Можно ли использовать контейнеры Kata в качестве песочницы для запуска ненадежного кода?
Контейнеры Kata пытаются обезопасить контейнеры, обеспечивая большую изоляцию.
легкие виртуальные машины (ВМ), которые чувствуют и работают как контейнеры, но обеспечивают изоляцию рабочей нагрузки и преимущества безопасности ВМ.
Если я создаю игровую площадку / кодовую скрипку (что-то вроде ideone), достаточно ли они безопасны для компиляции и запуска ненадежного кода?
Это хорошее / предполагаемое использование для этого типа контейнеров?
2 ответа
Контейнеры Kata могут использовать любой тип рабочей нагрузки, как и обычные контейнеры. Идея, лежащая в их основе, заключается в обеспечении изоляции виртуальной машины, которую вы не получаете с обычными контейнерами. Вы можете использовать Kata Container с Docker и Kubernetes.
Вы можете достичь достойного уровня изоляции с помощью обычных контейнеров, используя такие вещи, как seccomp, SELinux, Capabilities и / или AppArmor, но это может оказаться довольно сложным. Kata Containers предлагает более простую альтернативу этому.
Его можно использовать, но это не самый безопасный метод.
Я думаю, что gVisor был бы лучшим вариантом для использования в качестве песочницы.
В технологии контейнеров доступ к операционной системе хоста возможен изнутри контейнера, и он не защищен от вредных манипуляций со стороны.
То же самое верно для виртуальных машин и гипервизоров или хост-операционных систем. Поэтому можно предположить, что те же проблемы могут быть справедливы для контейнеров Kata и базового гипервизора.