更安全的容器運行沙箱工具

大家好，又見面了，我是 GitHub 精選君！

背景介紹

在當前技術架構中，容器技術已成為開發(fā)、打包和部署應用程序的革命性方法。然而，盡管容器技術帶來了效率和性能上的巨大提升，但當我們利用它們運行不受信任或潛在惡意的代碼時，其安全隱患不容忽視。傳統(tǒng)容器直接利用宿主機的內核，一旦出現安全漏洞，整個系統(tǒng)的安全性便會遭受威脅。因此，在沒有額外隔離措施的條件下，將容器作為安全沙箱來使用是不夠理智的選擇。

今天要給大家推薦一個 GitHub 開源項目 gvisor，該項目在 GitHub 有超過 15.2k Star。

一句話介紹該項目：Application Kernel for Containers

項目介紹

gVisor 是一種應用程序內核，用 Go 語言編寫，實現了 Linux 系統(tǒng)大部分的表面功能。它包含一個名為 runsc 的 Open Container Initiative (OCI) 運行時，為應用程序和宿主機內核之間提供隔離邊界。runsc 運行時能夠與 Docker 和 Kubernetes 集成，簡化了沙盒化容器的運行過程。

與大多數內核不同，gVisor 不假定或要求一組固定的物理資源；相反，它利用現有宿主機內核功能并作為普通進程運行。換句話說，gVisor 是通過 Linux 來實現 Linux 的。

如何使用

首先確保系統(tǒng)中已安裝 Linux 4.14.77+ 和 Docker 版本 17.09.0 或更高版本。gVisor 的安裝步驟如下：

1、構建 runsc 二進制文件：

mkdir -p bin
make copy TARGETS=runsc DESTINATION=bin/
sudo cp ./bin/runsc /usr/local/bin

2、運行測試：可使用以下命令運行標準測試套件：

make unit-tests
make tests

另外，對于想要使用 go get 而非 bazel 的用戶，可以通過以下步驟安裝 runsc：

echo "module runsc" > go.mod
GO111MODULE=on go get gvisor.dev/gvisor/runsc@go
CGO_ENABLED=0 GO111MODULE=on sudo -E go build -o /usr/local/bin/runsc gvisor.dev/gvisor/runsc

項目推介

作為 Google 的一個開源項目，gVisor 在容器安全領域內提供了革命性的解決方案。其開發(fā)十分活躍，不只是因為其背后有 Google 的支持，更因為其創(chuàng)新的技術方案吸引了廣泛的關注和參與。此外，gVisor 的集成能力使其能夠輕松地與現有的 Docker 和 Kubernetes 生態(tài)系統(tǒng)結合使用，這大大降低了使用門檻，吸引了許多知名公司和用戶的關注和采用。

以下是該項目 Star 趨勢圖（代表項目的活躍程度）：

更多項目詳情請查看如下鏈接。

開源項目地址：https://github.com/google/gvisor

開源項目作者：google

關注我們，一起探索有意思的開源項目。

點擊如下卡片后臺回復：加群，與技術極客們一起交流人工智能、開源項目，一起成長。如果你正在尋求開源項目推廣、DevOps、AIGC 大模型、軟件開發(fā)等領域的付費服務，可參考推文了解詳情。

讀者專屬插件：github.com/ZhuPeng/github_linker