我有一个运行 Googles Container Optimized OS 的 VM,我想允许运行用户提供的代码 - 每个用户都有自己的容器。
这段代码可能是恶意的——我想将代码的范围限制在它自己的容器中。
https://cloud.google.com/container-optimized-os/docs/concepts/security
问题
A. 操作系统是否为容器添加了足够的保护以用作沙盒?该文档提到增加了安全性,但没有提及它在容器中包含恶意代码的有效性。
B. 可以使用 docker 卷来限制在容器中运行的代码的文件系统范围吗?我想使用 CLI 提供的 docker volume 为每个用户在磁盘上提供一个他们可以写入的文件夹,但我想阻止用户读取彼此的数据。
非常感谢任何帮助,谢谢。