Entry № 511
gVisor
gVisor 是什么?
gVisorgVisor 是 Google 开源的应用层内核,在用户态拦截容器的系统调用,从而显著缩小暴露给不可信工作负载的宿主内核攻击面。
gVisor 的 Sentry 进程使用 Go 在用户态实现了大量 Linux 系统调用表面,只通过 seccomp-bpf 允许极少的宿主系统调用,并由 Gofer 处理文件系统 I/O。容器与 Sentry 交互而非直接调用宿主内核,因此工作负载中的内核漏洞必须先逃出用户态沙箱。gVisor 以 Docker 或 CRI 运行时(runsc)形式运行,支撑 Google Cloud Run、App Engine standard 与 GKE Sandbox。代价是系统调用兼容性不完整、单次调用性能开销较高,因此最适用于短生命周期、多租户或不可信负载。
● 示例
- 01
Google Cloud Run 默认在 gVisor 沙箱中运行客户函数。
- 02
GKE Sandbox 通过 runtimeClassName: gvisor 标注不可信 Pod。
● 常见问题
gVisor 是什么?
gVisor 是 Google 开源的应用层内核,在用户态拦截容器的系统调用,从而显著缩小暴露给不可信工作负载的宿主内核攻击面。 它属于网络安全的 云安全 分类。
gVisor 是什么意思?
gVisor 是 Google 开源的应用层内核,在用户态拦截容器的系统调用,从而显著缩小暴露给不可信工作负载的宿主内核攻击面。
如何防御 gVisor?
针对 gVisor 的防御通常结合技术控制与运营实践,详见上方完整定义。
gVisor 还有哪些其他名称?
常见的别称包括: runsc, gVisor Sentry。