原标题:Google开源沙盒容器Runtime gVisor,与VM一样安全但更轻巧
gVisor具有虚拟机器的安全隔离特色。
图片来源:为解决容器的安全性问题,Google开源了用Go开发的沙盒容器Runtime△gVisor,提供类似虚拟机器般的隔离安全性,但是更为轻巧,不过gVisor只实作Linux系统部分API,因此并非所有应用程序都能够在gVisor执行,不过常用的Node.js、Java△8、MySQL以及Jenkins等应用程序都不是问题。
Google表示,容器的发明彻底改变了开发、封装以及部署应用程序的方法,但是其曝露广泛的系统表面,对于执行一些不受信任或是潜在恶意应用程序存在疑虑。而传统的Linux容器并非沙盒环境,因为应用程序存取系统资源与非容器化的系统相同,都是直接呼叫主机核心,并以特殊权限执行,与硬件交互执行后将结果回传给应用程序。
虽然在容器环境中,核心对应用程序资源的存取会以Linux△cgroups和命名空间加以限制,但也并非所有资源都可以通过这个机制控制,另外,即使有这些限制,核心仍然曝露出许多恶意程式可以攻击的表面。Google提到,像是Seccomp过滤器这样的核心功能,虽能对应用程序以及主机核心做出隔离,但是这个动作需要使用者预先建立白名单,事实上,使用者很难预先知道应用程序需要那些系统呼叫,而且在系统呼叫中发现漏洞,这样的筛选器功能也同样无用武之地。
而对每个容器提供单独的虚拟机器则是一个好方法,Google表示,每个容器拥有自己独立的执行环境,把核心以及虚拟化装置从主机分离,即使Guest虚拟机器存在漏洞,管理程序仍然会隔离主机以及在主机执行的其他应用程序或是容器。虽然在个别虚拟机器执行容器,能取得更好的隔离性、相容性以及执行效能,但也占用了更多的资源与空间。
因此Google开发了gVisor,更轻量但是能提供类似虚拟机器的隔离效果。gVisor的核心以Go语言撰写而成,借以获得记忆体安全的特性,核心以非特殊权限执行,并支援约200种的系统呼叫,部分系统呼叫与参数目前还未实作,不过使用者不需要担心,常用的应用程序包括Node.js、Java△8、MySQL、Jenkins、Apache、Redis以及MongoDB等全都有支援。
执行在gVisor沙盒中的应用程序,能像是执行在虚拟机器中一样,取得独有的核心以及系统资源,gVisor为应用程序设下强健的隔离边界,所有应用程序都被包在使用者空间中。
Google表示,可以将gVisor看作是超虚拟化的作业系统,比起虚拟机器来说更灵活,且固定成本更低。gVisor还与Docker和Kubernetes整合,支援符合OCI△Runtime的API。在Kubernetes中,由于大多数资源在Pod中被隔离,Pod与gVisor沙箱边界会自然的相符,而目前Kubernetes社交已正式提供沙盒Pod△API,这实验性功能也已释出。
相关:
从源头映像档确保安全,容器资安新创Aqua推免费容器映像档扫描工具MicroScanner
图片来源: Aqua 当容器技术于企业IT基础架构中的能见度愈来愈高之时,从使用容器映像档阶段开始,确保其应用的安全,也变成开发者必须注意的重要课题。容器资安新创Aqua在近日释出了一款免费的映像档扫描工具MicroSc
容器新创Kontena推自家Kubernetes版本Kontena Pharos,支援RBAC机制及网络政策管理
除了最原始的Kubernetes社交版本,现在企业可以取用的Kubernetes服务也琳瑯满目,除了与大型云端厂商绑定一起使用的选择外,Linux作业系统厂商如SUSE、Canonical也有推出自家的版本。不过现在,喜欢尝鲜的开发者,又
容器管理平台Rancher 2.0版出炉,通吃云端三龙头代管K8s服务
在4月初时,容器管理平台Rancher就已经预告,其主要功能RKE(Rancher△Kubernetes△Engine)推出,这个轻量级的Kubernetes执行程式,除了支援Kubernetes丛集管理外,开发者还可以将Rancher主机部署在Kubernetes丛集。
甲骨文容器引擎再升级,让Kubernetes可用GPU进行高速运算
图片来源: Oracle 过去虽不及其他软件大厂的步调快,但是甲骨文在近年拥抱容器技术、Kubernetes的速度也急起直追。在今年度欧洲举办的KubeCon及云端原生年会中,甲骨文有了重大发布,宣布加强自家的甲骨文容器引擎(
图片来源: 脸书 脸书周三(5/2)将于今年夏天释出可用于生产线的AI框架PyTorch△1.0测试版,让它不只能造福学术研究,也能于生产环境中派上用场。PyTorch是个基于Torch并采用Python程式语言的机器学习函式库,可用来