立したプロセス空間
2. Network namespace: 独立したネットワーク環境
3. Mount namespace: 独立したファイルシステム
4. UTS namespace: 独自のホスト名
5. IPC namespace: プロセス間通信の隔離
6. User namespace: ユーザー権限の隔離（オプション）

実際のDocker実行例：

# 通常のコンテナ起動
docker run -it alpine sh

# コンテナ内でプロセス確認
ps aux
# → PID 1でshが動作（PID namespaceの効果）

# ホスト名確認
hostname
# → ランダムなコンテナIDが表示（UTS namespaceの効果）

# ネットワーク確認
ip addr
# → 独立したネットワークインターフェース（Network namespaceの効果）

Docker内でのcgroup活用

Dockerは、各コンテナに対して自動的にcgroupを作成し、リソース制限を適用します。

Dockerのcgroup統合例：

# リソース制限付きでコンテナ起動
docker run -d \
  --name resource-limited \
  --cpus="1.0" \
  --memory="512m" \
  --device-read-bps /dev/sda:10mb \
  alpine sleep 1000

# 作成されたcgroupを確認
docker stats resource-limited

docker statsコマンドの出力例：

CONTAINER ID   NAME              CPU %     MEM USAGE / LIMIT   MEM %     NET I/O     BLOCK I/O
abc123def456   resource-limited  0.50%     24MiB / 512MiB     4.69%     1.2kB/0B    0B/0B

この表示は、cgroupが収集しているリソース使用量データを基にしています。

コピーオンライトファイルシステムとの連携

Dockerは、namespaceとcgroupに加えて、コピーオンライト（CoW）ファイルシステムも活用しています。

CoWファイルシステムの利点：

• 同一イメージを複数コンテナで共有
• ストレージ使用量の削減
• 高速なコンテナ起動

実際の確認方法：

# Dockerのストレージドライバー確認
docker info | grep "Storage Driver"

# イメージレイヤーの確認
docker history alpine

# コンテナの変更差分確認
docker diff [コンテナID]

この3つの技術（namespace、cgroup、CoWファイルシステム）が組み合わさることで、Dockerは軽量で効率的なコンテナ環境を実現しています。

実践的なコンテナ理解を深めよう

コンテナのトラブルシューティング

namespace、cgroup、CoWファイルシステムの知識は、実際のトラブルシューティングで威力を発揮します。

よくある問題と解決方法：

問題1: コンテナが重い・遅い

# cgroupでリソース使用量確認
docker stats [コンテナ名]

# CPU制限が適切か確認
docker inspect [コンテナ名] | grep -i cpu

# メモリ制限確認
docker inspect [コンテナ名] | grep -i memory

問題2: コンテナ間通信ができない

# Network namespace確認
docker network ls
docker network inspect bridge

# コンテナのネットワーク設定確認
docker exec [コンテナ名] ip addr
docker exec [コンテナ名] ip route

問題3: ファイルシステムの問題

# Mount namespace確認
docker exec [コンテナ名] mount

# ディスク使用量確認
docker system df
docker exec [コンテナ名] df -h

セキュリティ観点での理解

namespaceとcgroupの知識は、コンテナセキュリティにも重要です。

セキュリティのベストプラクティス：

User namespaceの活用：

# 非rootユーザーでコンテナ実行
docker run --user 1000:1000 alpine

# User namespaceの有効化（Docker Daemon設定）
# /etc/docker/daemon.json
{
  "userns-remap": "default"
}

読み取り専用ファイルシステム：

# ルートファイルシステムを読み取り専用に
docker run --read-only alpine

# 必要な場合のみ書き込み可能領域を追加
docker run --read-only --tmpfs /tmp alpine

capabilities制限：

# 不要な権限を削除
docker run --cap-drop ALL --cap-add NET_BIND_SERVICE nginx

さらに学習を深めるために

この記事で解説した内容は、コンテナ技術の基礎部分です。

さらに深く学びたい方は、以下のような分野も探求してみてください：

高度なトピック：

• eBPF（Extended Berkeley Packet Filter）
• seccompプロファイル
• AppArmorやSELinuxとの連携
• カスタムランタイムの作成

実践的な運用知識：

• コンテナオーケストレーション
• マルチホストネットワーキング
• 永続ストレージの管理
• 監視とログ収集

参考になる学習リソース：

• 「入門 モダンLinux」（特に6章）
• Linux Containers（LXC）のドキュメント
• Dockerの公式ドキュメント
• CRI-Oやcontainerdの仕様

オライリー・ジャパンの「入門 モダンLinux」では、これらの高度なトピックについても詳しく解説されており、実際のコマンド例とともに学習を進めることができます。

まとめ

この記事では、Docker、namespace、cgroupの関係について詳しく解説してきました。

重要なポイントを振り返ってみましょう：

namespaceの役割：

• プロセス間の隔離を実現
• PID、Network、Mount、UTS、IPC、User namespaceが連携
• コンテナごとに独立した実行環境を提供

cgroupの役割：

• リソース使用量の制限・監視
• CPU、メモリ、I/O、デバイスアクセスを制御
• 階層構造によるきめ細かい管理

Dockerの技術統合：

• namespace + cgroup + CoWファイルシステムの組み合わせ
• 軽量で高速なコンテナ環境を実現
• 仮想マシンに比べて大幅なリソース効率化

これらの技術を理解することで、コンテナのトラブルシューティング、セキュリティ対策、パフォーマンス最適化など、実践的なスキルが身につきます。

コンテナ技術は日々進歩しており、新しい機能や最適化手法が続々と登場しています。基礎となるnamespaceとcgroupの仕組みを理解しておくことで、これらの新技術もスムーズに習得できるはずです！

さらに詳しく学びたい方は、「入門 モダンLinux」を手に取って、実際のコマンドを試しながら理解を深めてみてください。きっと、コンテナ技術への理解が一段と深まることでしょう。