runc と runsc の違いとは？用途に合わせたコンテナランタイムの選び方

コンテナを扱っていると、「runc」や「runsc」という単語を目にすることがありますよね。でも、名前が似ていて、一体何が違うの？と疑問に思ったことはありませんか？

どちらもコンテナを動かすための「ランタイム」ですが、セキュリティやパフォーマンスに大きな違いがあります。なんとなく使っているけれど、実は用途に応じた選び方があるんです。

この記事では、それぞれの特徴や違いを、できるだけシンプルに整理していきます。

---

runc とは？

runc は、Docker や Kubernetes で標準的に使われているコンテナランタイムです。Linux の namespaces や cgroups を活用し、ホストマシン上で軽量なコンテナを実行します。

イメージとしては、「同じ家にルームシェアしている状態」です。各部屋（コンテナ）は独立していても、家（ホストカーネル）は共有しています。そのため、お互いの影響を受けやすいというデメリットもあります。

runc の特徴

• 軽量で高速：ホストカーネルを直接使うため、オーバーヘッドが少ない

• 標準的なOCIコンテナランタイム：DockerやKubernetesと相性が良い

• セキュリティ面ではやや不安：ホストカーネルを共有するため、脆弱性があると影響を受けやすい

💡 使うべき場面：高速な処理が求められる環境、一般的なコンテナ運用

---

runsc とは？

runsc は、Googleが開発した gVisor というサンドボックス型のコンテナランタイムを使ったものです。

これは、「ルームシェアではなく、アパートの各部屋に完全な防音・防火設備がある」ようなもの。コンテナごとに独自の「仮想カーネル」を持ち、ホストカーネルとは直接やり取りしません。

そのため、セキュリティが非常に高い一方で、処理に時間がかかるというデメリットがあります。

runsc の特徴

• 強力なセキュリティ：システムコールを独自の仕組みで処理し、ホストカーネルとの接触を最小限にする

• 仮想マシン並みの分離性：コンテナ同士の干渉を防ぐ

• パフォーマンスは低下：特にI/Oが多い処理では runc より遅くなる

💡 使うべき場面：マルチテナント環境や、機密データを扱うセキュリティ重視の運用

---

runc と runsc の違いを整理すると？

• ホストとの関係性
  runc はホストカーネルを直接共有し、runsc は仮想カーネルを使って隔離する。

• セキュリティの強さ
  runc はホストカーネルを利用するため脆弱性の影響を受けやすいが、runsc はシステムコールの処理を独自に行うため、攻撃を受けにくい。

• パフォーマンスの違い
  runc は高速でオーバーヘッドが少ないが、runsc は処理の分離がある分、I/Oやシステムコールの処理が遅くなることがある。

• 適した用途
  runc は一般的なコンテナ運用に向いており、runsc はマルチテナント環境やセキュリティが重視される環境に適している。

---

結局どちらを選べばいい？

✅ runc を選ぶべき場合

• 高速なコンテナ実行が必要

• DockerやKubernetesの標準的な使い方をする

• セキュリティリスクを受け入れられる

✅ runsc を選ぶべき場合

• マルチテナント環境で、他のユーザーからの影響を防ぎたい

• 金融や医療など、機密データを扱うワークロード

• 多少のパフォーマンス低下よりも、安全性を優先したい

まとめ
💨 パフォーマンス重視なら runc
🔒 セキュリティ重視なら runsc

用途に合わせて、適切なコンテナランタイムを選びましょう！