Docker是目前居于云计算峰顶的容器化技术,然而在安全性方面,它还有很多的不足。为了解决Docker的安全弱点,Google开源了runsc,runsc是Google推出的一个针对容器隔离和安全性的项目。
$ docker run -it --runtime=runsc busybox sh
在上述示例中,我们将运行BusyBox的容器,但是我们将runtime设置为runsc,这将使用runsc作为当前容器的运行时环境。
运行指定容器的命令的结果是容器将在runsc中启动。容器将在其中运行的安全环境中完全隔离。这允许我们在运行容器时使用更多的安全措施,并保护我们的主机免受容器中的任何威胁。
这里的runsc是安全守护程序,它在Linux上使用Google的gVisor内核来保护宿主机免受感染和攻击。gVisor提供了容器级别的隔离和管理,因此可以保证运行在它上面的应用程序是轻量级和安全的。
最后,runsc的目标是实现容器级别的例外检测和容器级别沙箱化以及兼容OCI规范,这些特性是其旨在为容器提供更安全的运行环境。
