gVisor: neue Container-Runtime mit Sandbox

04.05.2018

Für mehr Sicherheit containerisierter Anwendungen hat Google eine neue Runtime mit extra Sandbox-Features entwickelt. 

Google hat unter dem Namen gVisor eine neue Container-Runtime freigegeben, die höhere Sicherheit verspricht als konventionelle Linux-Container, aber weniger Ressourcen erfordern sollen als eine Kombination aus Container und VM. Dazu haben die Google-Entwickler einen Großteil der Linux-Syscalls in einem Userspace-Prozess neu implementiert.

Jeder Container bekommt dann bei der Ausführung einen eigenen Userspace-Kernel und eigene virtualisierte Devices zugewiesen. In dieser Hinsicht biete gVisor eine Art extreme Paravirtualisierung, so Google. 

gVisor lässt sich als Runtime für Docker sowie Kubernetes verwenden. Letzteres ist aber noch experimentell. Diverse Anwendungen wie Apache, MySQL, MariaDB, Redis, Prometheus und andere wurde erfolgreich mit gVisor betrieben. Andere Anwendungen wie Elasticsearch, Nginx und PostgreSQL funktionieren derzeit aufgrund fehlender Syscalls noch nicht. 

Der Quellcode und mehr Informationen sind auf der gVisor-Github-Seite zu finden. 

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite