gVisor: neue Container-Runtime mit Sandbox

04.05.2018

Für mehr Sicherheit containerisierter Anwendungen hat Google eine neue Runtime mit extra Sandbox-Features entwickelt. 

Google hat unter dem Namen gVisor eine neue Container-Runtime freigegeben, die höhere Sicherheit verspricht als konventionelle Linux-Container, aber weniger Ressourcen erfordern sollen als eine Kombination aus Container und VM. Dazu haben die Google-Entwickler einen Großteil der Linux-Syscalls in einem Userspace-Prozess neu implementiert.

Jeder Container bekommt dann bei der Ausführung einen eigenen Userspace-Kernel und eigene virtualisierte Devices zugewiesen. In dieser Hinsicht biete gVisor eine Art extreme Paravirtualisierung, so Google. 

gVisor lässt sich als Runtime für Docker sowie Kubernetes verwenden. Letzteres ist aber noch experimentell. Diverse Anwendungen wie Apache, MySQL, MariaDB, Redis, Prometheus und andere wurde erfolgreich mit gVisor betrieben. Andere Anwendungen wie Elasticsearch, Nginx und PostgreSQL funktionieren derzeit aufgrund fehlender Syscalls noch nicht. 

Der Quellcode und mehr Informationen sind auf der gVisor-Github-Seite zu finden. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

IBM: Container sicherer als VMs

Legt man die Angriffsfläche zugrunde, schneiden Container nicht so schlecht ab wie VMs.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023