Container By Christopher

容器隔離技術:gVisor 與 Kata Containers

比 Docker 更安全

標準容器共享 Host Kernel,若有 Kernel Exploit 可能導致逃逸。

  • gVisor (Google):在 User Space 實作 Kernel 介面,攔截 System Call,提供強隔離。
  • Kata Containers:每個容器其實是一個輕量級 VM (MicroVM),擁有獨立 Kernel。

對於執行不受信任程式碼 (如多租戶 SaaS 或 FaaS 平台),使用 RuntimeClass 切換至這些沙箱技術是必要的。

← Back to All Posts