Sandboxed-Containerは、Dockerランタイムの代替手段です。 Sandboxed-Containerを使用すると、専用カーネルを備えたサンドボックス化された軽量の仮想マシンでアプリケーションを実行できます。 これにより、リソースの分離が強化され、セキュリティが向上します。
Sandboxed-Containerは、信頼できないアプリケーションの分離、障害の分離、パフォーマンスの分離、複数のユーザー間の負荷の分離などのシナリオに適しています。 Sandboxed-Containerは、セキュリティを強化し、アプリケーションのパフォーマンスにわずかな影響を与え、ロギング、モニタリング、および柔軟なスケーリングの点でDockerと同じユーザーエクスペリエンスを提供します。
アーキテクチャ
特徴
Sandboxed-Containerは、サンドボックス化された軽量の仮想マシンに基づいてAlibaba Cloudによって開発されたコンテナ保護ランタイムです。 Sandboxed-Container V1と比較して、Sandboxed-Container V2は同じ分離パフォーマンスを維持し、ポッドオーバーヘッドを90% 削減します。 また、サンドボックス化されたコンテナを3倍高速に開始でき、ホストにデプロイできるポッドの最大数を10倍に増やします。 サンドボックス-コンテナV2は次の主要機能を提供します。
サンドボックス化された軽量の仮想マシンに基づく強力な分離。
アプリケーション管理の面でのrunCとの互換性。
runCに基づくアプリケーションのパフォーマンスの90% に対応する高性能。
Apsara File Storage NAS (NAS) ファイルシステム、Alibaba Cloudディスク、およびOSSバケットは、virtio-fsを介してサンドボックスコンテナーにマウントできます。 NASファイルシステムは、サンドボックスコンテナに直接マウントすることもできます。
ログ、モニタリング、およびストレージの点でrunCと同じユーザーエクスペリエンス。
RuntimeClass (runCおよびrunV) のサポート。 詳細については、「RuntimeClass」をご参照ください。
最小限の技術的スキル要件での使いやすさ。
オープンソースのKata Containersランタイムと比較して安定性が高い。 Kataコンテナーの詳細については、「Kataコンテナー」をご参照ください。