Blocking Ruleの追加/削除によるContainerの再起動について

DefenderがインストールされているContainerに対して、blocking Ruleの追加、削除を行なった場合、

特定の条件下において、当該Containerが再起動されます。

これは、当該Containerに対して、Blocking Ruleを正しく適用するための仕様に則した挙動となります。

ContainerにBlocking Ruleを含むDefenderをインストールすると、Defenderは保護対象となるContainerに

起動に先立って、適用されているBlocking Ruleに違反しているか否かを確認し、その結果基づいて

当該Containerの稼働可否を判断する必要があります。

この処理を実施するために、Defenderのインストール処理中にrunc.twが導入され、当該Defenderに

Blocking Ruleが含まれている場合は有効化されます。

有効化されたrunc.twは、ネイティブのContainer Runtimeであるruncにリクエストが渡る前段で、

当該リクエストをフックし、そのリクエストの内容がBlocking Ruleに違反していないか否かの確認を行い、

許可されたリクエストのみをruncに引き渡す役割を担います。

このrunc.tw が有効化、無効化される以下のタイミングでContainerが再起動されます。

• Blocking Ruleを含むDefenderをインストール/アンインストールした時
• Blocking Ruleがない状態のDefenderに新たにBlocking Ruleを追加した時
• Blocking Ruleがある状態のDefenderからBlocking Ruleを全て削除した時
• Blocking Ruleがある状態のDefenderが開始した時
• Blocking Ruleがある状態のDefenderが停止した時
• Blocking Ruleがある状態のDefenderをアップグレードした時