kata容器可以用作沙箱来运行不受信任的代码吗?
kata容器可以用作沙箱来运行不受信任的代码吗?
提问于 2019-04-02 02:53:38
Kata容器正试图通过提供更多的隔离来确保容器的安全。
轻量级虚拟机(VM),它们感觉和执行起来像容器,但是提供了VM的工作负载隔离和安全优势。
如果我正在构建一个操场/代码小提琴(类似于意为),它们是否足够安全来编译和运行不受信任的代码?
这是这类容器的好用途吗?
回答 2
Stack Overflow用户
回答已采纳
发布于 2019-04-11 01:00:14
任何类型的工作负载都可能被Kata容器使用,就像常规容器一样。它们背后的想法是提供常规容器无法获得的VM隔离。您可以在Docker和Kubernetes中使用Kata容器。
您可以使用常规容器(如分段组合、SELinux、能力和/或AppArmor )达到相当高的隔离级别,但它可能会变得相当复杂。Kata容器提供了一个更简单的替代方案。
Stack Overflow用户
发布于 2019-04-25 09:36:28
这是可以使用的,但这不是最安全的方法。
我想gVisor是用作沙箱的一个更好的选择。
在容器技术中,主机操作系统可以从容器内部访问,并且对外部有害的操作也不能幸免。
虚拟机、和Hypervisors或主机操作系统也是如此。因此,可以安全地假设,对于Kata容器和底层Hypervisor来说,同样的问题可能是正确的。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/55466281
复制相关文章
相似问题
腾讯云开发者
