kata 容器可以用作 运行 不受信任代码的沙箱吗?
Can kata containers be used as a sandbox to run untrusted code?
Kata 容器正试图通过提供更多隔离来确保容器安全。
lightweight Virtual Machines (VMs) that feel and perform like containers, but provide the workload isolation and security advantages of VMs.
如果我正在构建 playground/code fiddle(类似于 ideone),它们是否足够安全以编译和 运行 不受信任的代码?
这种容器是否 good/intended 用途?
任何类型的工作负载都可能被 Kata Containers, just like regular containers. The idea behind them is providing the VM isolation that you don't get with regular containers. You can use Kata Container with Docker and Kubernetes 使用。
您可以使用诸如 seccomp, SELinux, Capabilities, and/or AppArmor 之类的常规容器实现相当程度的隔离,但它可能会变得相当复杂。 Kata Containers 提供了一个更简单的替代方案。
可以使用,但不是最安全的方法
我想 gVisor 将是用作沙箱的更好选择。
在 容器技术 中,可以从容器内部访问主机操作系统,并且它无法避免外部人员的有害操作。
虚拟机 和管理程序或主机操作系统也是如此。
因此,可以安全地假设相同的问题可能适用于 Kata 容器和底层管理程序。
Kata 容器正试图通过提供更多隔离来确保容器安全。
lightweight Virtual Machines (VMs) that feel and perform like containers, but provide the workload isolation and security advantages of VMs.
如果我正在构建 playground/code fiddle(类似于 ideone),它们是否足够安全以编译和 运行 不受信任的代码?
这种容器是否 good/intended 用途?
任何类型的工作负载都可能被 Kata Containers, just like regular containers. The idea behind them is providing the VM isolation that you don't get with regular containers. You can use Kata Container with Docker and Kubernetes 使用。
您可以使用诸如 seccomp, SELinux, Capabilities, and/or AppArmor 之类的常规容器实现相当程度的隔离,但它可能会变得相当复杂。 Kata Containers 提供了一个更简单的替代方案。
可以使用,但不是最安全的方法
我想 gVisor 将是用作沙箱的更好选择。
在 容器技术 中,可以从容器内部访问主机操作系统,并且它无法避免外部人员的有害操作。
虚拟机 和管理程序或主机操作系统也是如此。
因此,可以安全地假设相同的问题可能适用于 Kata 容器和底层管理程序。