Kata 容器试图通过提供更多隔离来使容器安全。
轻量级虚拟机 (VM),感觉和执行类似于容器,但提供 VM 的工作负载隔离和安全优势。
如果我正在建造一个游乐场/代码小提琴(类似于ideone),它们是否足够安全以编译和运行不受信任的代码?
对于这种类型的容器,这是一个好的/预期的用途吗?
问问题
329 次
2 回答
2
Kata Containers可以使用任何类型的工作负载,就像常规容器一样。它们背后的想法是提供常规容器无法提供的 VM 隔离。您可以将 Kata Container 与Docker 和 Kubernetes 一起使用。
您可以使用诸如seccomp、SELinux、Capabilities和/或AppArmor之类的常规容器实现相当程度的隔离,但它可能会变得相当复杂。Kata Containers 提供了一个更简单的替代方案。
于 2019-04-11T01:00:14.777 回答
1
它可以使用,但它不是最安全的方法。
我想gVisor将是用作沙箱的更好选择。
在容器技术中,宿主操作系统可以从容器内部访问,它不能免受外来者的有害操作。虚拟机和管理程序或主机操作系统
也是如此。因此可以安全地假设 Kata Containers 和底层 Hypervisor 可能存在相同的问题。
于 2019-04-25T09:36:28.050 回答