gVisor 是谷歌官方的高活跃度的一个用 Go 编写的应用程序内核,它实现了 Linux 系统表面的很大一部分。它包括一个称为的开放容器计划 (OCI) 运行时,该运行时提供 应用程序和主机内核之间的隔离边界。运行时与Docker和Kubernetes集成,使运行沙盒变得简单 器皿。runscrunsc
为什么gVisor存在?
容器不是沙盒。虽然容器有 彻底改变了我们开发、打包和部署应用程序的方式,使用它们来 在没有额外隔离的情况下运行不受信任或潜在恶意的代码不是 一个好主意。虽然使用单个共享内核可以提高效率和 性能提升,这也意味着容器逃逸可以通过单个 脆弱性。
gVisor 是容器的应用程序内核。它限制了主机内核 应用程序可访问的图面,同时仍授予应用程序访问权限 到它期望的所有功能。与大多数内核不同,gVisor 不假设或 需要一组固定的物理资源;相反,它利用现有主机 内核功能,并作为正常进程运行。换句话说,遮阳板 通过 Linux 实现 Linux。
gVisor 不应与加固容器的技术和工具混淆 针对外部威胁,提供额外的完整性检查,或限制 服务的访问范围。人们应该始终小心什么是数据 提供给容器。
https://github.com/google/gvisor
0 replies