Kata容器正试图通过提供更多隔离来确保容器的安全。
轻巧的虚拟机(VM)感觉和性能类似于容器,但提供了VM的工作负载隔离和安全优势。
如果我要构建游乐场/代码小提琴(诸如ideone之类的东西),它们是否足够安全以编译和运行不受信任的代码?
对于这种类型的容器,这是一种很好的用途吗?
答案 0 :(得分:1)
Kata Containers可能会使用任何类型的工作负载,就像常规容器一样。它们背后的想法是提供常规容器无法获得的VM隔离。您可以将Kata Container与Docker and Kubernetes一起使用。
使用seccomp,SELinux,Capabilities和/或AppArmor之类的容器,您可以使用常规容器达到不错的隔离度,但是它可能变得相当复杂。 Kata Containers提供了一个更简单的替代方法。
答案 1 :(得分:0)
可以使用,但这不是最安全的方法。
我想 gVisor 将是用作沙箱的更好选择。
在容器技术中,可以从容器内部访问主机操作系统,并且不能免除外部人员的有害操作。
对于虚拟机和虚拟机管理程序或主机操作系统,情况也是如此。
因此可以肯定地认为,对于Kata Containers和底层Hypervisor来说,同样的问题可能是正确的。