全部产品
Search
文档中心

容器服务 Kubernetes 版 ACK:安全沙箱概述

更新时间:Apr 03, 2024

相比于原有Docker运行时,安全沙箱为您提供了一种新的容器运行时选项,可以让您的应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。

安全沙箱特别适合于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离等场景。在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等。

image

架构图

image

特点

安全沙箱v2是阿里云全新自研的基于轻量虚拟机技术的安全容器运行时,相比于v1版本,在保持超强隔离性的同时,overhead降低了90%,沙箱启动速度提升了3倍,单机密度提升了10倍。主要特点如下:

  • 基于轻量虚拟机,实现沙箱之间的超强隔离。

  • 具有传统runC容器的应用兼容性。

  • 应用综合性能高,达到runC容器应用性能的90%。

  • NAS、云盘、OSS Volume支持virtiofs挂载并共享到沙箱模式。其中,NAS也支持直接挂载沙箱模式。

  • 在监控、日志、存储等方面有着runC一致的使用体验。

  • 支持RuntimeClass(runC和runV),请参见RuntimeClass

  • 技能门槛要求低、简单易用。

  • 相比社区Kata Containers,稳定性更强。有关Kata Containers的详情,请参见Kata Containers