gvisor实现的容器中启动新内核

最新推荐文章于 2025-09-11 07:46:14 发布
原创 最新推荐文章于 2025-09-11 07:46:14 发布 · 841 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

gVisor是Google发布的一个安全容器方案,通过启动名为Sentry的进程模拟操作系统内核的功能,为用户进程提供系统调用接口。本文探讨了gVisor如何利用KVM技术劫持容器中的系统调用,以及其对系统调用表的改写。

gvisor

gvisor是google发布的安全容器。
gVisor 工作的核心,在于它为应用进程(用户容器),启动了一个名叫 Sentry 的进程。 而 Sentry 进程的主要职责,就是提供一个传统的操作系统内核的能力,即:运行用户程序,执行系统调用。所以说,Sentry 并不是使用 Go 语言重新实现了一个完整的 Linux 内核,而只是一个对应用进程“冒充”内核的系统组件。(这段是抄的)
作为安全容器,利用容器中的内核来隔离大部分内核攻击,确实是一个不错的想法,然而这个新内核属于定制内核,估计很多功能还不完善,据说用了ptrace和kvm两种方式实现,我这里来探索下kvm的实现方式。

kvm

kvm是linux的硬件虚拟化的的抽象模块,方便用户构建硬件虚拟化的虚拟机。最全的资料应该还是intel或amd各家的硬件开发手册,我之前有几篇相关的文章,所以就不啰嗦VT虚拟化了。

gviosr如何劫持容器中的系统调用

根据我的观察,gvisor对于VT技术(kvm)的使用核心逻辑图如下:
在这里插入图片描述
这里在信号里创建了个VMM(虚拟机管理器)。简单讲就是初始化客户机状态,和VMM状态,设置各种vm_exit标识,用来劫持客户机的各种硬件或软件行为。之后在kvm的设备句柄中 发送_KVM_RUN状态就可以运行客户机代码,也就是我们需要的新内核的代码。

kvm中设置系统调用表地址

在这里插入图片描述
MSR_LSTAR代表内核可以操作的系统寄存器,一般用来存放系统调用表。如上图,linux内核也是这样做的,存放了entry_SYSCALL_64。
gvisor利用kvm对虚拟机化中的系统表进行改写位于kernel——amd64.go(startGo)

func startGo(c *CPU)</
最低0.47元/天 解锁文章
什么是 gVisor
pumpkin84514的博客
12-02 2650
是一种由 Google 开发的容器沙盒技术,旨在为容器提供更强的隔离和安全性。它通过模拟 Linux 内核的方式,拦截并控制容器发出的系统调用,让容器与宿主机之间形成一个“安全缓冲层”。如果传统容器是直接和宿主机的内核打交道,那么 gVisor 就像一个“中间人”,用它自己的方式管理容器的操作,从而保护宿主机的安全。
安全容器gVisor、Firecracker、LXC性能对比
文杰的博客
06-26 2345
参考论文,从各个角度比较当前容器安全产品差异
微虚机之gVisor
专注虚拟化的Linuxer
01-25 4302
gVisor是google最新推出的一种进程级别的沙箱技术,因为跟Kubernets同一出身,所以天然的兼容于Kubernets的调度管理。 沙箱不同于传统的容器以及微虚机,众所周知,容器是通过namespace跟cgroup实现资源隔离,微虚机则通过传统的虚拟化技术(KVM),而gVisor怎是在进程界别实现了系统调用的劫持以及重定向。好处么,很明显,它不需要物理隔离资源的建立这一过程,直接应...
Manus 技术探索 - 使用 gVisor 在沙箱内运行 Ubuntu 容器并通过远程浏览器访问
花千树的专栏
03-15 1454
本文介绍了如何利用 gVisor 沙箱技术运行带 GUI 的 Ubuntu 容器,并通过 VNC/NoVNC 实现远程浏览器访问。安装并配置 gVisor:下载 runsc,配置 Docker 使用 gVisor 作为运行时,并重启 Docker。运行 Ubuntu 容器并安装 VNC 服务:启动容器,更新软件包,安装 XFCE 桌面环境和 tightvncserver。配置 VNC 服务器:初始化 VNC 服务,设置启动脚本以加载 XFCE 桌面,并启动 VNC 服务器。安装并启动 NoVNC。
gVisor使用探索
qq_40711766的博客
12-28 4832
容器虽然带来了高效快捷的虚拟化,但是由于共用内核,容器的安全性也是最受关注的。gVisor是google引入的一套全新的容器安全解决方案,重新实现容器进程的每一个系统调用,其性能相比runc等下降了不少。本文主要介绍gVisor的基本概念及在docker中使用gvisor运行容器
Go-gVisorGoogle开源的新型沙箱容器运行时环境
08-14
总结,gVisor作为Google开源的沙箱容器运行时环境,提供了一种新的安全解决方案,帮助保护云环境中的容器免受攻击。它通过用户空间内核实现了安全隔离,同时也保持了与现有容器生态的兼容性。然而,使用gVisor时也...
深入了解Google的gVisor沙箱容器运行时技术
- **内核**:Gvisor利用了Google的rkt容器技术,rkt是CoreOS团队开发的容器引擎,gvisor为其提供内核级别的支持,确保容器的安全隔离。 - **资源管理**:Gvisor具备对系统资源(如CPU、内存和I/O设备)的管理能力,...
深入了解Google gVisor开源容器运行时技术
它通过拦截容器内应用程序对宿主机的操作系统调用,并通过其自身的内核实现(称为 Runsc)来模拟这些调用,从而在不安全的代码和宿主机的安全环境之间建立了额外的隔离层。gVisor 对于每一个容器都提供了一个完全...
kubernetes--安全沙箱运行容器gVisor
m0_57911290的博客
03-02 4311
所知,容器的应用程序可以直接访问Linux内核的系统调用,容器在安全隔离上还是比较弱,虽然内核在不断的增强自身的安全特性,但由于内核自身代码极端复杂,CVE漏洞层出不穷。所以要想减少这方面安全风险,就是做好安全隔离,阻断容器内程序对物理机内核的依赖。Google开源的一种gVisor容器沙箱技术就是采用这种思路,gVisor隔离容器和内核之间访问,提供了大部分内核的系统调用,巧妙的将容器内进程的系统调用转为给gViosr的访问。gVisor兼容OCI,与Docker和K8s无缝集成,很方便使用。
CKS之安全沙箱运行容器gVisor
DwanCloud
03-30 2630
gVisor是Google开源的一种容器沙箱技术,其设计初衷是在提供较高安全性的同时,尽量减少对性能的影响。通过创建一个用户空间内核,gVisor拦截并处理容器内应用程序的系统调用,从而实现容器内进程与宿主机内核间交互的隔离。这种设计有效防止了恶意程序利用内核漏洞对宿主机造成影响。gVisor兼容OCI标准,可以无缝集成到Docker和Kubernetes(K8s)中,使其部署和使用变得更为便捷。:增强了容器的安全性,有效隔离了容器与宿主机内核的直接交互。
安全沙箱运行容器:gVisor
教Linux的李老师
05-07 212
限制容器进行对文件系统的访问权限。: 限制容器使用linux内核能力。安全沙箱运行容器:gVisor介绍。
gVisor是什么?可以解决什么问题?
热门推荐
Docker的专栏
09-17 1万+
传统的Container由于隔离性差而不适合作为Sandbox运行不受信工作负载,VM可以提供很好隔离但却额外消耗较多的内存。Google开源的gVisor为我们提供另外...
Kubernetes 最小化微服务漏洞 安全沙箱运行容器gVisor介绍与安装
小楼一夜听春雨,深巷明朝卖杏花
07-14 2287
现在容器通过什么技术实现的隔离 1.使用Linux namespace和cgroup技术隔离容器 2.Linux内核是共享的 使用的容器不是强隔离的环境,和虚拟机是无法媲美的,虚拟机从硬件到软件,再到内核是完全的隔离,而容器只隔离了一部分。 降低容器的安全风险: (1)AppArmor:限制容器中的进程访问系统文件权限 (2)Seccomp:过滤容器当中的进程对linux的系统调用 (3)Capabilities:限制容器中的进程对Linux的内核系统调用能力(root权限进行逻辑划分,针
kubernetes gVisor 安全沙箱运行容器(RuntimeClass)
sxpnp的博客
01-09 1455
如有问题,以你为准
掌握Google GVisor:增强容器安全的开源解决方案
weixin_42584507的博客
10-09 2001
本文还有配套的精品资源,点击获取 简介:Google GVisor 是一个开源项目,旨在为容器提供一个安全层,防止容器逃逸到宿主机。它通过在用户空间执行内核操作,增强了隔离和安全性。GVisor 使用 Runcte 技术拦截容器进程的内核调用,并提供了网络隔离、细粒度权限控制等安全特性。此外,GVisor 支持 Kubernetes 和 Docker,并通过持续的社区支持不...
探秘GVisor:Google构建的安全容器运行环境
gitblog_00008的博客
03-19 709
探秘GVisor:Google构建的安全容器运行环境 【免费下载链接】gvisor 容器应用内核 项目地址: https://gitcode.com/GitHub_Trending/gv/gvisor 在现代...
容器安全新范式:Google gVisor如何彻底改变云原生隔离技术
最新发布
gitblog_00650的博客
09-11 388
你是否还在为容器逃逸漏洞彻夜难眠?当K8s集群中运行着数百个第三方应用时,一个微小的内核漏洞就可能让整个基础设施暴露在攻击之下。Google gVisor作为新一代容器安全隔离平台,通过创新的应用内核架构,在性能与安全性之间找到了完美平衡点。本文将带你深入了解这一革命性技术的工作原理、部署流程及真实生产案例,读完你将获得: - 理解gVisor与传统容器隔离方案的本质区别 - 掌握在Docker/...
Go-gVisor:Google开源的新型沙箱容器运行时环境技术剖析
weixin_36289742的博客
07-13 748
在当今的云计算环境中,容器技术已经成为应用程序打包、部署和运行的标准方式。然而,随着技术的发展,容器安全问题日益突出。gVisor应运而生,旨在解决这些安全挑战。
深入解析Google gVisor容器安全隔离的创新方案
gitblog_00551的博客
06-02 410
深入解析Google gVisor容器安全隔离的创新方案 【免费下载链接】gvisor 容器应用内核 项目地址: https://gitcode.com/GitHub_Trending/gv/gvisor ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值