相比于原有Docker运行时,安全沙箱为您提供了一种新的容器运行时选项,可以让您的应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。
安全沙箱特别适合于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离等场景。在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等。
架构图
特点
安全沙箱v2是阿里云全新自研的基于轻量虚拟机技术的安全容器运行时,相比于v1版本,在保持超强隔离性的同时,overhead降低了90%,沙箱启动速度提升了3倍,单机密度提升了10倍。主要特点如下:
基于轻量虚拟机,实现沙箱之间的超强隔离。
具有传统runC容器的应用兼容性。
应用综合性能高,达到runC容器应用性能的90%。
NAS、云盘、OSS Volume支持virtiofs挂载并共享到沙箱模式。其中,NAS也支持直接挂载沙箱模式。
在监控、日志、存储等方面有着runC一致的使用体验。
支持RuntimeClass(runC和runV),请参见RuntimeClass。
技能门槛要求低、简单易用。
相比社区Kata Containers,稳定性更强。有关Kata Containers的详情,请参见Kata Containers。