В настоящее время Cloud Run (полностью управляемый) сам работает в самой изолированной программной среде gVisor, поэтому его поддержка низкоуровневых API-интерфейсов Linux для создания дополнительных контейнерных сред с использованием cgroups или Linux API-интерфейсов пространства имен, вероятно, будет невозможна.
Однако, поскольку gVisor технически является технологией песочницы в пользовательском пространстве (хотя я не уверен, какой уровень привилегий ему требуется), вы можете запустить песочницу gVisor внутри gVisor, хотя я бы не стал мои надежды высоки, так как он, вероятно, не предназначен для этого. Я предполагаю, что песочница gVisor не обеспечивает возможности ptrace для работы вложенных песочниц, хотя вы, вероятно, можете задать это в собственном репозитории gVisor GitHub.
Для такого случая использования я рекомендую проверить Cloud Запуск для Anthos в GKE, он аналогичен разработке для Cloud Run, но ваши приложения запускаются на узлах GKE (которые являются виртуальными машинами GCE), которые имеют полный набор системных вызовов Linux. Поскольку Kubernetes podspe c доступен там, вы можете создавать привилегированные контейнеры и запускать в них виртуальные машины и т. Д. c.
Обычно сами контейнеры должны быть песочницей, поэтому попытайтесь создать дополнительные песочницы ( , как вы спрашивали ранее ) будет много работы, зависящей от платформы, даже если вы можете запустить ее как-нибудь.