目次

同じカテゴリの用語

• cgroups
• コンテナ

Linux namespaces

英語表記: Linux Namespaces

概要

Linux namespaces（名前空間）は、Linuxカーネルが提供する非常に重要な機能であり、コンテナ型仮想化を実現するための基盤技術です。この機能の主な役割は、システムリソースを論理的に分割し、コンテナごとに独立した実行環境を提供することにあります。具体的には、プロセスID（PID）、ネットワーク、ファイルシステムなどのリソースを隔離し、あたかも各コンテナが専用のOS上で動作しているかのように見せかけます。これにより、ハードウェアとソフトウェアの関係における仮想化の一形態として、ホストOSのカーネルを共有しながらも、高いセキュリティと独立性を保つことが可能になるのです。

詳細解説

コンテナ型仮想化と隔離の必要性

私たちが今焦点を当てているのは、「ハードウェアとソフトウェアの関係 → 仮想化とハイパーバイザ → コンテナ型仮想化」という文脈です。コンテナ型仮想化、特にDockerなどに代表される技術は、ハイパーバイザ型仮想化（VM）とは異なり、ゲストOSを持たず、ホストOSのカーネルをそのまま利用します。

カーネルを共有するということは、本来、すべてのコンテナが同じリソース（プロセスリスト、ネットワーク設定など）にアクセスできてしまう危険性があるということです。ここで登場するのがLinux namespacesです。

Namespacesは、カーネル内のグローバルなリソースを抽象化し、そのリソースに対するコンテナごとの「ビュー（視界）」を分離することで、この問題を解決します。あるコンテナから見た世界と、別のコンテナから見た世界が完全に異なるように設計されているわけです。これにより、コンテナはホストOSのシステムに干渉することなく、安全にアプリケーションを実行できます。これは、コンテナ環境のセキュリティと安定性を確保するための生命線と言っても過言ではありません。

主要な名前空間の種類と機能

Linuxカーネルは、リソースの種類に応じて複数の名前空間を提供しています。これらの組み合わせによって、コンテナの「独立した環境」が構築されます。

1. PID Namespaces (プロセスIDの名前空間)

コンテナ内のプロセスが独自のプロセスツリーを持つことを可能にします。コンテナ内で起動した最初のプロセスは、そのコンテナ内部では必ずPID 1として認識されます。しかし、ホストOSから見ると、それは全く別の大きなPIDを持っています。これにより、コンテナAのプロセスが、コンテナBやホストOSの重要なプロセスリストを閲覧したり、操作したりするのを防ぎます。これは、コンテナが「独立した生命」を持つための基礎となります。

2. Network Namespaces (ネットワークの名前空間)

各コンテナに完全に独立したネットワークスタックを提供します。これには、専用のネットワークインターフェース、IPアドレス、ルーティングテーブル、ファイアウォールルールなどが含まれます。コンテナAとコンテナBが同じポート番号（例：80番）を使用していても、お互いに干渉することはありません。この隔離機能こそが、マイクロサービスアーキテクチャのように多数のサービスを一つのホスト上で動かすことを可能にしているのです。

3. Mount Namespaces (マウントの名前空間)

ファイルシステムのマウントポイントを隔離します。コンテナが独自のルートファイルシステムを持ち、コンテナ内部でファイルを追加したり、新しいデバイスをマウントしたりしても、ホストOSのファイルシステムには影響が及びません。これにより、アプリケーションとその依存関係をパッケージ化し、「どこでも動く」環境を構築できるわけです。

4. User Namespaces (ユーザーIDの名前空間)

セキュリティ面で非常に重要な機能です。コンテナ内のユーザーID（UID/GID）と、ホストOS上のユーザーIDとの間にマッピングを作成します。例えば、コンテナ内で最高権限を持つrootユーザーとしてプロセスを実行しても、ホストOS上では権限の低い非特権ユーザーとして動作するように設定できます。これにより、仮にコンテナが攻撃者に乗っ取られたとしても、ホストOSへの影響を最小限に抑えることができ、コンテナ型仮想化のセキュリティレベルを大幅に向上させます。

5. その他の名前空間

この他にも、ホスト名を隔離するUTS Namespacesや、プロセス間通信リソースを隔離するIPC Namespacesなどがあり、これらが連携して完全な隔離環境を作り上げています。

具体例・活用シーン

アナロジー：オフィスビルのフロア管理

Linux namespacesの働きを理解するために、一つの大きなオフィスビル（ホストOSのカーネル）を想像してみてください。このビルの中で、複数の企業（コンテナ）が同時に業務を行っています。

Namespacesは、このビルの中で各企業が「自分たちの領域」を完全に独立させるための仕組みです。

1. 独立した電話交換機（Network Namespace）: 各企業は独立した電話交換機（ネットワークスタック）を持っています。企業Aの電話番号と企業Bの電話番号は、互いに独立しており、企業Aの電話が企業Bの電話回線に勝手に繋がることはありません。
2. 専用のオフィスルーム（Mount Namespace）: 各企業は専用のオフィスルーム（ファイルシステム）を持っています。企業Aが書類棚（ファイルをマウント）を増やしたり、壁紙を張り替えたりしても、隣の企業Bのオフィスには全く影響しません。彼らは自分たちの「作業空間」を自由に管理できるわけです。
3. 社内組織図（PID Namespace）: 各企業は独自の組織図（プロセスツリー）を持っています。企業Aの社長（PID 1）と企業Bの社長（PID 1）は、名前は同じでも、互いの会社の業務には干渉しません。

このように、Namespacesは、一つのビル（カーネル）のリソースを共有しながらも、各テナント（コンテナ）が安全かつ独立して業務を遂行できるように、厳密に境界線を引く「仕切り役」を担っているのです。

実際の活用シーンとしては、Dockerコンテナの実行時や、Kubernetes環境でのポッド（Pod）の隔離に不可欠です。Namespacesがなければ、コンテナは単なるプロセスグループに過ぎず、仮想化技術として利用することはできません。

資格試験向けチェックポイント

Linux namespacesは、特に基本情報技術者試験や応用情報技術者試験で、コンテナ技術の原理を問う問題として出題されやすい分野です。