gVisor

Проект программного обеспечения Linux, разработанный Google

gVisor — это контейнерная песочница , разработанная Google, которая фокусируется на безопасности, эффективности и простоте использования. ^{[1] [2]} gVisor реализует около 200 системных вызовов Linux в пользовательском пространстве для дополнительной безопасности по сравнению с контейнерами Docker , которые работают непосредственно поверх ядра Linux и изолированы пространствами имен . ^{[3] [4]} В отличие от ядра Linux, gVisor написан на безопасном для памяти языке программирования Go , чтобы избежать распространенных ошибок, которые часто возникают в программном обеспечении, написанном на языке C. [ ^5]

По данным Google ^[6] и Брэда Фицпатрика ^[7] , gVisor используется в производственной среде Google, включая стандартную среду App Engine , Cloud Functions, Cloud ML Engine и Google Cloud Run ^[8] . Совсем недавно gVisor был интегрирован с Google Kubernetes Engine, что позволяет пользователям изолировать свои модули Kubernetes для таких случаев использования, как SaaS и многопользовательская среда ^[9] .

Ссылки

1. Google Cloud Platform: открытый исходный код gVisor, изолированная среда выполнения контейнера
2. "gvisor.dev". gvisor.dev . Получено 28.05.2019 .
3. "Обновления в изоляции контейнера". LWN.net . Получено 18 февраля 2019 г. .
4. "Sandboxing with gVisor". 17 июня 2018 г. Получено 18 февраля 2019 г. – через Medium .
5. Катлер, Коди; Каашук, М. Франс; Моррис, Роберт Т. (2018). Преимущества и издержки написания ядра POSIX на языке высокого уровня. стр. 89–105. ISBN 978-1-939133-08-3.
6. "GKE Sandbox: Обеспечьте своим модулям глубокую защиту". Блог Google Cloud . Получено 28.05.2019 .
7. "Брэд Фицпатрик Твиттер" . Получено 18 февраля 2019 г. – через Twitter .
8. "Контракт времени выполнения контейнера | Cloud Run". Google Cloud . Получено 2019-04-10 .
9. "GKE Sandbox". Google Cloud . Получено 28.05.2019 .