gVisor新型沙箱容器運行時(shí)環(huán)境

gVisor 是一款新型沙箱解決方案，其能夠為容器提供安全的隔離措施，同時(shí)繼續保持遠優(yōu)于虛擬機的輕量化特性。gVisor能夠與Docker及Kubernetes實(shí)現集成，從而在生產(chǎn)環(huán)境中更輕松地建立起沙箱化容器系統。

gVisor能夠在保證輕量化優(yōu)勢的同時(shí)，提供與虛擬機類(lèi)似的隔離效果。gVisor的核心為一套運行非特權普通進(jìn)程的內核，且支持大多數Linux系統調用。該內核使用Go編寫(xiě)，這主要是考慮到Go語(yǔ)言擁有良好的內存管理機制與類(lèi)型安全性。與在虛擬機當中一樣，gVisor沙箱中運行的應用程序也將獲得自己的內核與一組虛擬設備——這一點(diǎn)與主機及其它沙箱方案有所區別。

gVisor通過(guò)在用戶(hù)空間內攔截應用程序系統調用并充當訪(fǎng)客內核，gVisor能夠提供強大的隔離邊界。而與需要一組固定資源的虛擬機不同，gVisor能夠隨時(shí)適應不斷變化的資源條件，這一點(diǎn)更像是普通Linux進(jìn)程。gVisor很像是一種超虛擬化操作系統，其與完整虛擬機相比擁有更靈活的資源利用方式與更低的固定成本，但這種靈活性的代價(jià)是其系統調用成本更高且應用程序兼容性略差。

gVisor運行時(shí)能夠與Docker及Kubernetes實(shí)現無(wú)縫化集成，這一集成效果通過(guò)匹配OCI運行時(shí)API的runsc（即‘run Sandboxed Container’的縮寫(xiě)）實(shí)現。

runsc運行時(shí)可與Docker的默認容器運行時(shí)runc進(jìn)行互換。其安裝非常簡(jiǎn)單; 在安裝完成后，只需要一個(gè)額外標記即可在Docker內運行沙箱化容器：

$?docker?run?--runtime=runsc?hello-world
$?docker?run?--runtime=runsc?-p?3306:3306?mysql

在Kubenetes當中，大多數資源隔離在pod層面實(shí)現，而這意味著(zhù)pod能夠天然充當gVisor的沙箱邊界。Kubernetes社區目前正在對沙箱pod API進(jìn)行標準化調整，但目前已經(jīng)開(kāi)放實(shí)驗性支持供用戶(hù)體驗。

runsc運行時(shí)能夠在Kubernetes集群當中通過(guò)cri-o或cri-containerd等項目運行沙箱化pod——此類(lèi)項目負責將Kubelet中的消息轉換為OCI運行時(shí)命令。

gVisor能夠實(shí)現大部分Linux系統API（總計200項系統調用與計數），但仍有一部分無(wú)法支持。部分系統調用與參數目前尚無(wú)法使用，/proc與/sys文件系統中的某些特定部分同樣如此。因此，還有少數應用程序不能在gVisor當中運行。但除此之外，包括Node.js、Java 8、MySQL、Jenkins、Apache、Redis以及MongoDB等在內的大多數應用程序皆可順利運作。