Kata容器试图通过提供更多隔离来确保容器的安全。
轻量级虚拟机(VM),感觉和执行类似容器,但提供VM的工作负载隔离和安全优势。
如果我正在构建一个游乐场/代码小提琴(类似于ideone),它们是否足够安全以编译和运行不受信任的代码?
这是否适用于此类容器?
Kata Containers可能会使用任何类型的工作负载,就像常规容器一样。它们背后的想法是提供您使用常规容器无法获得的VM隔离。你可以使用卡塔容器和Docker and Kubernetes。
你可以使用像seccomp,SELinux,Capabilities和/或AppArmor这样的常规容器来实现相当程度的隔离,但它会变得相当复杂。 Kata Containers提供了一种更简单的替代方案。
它可以使用,但它不是最安全的方法。 我猜gVisor是一个更好的选择,可以用作沙盒。 在容器技术中,可以从容器内部访问主机操作系统,并且它不会受到外人有害操作的影响。 虚拟机和管理程序或主机操作系统也是如此。因此,可以安全地假设Kata Containers和底层Hypervisor可能存在同样的问题。