kubernetes--安全沙箱运行容器gVisor

最新推荐文章于 2025-03-26 00:01:08 发布
最新推荐文章于 2025-03-26 00:01:08 发布
阅读量4k 收藏 2
点赞数
分类专栏: kubenetes 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57911290/article/details/129295261
版权
gVisor是一种由Google开源的容器沙箱技术,它提供了一种安全隔离的方法,阻止容器直接访问Linux内核。gVisor包括Runsc(运行时引擎)、Sentry(系统调用处理器)和Gofer(文件系统代理),与Docker和K8s兼容,增强了容器的安全性。尽管会增加一些系统调用的开销,但已在阿里云等平台得到应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

gVisor介绍

 

       所知,容器的应用程序可以直接访问Linux内核的系统调用,容器在安全隔离上还是比较弱,虽然内核在不断的增强自身的安全特性,但由于内核自身代码极端复杂,CVE漏洞层出不穷。

       所以要想减少这方面安全风险,就是做好安全隔离,阻断容器内程序对物理机内核的依赖。

Google开源的一种gVisor容器沙箱技术就是采用这种思路,gVisor隔离容器和内核之间访问,提供了大部分内核的系统调用,巧妙的将容器内进程的系统调用转为给gViosr的访问。

       gVisor兼容OCI,与Docker和K8s无缝集成,很方便使用

容器中的OCI指的是Open Container Initiative即开放容器计划

项目地址:https://github.com/goole/gvisor

和其他安全防范措施对比:

       seccomp:系统调用过滤

       app armor:限制容器里进程访问文件系统,网络等权限

       capability:限制容器进程拥有的访问内核能力(逻辑上对系统调用做了一个分组)

       非root用户运行容器,减少容器进程拥有的能力

防止容器进程拥有大权限,但只是一定程度,无法避免容器中的进程访问linux内核,而gVisor是在容器和内核之间。避免了容器之间访问内核

缺点:增加对系统调用时间,和开销。但技术相对成熟,消耗不大。阿里云部分产品已加入容器沙箱机制

gVisor架构:

 

gVisor由3个组件构成:

       Runsc是一种Runtime引擎,负责容器的创建与销毁

       Sentry负责容器内程序的系统调用处理

       Gofer负责文件系统的操作代理,IO请求都会由他转接到HOST上

gVisor与Docker集成:

gVisor内核要求:Linux 3.17+

如果用的是CentOS7则需要升级内核,Ubuntu不需要。

CentOS7内核升级步骤(一个节点也行):

【】rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

【】rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm

【】yum --enablerepo=elrepo-kernel install kernel-ml-devel kernel-ml –y

【】awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg  #查看可用内核

【】grub2-set-default 0

【】reboot

【】uname -r

https://blog.csdn.net/inthat/article/details/117074180

Centos 7 rpm升级到指定内核

rpm 去

https://pkgs.org/download/kernel(list_del) 找 kernel-xxx.rpm

https://pkgs.org/download/kernel-devel 找 kernel-devel-xxxx.rpm

yum -y install kernel-3.10.0-1160.el7.x86_64 kernel-devel-3.10.0-1160.el7.x86_64  && grub2-set-default 0 && reboot

下载指定版本用rpm -Uvh安装或者用yum安装

1.准备二进制文件

【】sha512sum -c runsc.sha512

【】rm -f *.sha512

【】chmod a+rx runsc containerd-shim-runsc-v1
【】mv runsc containerd-shim-runsc-v1 /usr/local/bin

2、Docker配置使用gVisor

【】runsc install

# 查看加的配置/etc/docker/daemon.json

 

【】systemctl restart docker

参考文档:https://gvisor.dev/docs/user_guide/install/

 

使用runsc运行容器:

【】docker run -d --runtime=runsc  nginx

使用dmesg验证

docker run  --runtime=runsc  -it  nginx dmesg

进入容器与不指定runtime的容器对比,观察内核,发现vgisor会使用沙箱的独立内核

 

已经测试过的应用和工具:https://gvisor.dev/docs/user_guide/compatibility/

 gVisor与Containerd集成:

1、准备配置(装docker时已经启用)

【】cat > /etc/sysctl.d/99-kubernetes-cri.conf << EOF

net.bridge.bridge-nf-call-iptables = 1

net.ipv4.ip_forward = 1

net.bridge.bridge-nf-call-ip6tables = 1

EOF

【】sysctl -system

2、安装

【】cd /etc/yum.repos.d

【】wget http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

【】yum install -y containerd.io  #此处执行这一条就行前面的都配置好了

装好之后停掉docker只用containerd做容器运行时

3、修改配置文件

• pause镜像地址

• Cgroup驱动改为systemd

 • 增加runsc容器运行时

 • 配置docker镜像加速器

3、修改配置文件

#创建配置文件并修改

https://gvisor.dev/docs/user_guide/containerd/quick_start/

【】mkdir -p /etc/containerd

【】containerd config default > /etc/containerd/config.toml

vi /etc/containerd/config.toml

...

[plugins."io.containerd.grpc.v1.cri"]

sandbox_image = "registry.aliyuncs.com/google_containers/pause:3.2"

...

[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options]

SystemdCgroup = true

...

[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runsc]

runtime_type = "io.containerd.runsc.v1"

 

#runtime类型,增加了runsc是gVios

[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]

endpoint = ["https://b9pmyelo.mirror.aliyuncs.com"]

...

【】systemctl  stop  docker

【】systemctl stop docker.socket

【】systemctl restart containerd

4、配置kubelet使用containerd

【】vi /etc/sysconfig/kubelet

KUBELET_EXTRA_ARGS=--container-runtime=remote --container-runtime-endpoint=unix:///run/containerd/containerd.sock --cgroup-driver=systemd

上面的配置中我们增加了两个参数,--container-runtime 参数是用来指定使用的容器运行时的,可选值为 docker 或者 remote,默认是 docker,由于我们这里使用的是 containerd 这种容器运行时,所以配置为 remote 值(也就是除 docker 之外的容器运行时都应该指定为 remote),然后第二个参数 --container-runtime-endpoint 是用来指定远程的运行时服务的 endpiont 地址的,在 Linux 系统中一般都是使用 unix 套接字的形式,比如这里我们就是指定连接 containerd 的套接字地址

【】systemctl restart kubelet

5、验证

kubectl get node -o wide

 

 #注意之前docker创建的容器containerd无法使用会导致该节点上的pod异常,会重新调度,并下载镜像。非平滑切换

  K8s使用gVisor运行容器:

gvisor与containerd比docker集成更好,K8S目前没有适配docker的gvisor

       RuntimeClass是一个用于选择容器运行时配置的特性,容器运行时配置用于运行Pod中的容器。

创建RuntimeClass:

创建pod:

 

 

依次应用

kubectl get pod nginx-gvisor -o wide

kubectl exec nginx-gvisor -- dmesg

 

【云原生进阶之容器】第五章容器运行时5.6--容器运行时之gVisor
junbaozi的专栏
04-05 527
gVisor是一款新型容器沙箱解决方案,其能够为容器提供安全的隔离措施,同时继续保持远优于虚拟机的轻量化特性。gVisor能够与DockerKubernetes实现集成,从而在生产环境中更轻松地建立起沙箱化容器系统。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged
2401_87198828的博客
09-19 2588
2.测试一,当创建deployment资源时,没有匹配到“securityContext.privileged: true” 字段,说明该容器没有启用特权,可以正常创建,没有违反约束,所以最后可以正常创建deploy。2.再使用runsc创建一个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。1.先用默认的runc创建一个容器,进去查看容器内核版本,现实的是宿主机的内核版本。
CKS1.23 考试题整理(9)-沙箱运行容器gVisor
april_4的博客
04-18 1204
题目 该 cluster使用 containerd作为CRI运行时。containerd的默认运行时处理程序是runc。 containerd已准备好支持额外的运行时处理程序runsc (gVisor)。 使用名为runsc的现有运行时处理程序,创建一个名为untrusted 的RuntimeClass。 更新 namespace server中的所有Pod以在gVisor运行。 您可以在 /cks/gVisor/rc.yaml中找到一个模版清单。 参考 容器运行时类(Runtime Cla
《云原生安全攻防》-- K8s容器安全:使用gVisor构建安全沙箱运行环境
最新发布
03-26 323
传统的容器与宿主机共享同一个内核,一旦内核出现漏洞,攻击者就可以利用内核漏洞进行容器逃逸。为了解决容器和宿主机之间的安全隔离问题,我们可以采用容器沙箱技术,将宿主机和容器进行有效隔离,保护宿主机的安全。而gVisor就像一个中间层,对容器和宿主机内核之间的访问进行隔离,以最大限度地降低容器逃逸漏洞的风险。gVisor是Google的一个开源项目,它为容器提供了一个安全的虚拟化沙箱环境,用于增强容器的安全性并减少对宿主机内核的直接依赖。我们将一起来学习使用gVisor构建一个安全的沙箱运行环境。
CKS之安全沙箱运行容器gVisor
DwanCloud
03-30 2253
gVisor是Google开源的一种容器沙箱技术,其设计初衷是在提供较高安全性的同时,尽量减少对性能的影响。通过创建一个用户空间内核,gVisor拦截并处理容器内应用程序的系统调用,从而实现对容器内进程与宿主机内核间交互的隔离。这种设计有效防止了恶意程序利用内核漏洞对宿主机造成影响。gVisor兼容OCI标准,可以无缝集成到DockerKubernetes(K8s)中,使其部署和使用变得更为便捷。:增强了容器的安全性,有效隔离了容器与宿主机内核的直接交互。
沙盒化容器:是容器还是虚拟机
hanfengzxh的博客
12-07 1050
随着 IT 技术的发展,AI、区块链和大数据等技术提升了对应用毫秒级扩展的需求,开发人员也面临着的功能快速推出的压力。混合云是新常态,数字化转型是保持竞争力的必要条件,虚拟化成为这些挑战的基本技术。 在虚拟化的世界,有两个词耳熟能详:虚拟机和容器。前者是对硬件的虚拟化,后者则更像是操作系统的虚拟化。两者都提供了沙箱的能力:虚拟机通过硬件级抽象提供,而容器则使用公共内核提供进程级的隔离。有很多人将容器看成是“轻量化的虚拟机”,通常情况下我们认为容器是安全的,那到底是不是跟我们想象的一样? 容器:轻量化的虚拟机
gVisor:谷歌发布的一个用于提供安全隔离的轻量级容器运行时沙箱
啊啊啊啊2
05-06 316
\u0026#xD;\n看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!\u0026#xD;\n\u0026#xD;\n\u0026#xD;\n谷歌发布了一种新型沙箱gVisor,可以用于为资源占用较少、不需要运行完整VM的容器提供安全隔离。gVisor的核心是一个使用Go编写的开源用户空间内核,与现有的容器技术相比,其设计做了不同的权衡,它实现了Lin...
Go-gVisorGoogle开源的新型沙箱容器运行时环境
08-14
总结,gVisor作为Google开源的沙箱容器运行时环境,提供了一种新的安全解决方案,帮助保护云环境中的容器免受攻击。它通过用户空间内核实现了安全隔离,同时也保持了与现有容器生态的兼容性。然而,使用gVisor时也...
[Kubernetes] 容器运行时 Container Runtime
959
06-09 1712
容器运行时 Container Runtime
开源项目-google-gvisor.zip
09-17
总的来说,gVisor通过其独特的沙箱容器技术,为云原生应用提供了更加安全的运行环境。它不仅降低了容器化应用的安全风险,还为那些寻求更高安全级别的组织提供了新的解决方案。对于任何关注容器安全的开发者或运维...
containerd与安全沙箱Kubernetes初体验
阿里云云栖号
10-29 1588
containerd是一个开源的行业标准容器运行时,关注于简单、稳定和可移植,同时支持Linux和Windows。2016年12月14日,Docker公司宣布将Docker Engine的核心组件 containerd 捐赠到一个新的开源社区独立发展和运营。阿里云,AWS, Google,IBM和Microsoft作为初始成员,共同建设 containerd 社区。2017年3月,Docker...
gVisor使用探索
qq_40711766的博客
12-28 4421
容器虽然带来了高效快捷的虚拟化,但是由于共用内核,容器的安全性也是最受关注的。gVisor是google引入的一套全新的容器安全解决方案,重新实现容器进程的每一个系统调用,其性能相比runc等下降了不少。本文主要介绍gVisor的基本概念及在docker中使用gvisor运行容器
kubernetes gVisor 安全沙箱运行容器(RuntimeClass)
sxpnp的博客
01-09 1298
如有问题,以你为准
k8s学习-CKS真题-Runtime设置gVisor
关注网络安全、云原生安全
04-08 2005
由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置。添加以下内容到配置中,与runc对齐。重启containerd。
沙盒化容器:是容器还是虚拟机?
easylife206的专栏
05-29 741
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !随着 IT 技术的发展,AI、区块链和大数据等技术提升了对应用毫秒级扩展的需求,开发人员也面临着的功能快速推出的压力。混合云是新常态,数字化转型是保持竞争力的必要条件,虚拟化成为这些挑战的基本技术。在虚拟化的世界,有两个词耳熟能详:虚拟机和容器。前者是对硬件的虚拟化,后者则更像是操作系统的虚...
gVisor是什么?可以解决什么问题?
Docker的专栏
09-17 9741
传统的Container由于隔离性差而不适合作为Sandbox运行不受信工作负载,VM可以提供很好隔离但却额外消耗较多的内存。Google开源的gVisor为我们提供另外...
数字化的一切都会在安全沙箱里面
凡泰极客Blog
10-21 1225
无论在现实世界还是在虚拟世界,”信任“都变的越来越稀缺,而病毒则变得越来越猖獗。不幸的是,病毒有数字化的版本,信任却没有。在数字世界,”零信任“是企业内外、企业之间唯一的技术合作原则。未来一切,都会运行在某种形态的安全沙箱里,”隔离“,就是数字化时代的常态。
gvisor实现的容器中启动新内核
inquisiter
08-02 732
gvisor gvisor是google发布的安全容器gVisor 工作的核心,在于它为应用进程(用户容器),启动了一个名叫 Sentry 的进程。 而 Sentry 进程的主要职责,就是提供一个传统的操作系统内核的能力,即:运行用户程序,执行系统调用。所以说,Sentry 并不是使用 Go 语言重新实现了一个完整的 Linux 内核,而只是一个对应用进程“冒充”内核的系统组件。(这段是抄的) 作为安全容器,利用容器中的内核来隔离大部分内核攻击,确实是一个不错的想法,然而这个新内核属于定制内核,估计很多
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值