Original-URL des Artikels: https://www.golem.de/news/gvisor-google-veroeffentlicht-sandbox-fuer-container-1805-134210.html    Veröffentlicht: 03.05.2018 14:15    Kurz-URL: https://glm.io/134210

Gvisor

Google veröffentlicht Sandbox für Container

Mit Gvisor stellt Google ein Open-Source-Werkzeug bereit, das Container besser vom Hostsystem isolieren soll. Diese Container-Sandbox soll so gut schützen wie eine VM, aber weniger Ressourcen benötigen.

Auf der Kubecon- und Cloud-Native-Con-Europe hat Google mit der Container-Sandbox Gvisor ein weiteres Security-Werkzeug für den Einsatz von Containern vorgestellt. Diese neue Open-Source-Sandbox soll dem laut Google gestiegenen Verlangen nach "heterogenen und weniger vertrauenswürdigen Workloads" Rechnung tragen und dabei Container-Apps und Hostsysteme besser voneinander isolieren. Der Code steht auf Github unter der Apache-Lizenz frei zur Verfügung.

Gvisor fängt dabei die Systemaufrufe der Container-Anwendungen ab und tritt als Gastkernel auf, wobei die Anwendung selbst komplett im Userspace läuft und in Go geschrieben ist. Dieses Konzept ähnelt dabei in Teilen dem Prinzip des sogenannten User Mode Linux (UML), das bereits vor über einem Jahrzehnt erstellt worden ist und es ermöglicht, den Linux-Kernel als Anwendungsprozess laufen zu lassen.

Mit an Bord von Gvisor ist eine speziell dafür geschaffene Laufzeitumgebung namens runsc, die zu dem Standard runc der Open-Container-Initiative kompatibel sein soll und mit Docker sowie Kubernetes interagiert. Setzen Admins diese ein, führen Systemaufrufe ins Leere.

Gvisor soll laut Google verhältnismäßig schlank sein und so den Ressourcenaufwand im Vergleich zu einer echten Virtualisierung reduzieren, dabei aber eben einen vergleichbaren Grad an Isolierung bieten. Die Nutzung einer virtualisierten Umgebung für den Einsatz von Containern mag ungewöhnlich erscheinen, wird aber tatsächlich eingesetzt.

Google hofft, dass sich die eigene Software Gvisor mit anderen Sicherheitsbemühungen in diesem Feld vereinigt und sich die Sicherheit für Container-Anwendungen künftig dadurch weiter positiv entwickelt.  (sg)


Verwandte Artikel:
Rechenbeschleuniger: Google bietet VMs mit Nvidias Tesla V100 an   
(01.05.2018, https://glm.io/134153 )
Studie: Docker-Images oft mit Sicherheitslücken   
(28.05.2015, https://glm.io/114310 )
Operator Framework: Red-Hat-Werkzeug verwaltet native Kubernetes-Anwendungen   
(03.05.2018, https://glm.io/134207 )
Cloud Native Con: Kubernetes 1.6 versteckt Container-Dienste   
(29.03.2017, https://glm.io/127021 )
Titus: Netflix' Container-Software wird quelloffen   
(19.04.2018, https://glm.io/133948 )

© 1997–2019 Golem.de, https://www.golem.de/