runc

作者 | 易立 阿里云资深技术专家 本文整理自易立在 2019 携程技术峰会上发表的题目为《拐点已至，云原生引领数字化转型升级》的演讲。 关注“阿里巴巴云原生”公众号，回复关键词“转型”即可下载本文 PPT。 今天我跟大家分享的题目是“拐点已至，云原生引领数字化转型升级”。先做个简单的自我介绍，我叫易立，来自于阿里云容器平台，从 2015 年开始负责阿里云容器产品，之前在 IBM 工作 14 年，主要负责企业中间件和云计算的产品研发。 今天会跟大家分享我们对云原生领域的简单思考，以及我们对云原生发展四个趋势大概的介绍： 拥抱 Serverless – 极致弹性，无需运维； 服务网格 – 将服务治理能力与应用解耦，并下沉到基础设施层； 云原生应用管理标准化 – 构建高效、自动化和可信赖的应用交付体系； 计算无边界 – 实现云-边缘-IoT 设备的高效协同。 云原生基本概念 先简单介绍云原生一些基本的概念。 我们接触了很多的客户，对于这些客户而言，上不上云已经不是问题，他们关注的是该怎么上云？该如何充分利用云的能力、最大化云的价值？在 All in Cloud 的时代，企业的技术能力已经成为核心竞争力，他们非常愿意用云作为企业 IT 能力的增效器。 云原生计算是一组最佳实践和方法论，在公共云、专有云环境中，构建可伸缩、健壮、松耦合的应用，可以更加快速地创新和低成本试错；容器、服务网格

本文根据云栖大会容器专场演讲内容整理， 大家中午好，感谢大家在饥肠辘辘的中午不离不弃地来到我们的会场，我们带给大家的这段相声是关于安全容器技术的。我是王旭，半年前刚刚结束一段创业，和团队一起加入了蚂蚁金服，创业期间，2017 年，我们在德州奥斯汀，和 Intel OTC 一起发布了 Kata Containers 安全容器项目，是这个项目的创始人之一；和我一起的是阿里云智能的奖哥，他是阿里云容器服务 ECI 的台柱子，也是 rust-vmm 开源项目的积极维护者。 （图左为蚂蚁金服资深技术专家 王旭，图右为阿里云操作系统资深技术专家 刘奖） 我们见证了容器安全和安全容器技术在争议中的发展，今天想要结合社区里和阿里云上安全容器的沿革，谈谈对安全容器技术未来发展的思考。 这次的分享分为四个部分： 当前容器技术应用和安全问题的现状 阿里云内外的安全容器技术发展的历程 阿里云服务中的安全容器 我们乃至整个社区正在做的技术努力 当前容器技术应用和安全问题的现状 众所周知，容器化、微服务化、云原生化是当前 IT 系统演进的趋势。根据 Portworks 和 Aqua Security 的调查报告显示，被调查的大多数企业都不是正在使用容器，就是考虑使用容器。 上午过来时和刚才演讲的 Chris 聊天的时候，他也提到，今年年底 San Diego 的 KubeCon 预计会有一万两千人来参会

runc是一个根据OCI（Open Container Initiative）标准创建并运行容器的CLI工具，目前Docker引擎内部也是基于runc构建的。 2019年2月11日，研究人员通过oss-security邮件列表（ https://www.openwall.com/lists/oss-security/2019/02/11/2 ）披露了runc容器逃逸漏洞的详情，根据OpenWall的规定EXP会在7天后也就是2019年2月18日公开。 此漏洞允许以root身份运行的容器以特权用户身份在主机上执行任意代码。实际上，这意味着容器可能会破坏Docker主机（覆盖Runc CLI），而所需要的只是能够使用root来运行容器。攻击者可以使用受感染的Docker镜像或对未受感染的正在运行的容器运行exec命令。针对此问题的已知缓解措施包括： 使用只读主机文件系统运行 运行用户命名空间 不在容器中运行root 正确配置的AppArmor / SELinux策略（当前的默认策略不够） Rancher团队第一时间响应 收到披露邮件后，RancherOS团队立刻尝试编写了攻击脚本，在一个普通容器中运行一个非常简单的脚本就完成了对主机的攻击，将主机上的runc替换成了其他程序。 漏洞披露后，Docker在第一时间发布了18.09.2，用户可升级到此版本以修复该漏洞。Rancher

美国时间2019年2月11日晚，runc通过oss-security邮件列表披露了runc容器逃逸漏洞CVE-2019-5736的详情。runc是Docker、CRI-O、Containerd、Kubernetes等底层的容器运行时，此次安全漏洞无可避免地会影响大多数Docker与Kubernetes用户，也因此为整个业界高度关注。 漏洞披露后，Docker在第一时间发布了两个版本18.06.2和18.09.2，这两个版本都可以修复runc漏洞。Rancher Labs极速响应，Rancher Kubernetes管理平台和RancherOS操作系统均在不到一天时间内紧急更新，是业界第一个紧急发布新版本支持Docker补丁版本的平台，并持严谨态度在oss-security邮件列表披露漏洞后的五小时内连夜邮件通知所有Rancher用户此次漏洞的详情及应对之策。 更值得一提的是，尽管Docker发布了修复版本，但因为不是所有用户都能轻易将生产环境中的Docker版本升至最新，Rancher帮忙将修复程序反向移植到所有版本的Docker并提供给用户。且目前Docker官方提供的修复版本并不支持3.x内核（只兼容4.x内核），而runc的开发者特意向Rancher提交了支持3.x内核的PR，目前PR已合并，Rancher提供的方案现已可以支持3.x内核。 runc安全漏洞事件背景

How these two compare? As far as I understand, runC is a runtime environment for containers. That means that this component provides the necessary environment to run containers. What is the role of the containerd here then? If it does the rest (networking, volume management, etc) then what is the role of the Docker Engine? And what about containerd-shim? Basically, I'm trying to understand what each of these components do. I will give a high level overview to get you started: containerd is a container runtime which can manage a complete container lifecycle - from image transfer/storage to