Описание тега gvisor

https://github.com/google/gvisor

Что такое gVisor?

gVisor - это ядро ​​пользовательского пространства, написанное на Go, которое реализует значительную часть поверхности системы Linux. Он включает среду выполнения Open Container Initiative (OCI) под названиемrunscкоторый обеспечивает границу изоляции между приложением и ядром хоста. Вrunsc среда выполнения интегрируется с Docker и Kubernetes, что упрощает запуск изолированных контейнеров.

Почему существует gVisor?

Контейнеры - это не песочница. Хотя контейнеры произвели революцию в том, как мы разрабатываем, упаковываем и развертываем приложения, запуск ненадежного или потенциально вредоносного кода без дополнительной изоляции - не лучшая идея. Повышение эффективности и производительности от использования одного общего ядра также означает, что выход из контейнера возможен с помощью одной уязвимости.

gVisor - это ядро ​​пользовательского пространства для контейнеров. Он ограничивает доступную для приложения поверхность ядра хоста, в то же время предоставляя приложению доступ ко всем ожидаемым функциям. В отличие от большинства ядер, gVisor не предполагает и не требует фиксированного набора физических ресурсов; вместо этого он использует существующие функции ядра хоста и работает как обычный процесс в пространстве пользователя. Другими словами, gVisor реализует Linux через Linux.

Не следует путать gVisor с технологиями и инструментами для защиты контейнеров от внешних угроз, обеспечения дополнительных проверок целостности или ограничения объема доступа для службы. Всегда нужно быть осторожным с тем, какие данные становятся доступными для контейнера.