您可以在Cloud Run容器中运行沙箱容器吗?

问题描述 投票:0回答:1

假设我要让用户上传一些python或bash脚本,在云中运行它并返回结果。为此,我将使用没有访问项目资源权限的服务帐户创建一个Cloud Run服务。我最好在嵌套容器中运行脚本,这样用户就不会干扰服务器代码,也不会操纵来自其他用户的连续请求。

我如何在Cloud Run上运行的容器中使gvisor runc或其他沙箱运行时可用?] >>

我发现有一些资源提到在原始容器上使用特权标志,但这在Cloud Run中是不可能的。另外,我找不到有关如何使用runsc运行无根容器的任何信息。让我知道我是否走在正确的道路上,或者如果通过云运行甚至可以做到这一点,还是应该使用其他服务?

谢谢。

假设我要让用户上传一些python或bash脚本,在云中运行它并返回结果。为此,我将使用具有...

docker google-cloud-platform sandbox google-cloud-run gvisor
1个回答
0
投票

当前,Cloud Run(受完全管理)本身在gVisor沙箱上运行,因此它不可能支持低级Linux API,以使用cgroups或Linux名称空间API创建更多的容器环境。

但是,由于gVisor从技术上讲是一种用户空间沙箱技术(尽管我不确定它需要什么特权级别),因此尽管我不抱太大希望,但您仍可以在gVisor中运行gVisor沙箱。它可能不是为此设计的。我猜测gVisor沙箱无法提供ptrace功能来使嵌套沙箱正常工作,尽管您可能会在gVisor自己的GitHub存储库中提出要求。

© www.soinside.com 2019 - 2024. All rights reserved.