在gVisor中运行Docker容器的完整指南

于 2025-06-02 09:05:13 发布
阅读量395 收藏 3
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00600/article/details/148375698

在gVisor中运行Docker容器的完整指南

gvisor 容器应用内核 gvisor 项目地址: https://gitcode.com/gh_mirrors/gv/gvisor

前言

gVisor是一个由Google开发的开源容器运行时,它通过提供一个用户空间内核来增强容器隔离性。本文将详细介绍如何在gVisor环境中运行Docker容器,这对于需要更高安全隔离级别的容器应用场景尤为重要。

gVisor与Docker的基本概念

gVisor的核心特点

gVisor通过实现一个用户空间内核(Sentry)来拦截和处理系统调用,为容器提供额外的安全层。与传统的容器运行时相比,gVisor能够:

  • 减少内核攻击面
  • 提供更强的进程隔离
  • 支持多种容器编排平台

Docker在gVisor中的运行机制

当Docker运行在gVisor环境中时,实际上是在gVisor的沙箱内运行Docker守护进程。这意味着:

  1. 外层由gVisor提供第一层隔离
  2. 内层由Docker提供第二层容器化
  3. 形成"容器中的容器"架构

环境配置

关键配置要求

要让Docker在gVisor中正常运行,必须启用raw socket支持。这是因为Docker守护进程需要这种能力来管理容器网络。配置方法如下:

  1. 编辑Docker守护进程配置文件
  2. 添加或修改runsc运行时配置
  3. 确保包含--net-raw参数

具体配置步骤

{
    "runtimes": {
        "runsc": {
            "path": "/usr/local/bin/runsc",
            "runtimeArgs": [
                "--net-raw"
            ]
        }
    }
}

配置完成后需要重启Docker服务使更改生效。

实践教程

准备基础镜像

首先需要构建一个包含Docker的gVisor容器镜像:

docker build -t docker-in-gvisor images/basic/docker

启动gVisor沙箱

由于Docker需要多种Linux能力,我们建议在初始测试时授予所有能力:

docker run --runtime runsc -d --rm --cap-add all --name docker-in-gvisor docker-in-gvisor

技术说明:这些能力是授予沙箱内Docker守护进程的,而不是gVisor本身需要的

进入沙箱环境

docker exec -it docker-in-gvisor bash

构建并运行容器

在沙箱内,我们可以像常规环境一样使用Docker。以下是一个完整的示例:

  1. 创建项目目录
  2. 编写Dockerfile
  3. 构建镜像
  4. 运行容器
mkdir whalesay && cd whalesay
cat > Dockerfile <<EOF
FROM ubuntu

RUN apt-get update && apt-get install -y cowsay curl
RUN mkdir -p /usr/share/cowsay/cows/
RUN curl -o /usr/share/cowsay/cows/docker.cow https://raw.githubusercontent.com/docker/whalesay/master/docker.cow
ENTRYPOINT ["/usr/games/cowsay", "-f", "docker.cow"]
EOF

docker build -t whalesay .
docker run -it --rm whalesay "Hello from gVisor!"

高级用法

特权容器支持

在gVisor沙箱内,你甚至可以运行特权容器:

docker run -it --privileged --rm whalesay "Privileged in gVisor"

网络配置选项

gVisor支持以下Docker网络驱动:

  • 主机网络驱动(host)
  • 桥接网络驱动(bridge)

性能考量

需要注意的是,由于gVisor的额外隔离层,在gVisor中运行Docker容器会有一定的性能开销,主要体现在:

  1. 系统调用需要经过额外转换
  2. 网络I/O性能略有下降
  3. 启动时间稍长

安全最佳实践

对于生产环境,建议:

  1. 仅授予必要的Linux能力
  2. 定期更新gVisor版本
  3. 监控沙箱资源使用情况
  4. 考虑使用seccomp等额外安全机制

总结

通过本教程,我们展示了如何在gVisor安全沙箱中运行Docker容器。这种架构特别适合需要强隔离的安全敏感场景,如多租户环境、不可信代码执行等。虽然会带来一定的性能开销,但换取的是显著增强的安全边界。

gvisor 容器应用内核 gvisor 项目地址: https://gitcode.com/gh_mirrors/gv/gvisor

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

【云原生进阶之容器】第五章容器运行时5.2节--容器运行时接口规范CRI
junbaozi的专栏
04-01 568
在 CRI 出现之前,Docker 作为第一个容器运行时,Kubelet 通过内嵌的 dockershim 操作 Docker API 来操作容器,进而达到一个面向终态的效果。在这之后,又出现了一种新的容器运行时rkt与hyber.sh。于是便有了将容器运行时的操作抽象出一个接口,将 Kubelet 代码与具体的容器运行时的实现代码解耦开,这就是Container Runtime Interface (CRI)。
kubernetes--安全沙箱运行容器gVisor
m0_57911290的博客
03-02 4124
所知,容器的应用程序可以直接访问Linux内核的系统调用,容器在安全隔离上还是比较弱,虽然内核在不断的增强自身的安全特性,但由于内核自身代码极端复杂,CVE漏洞层出不穷。所以要想减少这方面安全风险,就是做好安全隔离,阻断容器内程序对物理机内核的依赖。Google开源的一种gVisor容器沙箱技术就是采用这种思路,gVisor隔离容器和内核之间访问,提供了大部分内核的系统调用,巧妙的将容器内进程的系统调用转为给gViosr的访问。gVisor兼容OCI,与Docker和K8s无缝集成,很方便使用。
Docker中调用cgroups技术,gvisor中资源限制技术
远方雪的专栏
09-18 692
Docker 是一个开源的容器化平台,它允许开发者打包应用及其依赖到一个轻量级、可移植的容器中,然后可以在任何支持 Docker 的机器上运行这个容器Docker 使用 Linux 容器(LXC)技术,但它提供了比传统 LXC 更简单的操作界面。Containerd 是一个容器运行时,它是 Docker 的核心组件之一,但也可以独立于 Docker 使用。Containerd 负责容器的生命周期管理,包括镜像管理、容器的创建、执行、暂停、停止等。
CKS之安全沙箱运行容器gVisor
DwanCloud
03-30 2340
gVisor是Google开源的一种容器沙箱技术,其设计初衷是在提供较高安全性的同时,尽量减少对性能的影响。通过创建一个用户空间内核,gVisor拦截并处理容器内应用程序的系统调用,从而实现对容器内进程与宿主机内核间交互的隔离。这种设计有效防止了恶意程序利用内核漏洞对宿主机造成影响。gVisor兼容OCI标准,可以无缝集成到Docker和Kubernetes(K8s)中,使其部署和使用变得更为便捷。:增强了容器的安全性,有效隔离了容器与宿主机内核的直接交互。
gVisor使用探索
qq_40711766的博客
12-28 4512
容器虽然带来了高效快捷的虚拟化,但是由于共用内核,容器的安全性也是最受关注的。gVisor是google引入的一套全新的容器安全解决方案,重新实现容器进程的每一个系统调用,其性能相比runc等下降了不少。本文主要介绍gVisor的基本概念及在docker中使用gvisor运行容器
k8s学习-CKS真题-Runtime设置gVisor
关注网络安全、云原生安全
04-08 2034
由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置。添加以下内容到配置中,与runc对齐。重启containerd。
k8s容器运行时环境选型指南
寂夜了无痕的博客
02-21 1016
k8s运行时环境选择
gVisor:开源沙箱化容器运行时技术介绍
1. **容器技术**: gvisor是谷歌推出的容器运行时环境,与Docker容器技术紧密相关。了解gvisor首先需要对容器有基本的认识。容器是一种轻量级、可移植、自给自足的软件打包技术,它允许应用程序及其所有依赖项被打包...
容器运维利器:crictl、ctr 和 nerdctl 使用指南与对比分析
小杨同学的博客
05-19 937
ctr、crictl 和 nerdctl 容器客户端工具对比分析使用。
Docker微服务架构】:容器化微服务的设计与实践的权威指南
本文旨在全面介绍微服务架构及其与Docker容器技术的结合应用。首先,概述了微服务架构的基本概念,并对Docker的核心技术及其容器管理进行了深入探讨。随后,文章详细阐述了微服务的容器化策略、Docker Compose的使用...
gvisor直接运行在linux,linuxea:dockergVisor沙箱
weixin_39871378的博客
05-01 196
容器彻底改变了开发,打包和部署应用程序的方式。但是,暴露给容器的系统表面足够多,以至于很多安全人员并不建议使用。越来越希望运行更多应用担任更多的角色,同时也出现不同的安全问题,这引发了对沙盒容器 - 容器的新兴趣,这些容器有助于在主机操作系统和容器运行的应用程序之间提供安全的隔离边界。为此,我们想介绍一种新型沙箱gVisor,它有助于为容器提供安全隔离,同时比虚拟机(VM)更轻量级。gVisor...
谷歌新作gVisor:VM容器融合技术已经到来
omnispace的博客
06-06 8705
5 月 2 日,谷歌发布了一款新型的沙箱容器运行gVisor,号称能够为容器提供更安全的隔离,同时比 VM 更轻量。容器基于共享内核,安全性是大家关注的一大要点,gVisor 的发布势必将引来更多对容器隔离性的关注。那么 gVisor 在技术上如何实现隔离,其性能如何?隔壁阿里巴巴已经有人为你探索了 gVisor 的架构和组件,并作了性能分析。   背景   gVisor 的开源为安全容器的实...
gVisor与Containerd集成
qq_36270681的博客
01-15 649
gVisor内核要求:Linux 3.17+,如果用的是CentOS7则需要升级内核,Ubuntu不需要。 rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm yum --enablerepo=elrepo-kernel install kernel-ml-devel kernel-ml
gVisor是什么?可以解决什么问题?
Docker的专栏
09-17 9799
传统的Container由于隔离性差而不适合作为Sandbox运行不受信工作负载,VM可以提供很好隔离但却额外消耗较多的内存。Google开源的gVisor为我们提供另外...
直播 | gVisor初探
Docker的专栏
09-04 736
分享时间:9月4日 20:30分享主题:gVisor初探分享人介绍:王重山,深圳米筐科技有限公司运维总监。2014年底加入米筐,先后参与米筐在线平台以及运维系统的建设,在...
谷歌黑科技:gVisor轻量级容器运行时沙箱
weixin_33953249的博客
05-29 309
2019独角兽企业重金招聘Python工程师标准>>> ...
STM32F103C8T6与HC-06、PC端及ROS串口通信测试
最新发布
06-20
资源下载链接为: https://pan.quark.cn/s/502b0f9d0e26 在进行STM32F103C8T6与HC - 06蓝牙模块、PC端以及ROS(机器人操作系统)的串口通信测试时,我们编写了以下程序。 硬件连接 将STM32F103C8T6的USART1的TX(PA9)引脚与HC - 06的RX引脚相连,同时将USART1的RX(PA10)引脚与HC - 06的TX引脚相连,以实现两者之间的串口通信。 另外,通过串口转USB模块(如CH340等)将STM32F103C8T6与PC端连接起来,方便在PC端进行通信数据的发送和接收。 程序功能 初始化USART1,设置波特率为9600,用于与HC - 06通信。同时,初始化USART2(连接串口转USB模块),波特率同样设置为9600,用于与PC端通信。 在主循环中,STM32F103C8T6不断检测USART1和USART2是否有数据接收。当从USART1(HC - 06)接收到数据时,将数据暂存到一个缓冲区中,然后通过USART2发送给PC端。反之,当从USART2(PC端)接收到数据时,也暂存到缓冲区,再通过USART1发送给HC - 06。这样就实现了STM32F103C8T6作为中间节点,将HC - 06与PC端的数据进行转发。 硬件连接 HC - 06蓝牙模块通过串口与STM32F103C8T6连接,如上所述。 程序功能(蓝牙通信部分) HC - 06在默认状态下会自动进入配对模式,等待与手机或其他蓝牙设备配对。当配对成功后,它会将从蓝牙设备接收到的数据通过串口发送给STM32F103C8T6。同时,它也会将STM32F103C8T6发送过来的数据转发给已配对的蓝牙设备。在本测试程序中,主要关注其与STM32F103C8T6之间的串口通信功能,确保数据能够正确地在两者之间传输。 硬件连接 通过串口
【大数据技术】大数据特性、技术及应用领域综述:从数据采集到价值转化的全流程解析
06-20
内容概要:本文详细介绍了大数据的概念、特点、技术及应用领域。大数据指规模庞大且结构复杂的数据集合,具有体量大、多样性、时效性和可变性的特点。大数据技术涵盖数据采集、存储、处理、分析和可视化五个方面,分别对应不同技术和工具,如HDFS、NoSQL数据库、Hadoop、Spark等。大数据在金融、医疗、零售和互联网等多个领域有广泛应用,帮助各行业进行风险控制、疾病预测、销售趋势预测等工作。; 适合人群:对大数据技术感兴趣的初学者、希望了解大数据基本概念及其应用的人士。; 使用场景及目标:①了解大数据的基本定义和特征;②掌握大数据技术栈,包括数据采集、存储、处理、分析和可视化;③探索大数据在不同行业的具体应用场景。; 其他说明:大数据技术的发展正深刻影响着各个行业,学习和掌握相关技能不仅可以提升个人能力,还能为企业创造更多价值。建议读者结合实际案例深入理解大数据的应用,同时关注新技术的发展动态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尚绮令Imogen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值