【ITニュース解説】How Container Filesystem Works: Building a Docker-Like Container from Scratch

コンテナは、アプリケーションとその実行に必要なすべての要素、つまりコード、ランタイム、システムツール、ライブラリなどを一つの独立したパッケージにまとめ、分離された環境で動作させる技術である。これは、OS全体を仮想化する仮想マシンとは異なり、ホストOSのカーネルを共有しつつ、アプリケーションが動作するプロセスとその依存関係を分離する軽量な仮想化技術として広く利用されている。コンテナが提供する独立性や効率性の鍵を握る重要な要素の一つが、その「ファイルシステム」の仕組みにある。コンテナがどのように互いに干渉することなく、効率的にアプリケーションを実行できるのかを理解するには、その根底にあるファイルシステムの機能と構造を知ることが不可欠である。

各コンテナは、あたかも独立したOSであるかのように、それぞれが独自の「ルートファイルシステム」を持つ。ルートファイルシステムとは、OSが動作するために必要な基本的なファイルやディレクトリの集合体であり、例えばLinuxの場合、/bin、/etc、/libなどのディレクトリが含まれる。これにより、コンテナ内部のアプリケーションは、ホストOSのファイルシステムとは切り離された、独自の環境で動作する。この分離は、Linuxのchroot（チェルート）という機能によって実現される。chrootは、特定のプロセスとその子プロセスのルートディレクトリを、指定したディレクトリに変更するシステムコールであり、コンテナ内のプロセスがそのコンテナのルートファイルシステムの外部にあるファイルにアクセスできないように制限することで、セキュリティと分離を確保する。

しかし、もしすべてのコンテナがOSイメージ全体を個別にコピーして持っていたら、ディスク容量が無駄になり、コンテナの起動も遅くなる。この課題を解決するために、コンテナのファイルシステムは「レイヤー構造」と「コピーオンライト（Copy-on-Write, CoW）」という効率的な仕組みを採用している。

コンテナイメージは、複数の読み取り専用（read-only）の「レイヤー」が積み重なって構成されている。これらのレイヤーは、OSのベースとなる部分から、特定のミドルウェア、そしてアプリケーションコードといった具体的な変更履歴の「差分」として追加されていく。例えば、最も下には最小限のLinuxシステムを含むレイヤーがあり、その上にApache HTTP Serverがインストールされたレイヤー、さらにその上にWebアプリケーションのファイル群が追加されたレイヤー、といった具合に階層的に構成される。それぞれのレイヤーは不変であり、一度作成されたら内容が変更されることはない。これらのレイヤーは、コンテナの「イメージ」として存在し、アプリケーションの実行に必要な静的なテンプレートとなる。

実際にコンテナが起動し、実行される「コンテナインスタンス」となった際、この読み取り専用のレイヤー群の最上位に、新しく読み書き可能（read-write）なレイヤーが追加される。この最上位レイヤーはコンテナインスタンスごとに固有のものであり、コンテナ内部でファイルが変更されたり、新しいファイルが作成されたりする際のすべての変更がこのレイヤーに記録される。これが「コピーオンライト」の原理である。

コピーオンライトがどのように動作するか具体的に見てみよう。もしコンテナ内で、下層の読み取り専用レイヤーにある既存のファイルを変更しようとした場合、元のファイルは下層のレイヤーにそのまま残される。そして、変更対象のファイルは、まず最上位の読み書き可能なレイヤーに「コピー」され、そのコピーされたファイルに対して変更が加えられる。このとき、元のファイルが物理的に上書きされるわけではなく、あたかも上書きされたかのように見えるだけで、実際には新しいファイルが最上位レイヤーに作成されているのだ。この仕組みによって、複数のコンテナが同じベースイメージのレイヤーを効率的に共有できるため、ディスク容量を大幅に節約でき、コンテナの起動も高速化される。また、下層のレイヤーは不変であるため、ベースイメージの整合性が保たれ、変更が隔離されることで、コンテナの堅牢性も向上する。

このレイヤー構造とコピーオンライトの仕組みを実現するために、「ユニオンファイルシステム」という技術が利用される。これは、複数の異なるディレクトリやファイルシステムを論理的に重ね合わせ、それらをあたかも一つの統合されたファイルシステムであるかのように見せる技術である。Dockerなどの主要なコンテナランタイムでは、OverlayFS（オーバーレイエフエス）というユニオンファイルシステムが広く採用されている。OverlayFSはLinuxカーネルに統合されており、下層の読み取り専用ディレクトリ（lowerdir）と、上層の読み書き可能ディレクトリ（upperdir）を組み合わせて、一つの統合されたビュー（mergeddir）を提供する。コンテナ内部からはこのmergeddirが見え、ユーザーはこれが単一のファイルシステムであるかのように操作できる。ファイルの変更があった場合、lowerdirにあるファイルは変更されず、upperdirにその変更が記録される。

この統合されたファイルシステムをコンテナのルートとして設定するために、Linuxの「マウント」操作が用いられる。例えば、mount -t overlay -o lowerdir=...,upperdir=...,workdir=... overlay <merged_directory>といったコマンドによって、複数のレイヤーが指定されたターゲットディレクトリに結合され、そのディレクトリがコンテナのルートファイルシステムとして機能する。workdirはOverlayFSが内部で一時ファイルを管理するために使用するディレクトリである。

この記事が「ゼロからコンテナのファイルシステムを構築する」というアプローチを取っているのは、これらの基本的な概念がどのように具体的な実装に結びつくかを深く理解するための、非常に効果的な学習方法である。手動でルートファイルシステムを用意し、レイヤーを重ね、chrootやmountコマンドを駆使してコンテナを再現することで、単にコマンドを覚えるだけでなく、その背後にある原理と技術的なつながりを肌で感じることができる。システムエンジニアとしてコンテナ環境を設計、構築、運用する上で、このようなファイルシステムの深い理解は、問題発生時のトラブルシューティング能力や、より堅牢で効率的なシステム構築能力の向上に直結する、非常に価値のある基礎知識となるだろう。