一、gvisor:是什麼?
gvisor是一個Google開源的容器隔離技術,它利用內核級虛擬化技術,通過sandboxed進程代替傳統的Linux namespace隔離方式進行容器隔離,以提供更高的隔離安全性。同時,gvisor的設計也十分注重性能,它的內存和CPU利用率相較於傳統虛擬化技術更加高效。
gvisor在提供與Linux ABI一致的系統調用的同時,通過Sentry進行代理,從而控制底層的系統資源訪問。Sentry本身就是一個輕量級的進程,它不僅能在系統調用調用中控制訪問,還能在文件系統、網絡等領域進行隔離。而且,gvisor可以支持多個容器運行在同一進程中,降低了進程的數目,能夠提高系統的效率。
二、基本使用
安裝gvisor十分簡單,官方提供了多種安裝方式,例如通過Docker image方式安裝,可參考以下代碼:
docker pull gcr.io/gvisor-images/gvisor啟動容器時,通過gvisor的runsc工具運行:
docker run --runtime=runsc gcr.io/gvisor-images/gvisor通過–runtime=runsc參數即可啟用gvisor運行容器。
啟動gvisor鏡像後,可以在容器內執行命令。例如,在容器內運行一個簡單的“Hello, World”應用程序:
docker run --runtime=runsc gcr.io/gvisor-images/gvisor echo "Hello, World"三、與傳統容器隔離技術對比
相較於傳統的Linux namespace隔離技術,gvisor的容器隔離技術有以下優勢:
1. 更高的隔離性
gvisor利用底層的sandboxed進程對容器中的進程進行控制,從而提高了容器的隔離性。通過這種方式,gvisor可以實現對不同工作負載之間的隔離,這種隔離是傳統的命名空間不能做到的。
2. 更高的安全性
gvisor通過使用命名空間、Capabilities、Seccomp和文件系統隔離等技術以及運行容器的特權級,可以減少對宿主機的訪問,從而提高了系統的安全性。
3. 更高的性能
gvisor通過在傳統虛擬化技術和輕量級容器技術之間找到平衡點,保持較高的性能。而且,gvisor也優化了內存和CPU的管理。
四、未來展望
目前,gvisor還處於快速發展階段,在內核級虛擬化技術和容器隔離技術領域中佔據着重要的地位。未來,可以預見gvisor將會越來越受到開發者的歡迎,作為一種新型高效、安全的容器隔離技術,其應用範圍也會越來越廣泛。
示例代碼:https://github.com/google/gvisor/blob/main/docs/user_guide.md#installation
原創文章,作者:WIXC,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/147518.html
微信掃一掃 
支付寶掃一掃 