Google предложил средство изолирования контейнеров gVisor, которое позволяет запускать контейнеры практически в песочнице.
Библиотека gVisor от Google полностью совместима с Docker и Kubernetes и может быть установлена прямо в них, без каких-либо изменений со стороны приложений.
На данный момент через gVisor поддерживается трансляция более 200 системных вызовов к API операционной системы Linux и в нём уже работают самые распространённые приложения, включая Node.js, Java 8, MySQL, Jenkins, Apache, Redis, MongoDB.
Главная суть работы gVisor в том, что трансляция запросов осуществляется только для вызовов, обладающих неразрушающим воздействием на ОС, а запросы на модификацию файла паролей и использование прочих уязвимостей не допускается. Благодаря этому, в контейнерах с gVisor можно запускать небезопасные приложения, что Google успешно продемонстрировал на конференции KubeCon.
Комментариев нет:
Отправить комментарий