☁️ gVisor.
Ну что, пора возвращаться к работе. 🙂
Вот например, ребята из Google презентовали gVisor - этакую песочницу, которая позволяет работать с контейнерами, но при этом, обеспечивать сходный с полноценной виртуализацией уровень безопасности. По сути, мы получили решение, которое можно рассмотреть как замену штатного runtime для Docker и Kubernetes.
Из особенностей здесь - работа в рамках процесса обычного, непривелегированного пользователя, обработка всех системных вызовов от приложений, реализация примитивов ядра Linux непосредственно в ядре gVisor, отдельный собственный прокси-процесс для доступа к ФС хоста, собственный сетевой стек.
С gVisor, пока что, совместимы далеко не все приложения. PHP, MySQL, Jenkins, Redis, Apache, Node.js, Java 8 и MongoDB работают с ним, а вот Nginx и PostgreSQL, например, на сегодняшний день с gVisor корректно работать не будут. Связано это с тем, что в ядре gVisor пока что реализованы далеко не все системные вызовы, а иерархия /proc и /sys на данный момент поддерживается лишь частично.
📄 Почитать подробно и на английском можно здесь:
https://cloudplatform.googleblog.com/2018/05/Open-sourcing-gVisor-a-sandboxed-container-runtime.html
📺 Посмотреть короткое видео здесь:
https://www.youtube.com/watch?v=TJJT8wc0T_c
📑 А больше подробностей на русском, можно получить, на OpenNET:
https://www.opennet.ru/opennews/art.shtml?num=48538
Есть мнение, что о gVisor мы услышим ещё не раз, так что будьте в курсе, и не упускайте из вида технологию.
#gvisor #docker #kubernetes
Ну что, пора возвращаться к работе. 🙂
Вот например, ребята из Google презентовали gVisor - этакую песочницу, которая позволяет работать с контейнерами, но при этом, обеспечивать сходный с полноценной виртуализацией уровень безопасности. По сути, мы получили решение, которое можно рассмотреть как замену штатного runtime для Docker и Kubernetes.
Из особенностей здесь - работа в рамках процесса обычного, непривелегированного пользователя, обработка всех системных вызовов от приложений, реализация примитивов ядра Linux непосредственно в ядре gVisor, отдельный собственный прокси-процесс для доступа к ФС хоста, собственный сетевой стек.
С gVisor, пока что, совместимы далеко не все приложения. PHP, MySQL, Jenkins, Redis, Apache, Node.js, Java 8 и MongoDB работают с ним, а вот Nginx и PostgreSQL, например, на сегодняшний день с gVisor корректно работать не будут. Связано это с тем, что в ядре gVisor пока что реализованы далеко не все системные вызовы, а иерархия /proc и /sys на данный момент поддерживается лишь частично.
📄 Почитать подробно и на английском можно здесь:
https://cloudplatform.googleblog.com/2018/05/Open-sourcing-gVisor-a-sandboxed-container-runtime.html
📺 Посмотреть короткое видео здесь:
https://www.youtube.com/watch?v=TJJT8wc0T_c
📑 А больше подробностей на русском, можно получить, на OpenNET:
https://www.opennet.ru/opennews/art.shtml?num=48538
Есть мнение, что о gVisor мы услышим ещё не раз, так что будьте в курсе, и не упускайте из вида технологию.
#gvisor #docker #kubernetes
Google Cloud Blog
Open-sourcing gVisor, a sandboxed container runtime | Google Cloud Blog
Containers have revolutionized how we develop, package, and deploy applications. However, the system surface exposed to containers is broad enough that man
🐳 gVisor (runsc).
В заметке ставим на сервер runsc, и запускаем через песочницу тестовый docker контейнер.
📗 https://sysadmin.pm/GvrS
P. S. Вот тут, я примерно год назад писал что такое gVisor. 🙂
#docker #gvisor #runsc
В заметке ставим на сервер runsc, и запускаем через песочницу тестовый docker контейнер.
📗 https://sysadmin.pm/GvrS
P. S. Вот тут, я примерно год назад писал что такое gVisor. 🙂
#docker #gvisor #runsc