gVisor: neue Container-Runtime mit Sandbox

04.05.2018

Für mehr Sicherheit containerisierter Anwendungen hat Google eine neue Runtime mit extra Sandbox-Features entwickelt. 

Google hat unter dem Namen gVisor eine neue Container-Runtime freigegeben, die höhere Sicherheit verspricht als konventionelle Linux-Container, aber weniger Ressourcen erfordern sollen als eine Kombination aus Container und VM. Dazu haben die Google-Entwickler einen Großteil der Linux-Syscalls in einem Userspace-Prozess neu implementiert.

Jeder Container bekommt dann bei der Ausführung einen eigenen Userspace-Kernel und eigene virtualisierte Devices zugewiesen. In dieser Hinsicht biete gVisor eine Art extreme Paravirtualisierung, so Google. 

gVisor lässt sich als Runtime für Docker sowie Kubernetes verwenden. Letzteres ist aber noch experimentell. Diverse Anwendungen wie Apache, MySQL, MariaDB, Redis, Prometheus und andere wurde erfolgreich mit gVisor betrieben. Andere Anwendungen wie Elasticsearch, Nginx und PostgreSQL funktionieren derzeit aufgrund fehlender Syscalls noch nicht. 

Der Quellcode und mehr Informationen sind auf der gVisor-Github-Seite zu finden. 

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite