gVisor使用探索

已于 2022-04-29 17:15:03 修改
阅读量3.5k 收藏 5
点赞数 3
文章标签: 容器 docker runtime
于 2021-12-28 17:38:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40711766/article/details/122193723
版权

目录

前言

容器虽然带来了高效快捷的虚拟化,但是由于共用内核,容器的安全性也是最受关注的。gVisor是google引入的一套全新的容器安全解决方案,重新实现容器进程的每一个系统调用,其性能相比runc等下降了不少。本文主要介绍gVisor的基本概念及使用。

提示:以下是本篇文章正文内容,下面案例可供参考

一、gVisor引入背景

容器主要使用Linux kernel提供的name space和cgroup机制进行了访问控制及资源隔离,相比裸金属方式的虚拟化,由于容器共用hostos kernel,其性能获得较大提升,但是共享kernel带来的最大问题就是安全性无法获得保障。google引入了gVisor,其在name space和cgroup隔离的基础上添加了一层防护,旨在提供进程级的轻量虚拟化。

二、gVisor简介

1.架构图

gVisor提供了两种方式对容器进程的系统调用进行了拦截实现,它包含以下几个进程:
gVisor架构图

2.gVisor组件简介

1. runsc: 遵循OCI(Open Container Initiative)标准的容器runtime,它可以在docker或者kubernetes中使用。
2. Sentry:gVisor中最大的组件,可以将它视为“用户态内核”,Sentry实现了应用程序所需的所有内核功能,包括:系统调用、信号传递、内存管理和页面错误逻辑、线程模型等等。
3. Gofer:Gofer是一个标准主机进程,由每个容器启动,并通过套接字或共享内存通道通过9P协议与Sentry进行通讯。Sentry进程在受限制的seccomp容器中启动,无法访问文件系统资源。Gofer协调所有对这些资源的访问,提供额外的隔离级别。
4. Application: OCI运行时bundle中的普通Linux二进制文件,gVisior旨在提供一个与Linux v4.4相同的运行环境,因此应用程序应该能够无修改运行,gVisor目前没有实现每个系统调用,/proc、/sys文件系统也没有实现。

三、使用

1.安装

官方安装脚本:

(
  set -e
  ARCH=$(uname -m)
  URL=https://storage.googleapis.com/gvisor/releases/release/latest/${ARCH}
  wget ${URL}/runsc ${URL}/runsc.sha512 \
    ${URL}/containerd-shim-runsc-v1 ${URL}/containerd-shim-runsc-v1.sha512
  sha512sum -c runsc.sha512 \
    -c containerd-shim-runsc-v1.sha512
  rm -f *.sha512
  chmod a+rx runsc containerd-shim-runsc-v1
  sudo mv runsc containerd-shim-runsc-v1 /usr/local/bin
)

安装gVisor作为docker的runtime,使用如下命令:

/usr/local/bin/runsc install
sudo systemctl reload docker
docker run --rm --runtime=runsc hello-world

2.配置

runsc使用kvm或者ptrace的方式对系统调用进行拦截,默认ptrace,如果想使用kvm,则需要进行如下配置:

  1. 架构选择
    如果运行的是基于Debian的系统,如Debian或Ubuntu,可以查看/dev/kvm确认模块已经加载。
	Inter CPU:sudo modprobe kvm-intel && sudo chmod a+rw /dev/kvm
	AMD CPU: sudo modprobe kvm-amd && sudo chmod a+rw /dev/kvm

配置docker,通过runsc --platform来选择,修改/etc/docker/daemon.json来设置此参数

{
    "runtimes": {
        "runsc": {
            "path": "/usr/local/bin/runsc",
            "runtimeArgs": [
                "--platform=kvm"
            ]
       }
    }
}
  1. 配置文件系统
    要将主机文件系统与sandbox隔离,可以在整个文件系统的顶部设置一个可写的tmpfs覆盖,所有修改都是对覆盖进行的,保持主机文件系统不变。修改/etc/docker/daemon.json然后重启docker daemon.
{
    "runtimes": {
        "runsc": {
            "path": "/usr/local/bin/runsc",
            "runtimeArgs": [
                "--overlay"
            ]
       }
    }
}
  1. 网络配置
    对于高性能网络应用程序,可以选择禁用用户空间网络堆栈,而使用主机网络堆栈,包括环回,此模式会降低与主机的隔离度。修改/etc/docker/daemon.json
{
   "runtimes": {
       "runsc": {
           "path": "/usr/local/bin/runsc",
           "runtimeArgs": [
               "--network=host"
           ]
      }
   }
}

要将主机和网络与sandbox完全隔离,可以禁用外部网络。sandbox仍将包含netstack提供的环回。
此时配置–network=none即可。

3.go get方式安装

笔者在使用pkgs.org中提供的rpm包直接安装后,使用runsc create容器时报错:

#runsc --platform=ptrace --debug --debug-log=/tmp/runsc-debug.log --strace --log-packets run hello
running container: creating container: waiting for sandbox to start: EOF
#runsc --platform=ptrace --debug --debug-log=/tmp/runsc-debug.log --strace --log-packets -TESTONLY-unsafe-nonroot run hello
#running container: starting container: starting root container: urpc method "containerManager.StartRoot" failed: EOF

随后卸载了rpm包的方式,使用go get重新安装,注意必须要"CGO_ENABLED=0 GO111MODULE=on",否则还是会报错。

#go env -w GO111MODULE=on;go env -w GOPROXY=https://goproxy.cn,direct
#echo "module runsc" > go.mod
GO111MODULE=on go get gvisor.dev/gvisor/runsc@go
CGO_ENABLED=0 GO111MODULE=on sudo -E go build -o /usr/local/bin/runsc gvisor.dev/gvisor/runsc

4.作为docker runtime使用

#sudo runsc install --runtime runsc-debug -- \
 --debug \
 --debug-log=/tmp/runsc-debug.log \
 --strace \
 --log-packets
#cat /etc/docker/daemon.json
"runtimes": {
       "runsc": {
           "path": "/usr/sbin/runsc"
       },
       "runsc-debug": {
           "path": "/usr/sbin/runsc",
           "runtimeArgs": [
               "--debug",
               "--debug-log=/tmp/runsc-debug.log",
               "--strace",
               "--log-packets"
           ]
       }
   }
#systemctl restart docker
#docker pull ubuntu
#docker run -it --runtime=runsc ubuntu bash
root@e2b2f32ea20a:/# ps
 PID TTY          TIME CMD
   1 ?        00:00:00 bash
   7 ?        00:00:00 ps
root@e2b2f32ea20a:/#

使用另外一个终端查看容器信息:

[root@oe2109 ~]# docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
e2b2f32ea20a        ubuntu              "bash"              14 minutes ago      Up 14 minutes                           zen_lovelace
[root@oe2109 ~]# docker inspect e2b2
...
"ShmSize": 67108864,
"Runtime": "runsc"
[root@oe2109 ~]# ps -aux | grep docker
root       11013  0.0  0.8 750412 30340 ?        Sl   14:11   0:00 runsc-gofer --root=/var/run/docker/runtime-runsc/moby --log=/run/docker/containerd/daemon/io.containerd.runtime.v1.linux/moby/e2b2f32ea20ac7a04dea3d89e47da51d6ce571edadeb50c432d71c5801f33100/log.json --log-format=json --log-fd=3 gofer --bundle /var/run/docker/containerd/daemon/io.containerd.runtime.v1.linux/moby/e2b2f32ea20ac7a04dea3d89e47da51d6ce571edadeb50c432d71c5801f33100 --spec-fd=4 --mounts-fd=5 --io-fds=6 --io-fds=7 --io-fds=8 --io-fds=9 --io-fds=10 --apply-caps=false --setup-root=false
nobody     11017  0.0  1.0 1812948 36204 pts/1   Ssl+ 14:11   0:00 runsc-sandbox --root=/var/run/docker/runtime-runsc/moby --log=/run/docker/containerd/daemon/io.containerd.runtime.v1.linux/moby/e2b2f32ea20ac7a04dea3d89e47da51d6ce571edadeb50c432d71c5801f33100/log.json --log-format=json --log-fd=3 boot --bundle=/var/run/docker/containerd/daemon/io.containerd.runtime.v1.linux/moby/e2b2f32ea20ac7a04dea3d89e47da51d6ce571edadeb50c432d71c5801f33100 --controller-fd=4 --mounts-fd=5 --spec-fd=6 --start-sync-fd=7 --io-fds=8 --io-fds=9 --io-fds=10 --io-fds=11 --io-fds=12 --stdio-fds=13 --stdio-fds=14 --stdio-fds=15 --cpu-num 4 --total-memory 3553030144 e2b2f32ea20ac7a04dea3d89e47da51d6ce571edadeb50c432d71c5801f33100

参考资料: https://gvisor.dev/docs/

品小虾
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
proj42-gVisor-on-FreeBSD
03-19
proj42-gVisor-on-FreeBSD 在2018年开源的gVisor是为容器提供高效,多层防御的应用内核。作为一个容器运行时,它提供了云原生安全(防止容器逃逸),弹性资源。gVisor向应用呈现的是Linux syscall API,现在只能运行在Linux内核上,但理论上主机内核不必是Linux,通过其他系统内核(例如FreeBSD / Windows)也能实现相同的能力。这个项目替代为gVisor增加了Linux以外的操作系统支持。 当前项目实现源码: 所属赛道 2021年全国大学生操作系统比赛的“ OS功能设计”赛道 参赛要求 以小组为单位竞赛,最多三人一个小组,且小组成员是来自同一所高校的本科生(2021年Spring学期或之后本科毕业的大一〜大四的学生) 如学生参加了多个项目,参赛学生选择一个自己参加的项目参与评奖 请遵循“ 2021年全国大学生操作系统比赛”的章程和
gVisor是什么?可以解决什么问题?
Docker的专栏
09-17 8916
传统的Container由于隔离性差而不适合作为Sandbox运行不受信工作负载,VM可以提供很好隔离但却额外消耗较多的内存。Google开源的gVisor为我们提供另外...
CKS之安全沙箱运行容器:gVisor
最新发布
DwanCloud
03-30 1105
gVisor是Google开源的一种容器沙箱技术,其设计初衷是在提供较高安全性的同时,尽量减少对性能的影响。通过创建一个用户空间内核,gVisor拦截并处理容器内应用程序的系统调用,从而实现对容器内进程与宿主机内核间交互的隔离。这种设计有效防止了恶意程序利用内核漏洞对宿主机造成影响。gVisor兼容OCI标准,可以无缝集成到Docker和Kubernetes(K8s)中,使其部署和使用变得更为便捷。:增强了容器的安全性,有效隔离了容器与宿主机内核的直接交互。
kata containers and gvisor
04-10
kata container and gvisor 性能对比
开源项目-google-gvisor.zip
09-17
开源项目-google-gvisor.zip,google/gvisor: Sandboxed Container Runtime
安全容器:gVisor、Firecracker、LXC性能对比
文杰的博客
06-26 1368
参考论文,从各个角度比较当前容器安全产品差异
kubernetes--安全沙箱运行容器gVisor
m0_57911290的博客
03-02 3735
所知,容器的应用程序可以直接访问Linux内核的系统调用,容器在安全隔离上还是比较弱,虽然内核在不断的增强自身的安全特性,但由于内核自身代码极端复杂,CVE漏洞层出不穷。所以要想减少这方面安全风险,就是做好安全隔离,阻断容器内程序对物理机内核的依赖。Google开源的一种gVisor容器沙箱技术就是采用这种思路,gVisor隔离容器和内核之间访问,提供了大部分内核的系统调用,巧妙的将容器内进程的系统调用转为给gViosr的访问。gVisor兼容OCI,与Docker和K8s无缝集成,很方便使用
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 3113
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
docker、containerd、runc、shim... 容器技术名词全解析
dillanzhou的博客
05-13 5449
云原生的概念在最近两年得到了广泛的关注,各大云厂商和技术团队都纷纷推出了各种“云原生”的技术和产品。虽然云原生到底包括哪些概念和技术并没有一个公认的答案,但容器技术是云原生的基础和核心应该是现阶段的一个共识。 但是容器技术经过多年的发展和演变,各种实现方案和早期版本相比已经有了巨大的差异,而且仍然在不断演进的过程中。各种组件的产生、随之而来的接口规范、基于接口规范实现的新可选组件让相关的名称和概念更加复杂。新的开发使用者很难全面理解容器相关的各类名词和概念,以及这些名词和概念在真实的容器部署环境中的作用和
gvisor实现的容器中启动新内核
inquisiter
08-02 586
gvisor gvisor是google发布的安全容器。 gVisor 工作的核心,在于它为应用进程(用户容器),启动了一个名叫 Sentry 的进程。 而 Sentry 进程的主要职责,就是提供一个传统的操作系统内核的能力,即:运行用户程序,执行系统调用。所以说,Sentry 并不是使用 Go 语言重新实现了一个完整的 Linux 内核,而只是一个对应用进程“冒充”内核的系统组件。(这段是抄的) 作为安全容器,利用容器中的内核来隔离大部分内核攻击,确实是一个不错的想法,然而这个新内核属于定制内核,估计很多
honeybox:使用gVisor沙箱进行应用程序和恶意软件检查
05-13
蜜盒 Honeybox使用gVisor来检查在沙箱中运行的应用程序。 它将为您提供基于容器的(基于Web的)外壳程序,该容器将在同一页面内跟踪syscall和网络活动。 工作正在进行中 Honeybox正在进行中。 用法
netstack:gVisor的自动化“叉子”,仅包含netstack位,因此go.mod较小。 由脚本而非人维护
03-25
网络堆栈 这是的“叉子”,仅提取“ netstack”网络位,这些位以前在上是独立的。 为什么? 因为并且给尝试将其用作库的人们带来了麻烦。 可以说,Go的工具也应归咎于它:Go使得从gVisor之类的大型模块中使用子集(几个软件包)变得不容易(甚至不可能),而不会受到该依赖模块的其他无关要求的影响。 具体来说, 希望使用gVisor的tcpip网络软件包,该软件包可以工作一段时间,但是有一天,我们碰到了gVisor版本,以获取所需的错误修复程序(来自gVisor的网络相关部分),最终使我们etcd了有新冲突的etcd版本。 为什么? 因为Docker或grpc或Kubernetes或以某种方式依赖etcd的任何东西。 谁知道。 我们花了太长时间试图修复它并放弃了。 我们的解决方案是此存储库,使用将netstack像以前一样从gvisor中 。 贡献 我们不接受捐款。 此仓库不是人
gvisor-tap-vsock:基于gVisor的新网络堆栈
02-11
gvisor-tap-vsock 用纯Go编写的的替代品。 它基于的网络堆栈。 这个怎么运作 互联网 分接网络接口正在VM中运行。 这是默认网关。 用户类型curl redhat.com Linux内核将原始以太网数据包发送到Tap设备。 Tap设备使用将这些数据包发送到主机上的进程 主机上的进程同时维护内部(主机到VM)和外部(主机到Internet端点)连接。 它使用常规的syscall来连接到外部端点。 这与相同。 暴露港口 主机上的进程绑定了端口80。 每次客户端发送http请求时,该过程都会创建适当的以太网数据包并将其发送到VM。 分接设备接收数据包并将其注入内核。 http服务器接收请求并发送回响应。 建立 make 跑 主办 Windows先决条件 $service = New-Item -Path "HKLM:\SOFTWARE\Microsoft\Wi
gvisor:容器的应用程序内核
02-02
什么是gVisor? gVisor是一个用Go编写的应用程序内核,它实现了Linux系统表面的很大一部分。 它包括一个称为runsc的运行时,它在应用程序和主机内核之间提供隔离边界。 runsc运行时与Docker和Kubernetes集成在一起,...
kubernetes gVisor 安全沙箱运行容器RuntimeClass)
sxpnp的博客
01-09 1022
如有问题,以你为准
探秘GVisor:Google构建的安全容器运行环境
gitblog_00008的博客
03-19 365
探秘GVisor:Google构建的安全容器运行环境 项目地址:https://gitcode.com/google/gvisor 在现代云原生应用环境中,容器已经成为部署和管理应用程序的标准方式。然而,随着其普及,安全性和隔离性问题日益受到重视。这就是Google推出GVisor的原因。GVisor是一个开源项目,它提供了一种安全的、基于沙箱的容器运行时环境,旨在为你的应用程序添加额外的安全层。...
谷歌黑科技:gVisor轻量级容器运行时沙箱
weixin_33953249的博客
05-29 252
2019独角兽企业重金招聘Python工程师标准>>> ...
google netstack 数据链路层分析
一墨的博客
08-24 1466
netstack ==================================> 网络协议栈main函数路径:--src\connectivity\network\netstack\main.go main() //--分析关键步骤 stk := tcpipstack.New([]string{ipv4.ProtocolName,ipv6.ProtocolName,arp.P...
LwIP C TCP/IP Stack 正确的TCP连接数据发送姿态
liulilittle的博客
02-16 2770
注意,本文提供的代码来自本人搞起耍的 netstack,有一些类似 tun2socks LwIP 实现,目前不会考虑集成到产品上面作为可选 TCP/IP 网络栈,当然不会是基于 go-gvisor、go-netstack 栈,C#/C++ 搞的无第三方代码专用 TCP/IP 网络栈。
k8s 实现互联网安全
08-17
在Kubernetes中实现互联网安全是一个重要的任务,以下是一些可以帮助您加强Kubernetes集群安全性的措施: 1. 访问控制:使用Kubernetes的RBAC(Role-Based Access Control)功能,限制和管理用户对集群资源的访问权限。为每个用户分配适当的角色和权限,确保只有授权的用户可以进行操作。 2. 网络策略:使用网络策略(Network Policies)来定义和限制Pod之间的网络通信。通过配置网络策略,您可以控制Pod之间的流量,只允许特定的网络请求。 3. 加密通信:为了保护集群中的通信安全,您可以启用TLS(Transport Layer Security)加密来保护API服务器和ETCD集群的通信。您还可以使用Ingress或Service Mesh来提供加密的入口和服务之间的通信。 4. 容器镜像安全:确保使用受信任和经过验证的容器镜像。您可以使用容器镜像扫描工具来检查容器镜像中的漏洞和安全问题,并定期更新和维护镜像。 5. 安全审计和日志记录:启用Kubernetes的审计功能,并将审计日志记录到安全的位置。这样可以跟踪和监控对集群的操作,并检测潜在的安全问题。 6. 容器运行时安全:确保您的容器运行时环境是安全的,并采取措施来减少容器之间的攻击面。例如,使用容器隔离技术如gVisor或Kata Containers来提供额外的安全层。 7. 安全更新和漏洞管理:保持集群中的组件和依赖项处于最新状态,及时修复已知的漏洞和安全问题。定期进行安全补丁更新,并监控相关的安全公告。 这些是一些常见的Kubernetes集群安全措施,但实际中还有更多的安全性实践可以采用。建议您参考Kubernetes官方文档中关于集群安全的详细指南,并根据您的具体需求和环境做出相应的安全配置。如有任何问题,请随时提问!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值