Можно ли использовать контейнеры Kata в качестве песочницы для запуска ненадежного кода?

Question

Контейнеры Kata пытаются обезопасить контейнеры, обеспечивая большую изоляцию.

облегченные виртуальные машины (ВМ), которые работают и работают как контейнеры, но обеспечивают изоляцию рабочей нагрузки и преимущества безопасности для ВМ.

Если я создаю игровую площадку / кодовую скрипку (что-то вроде ideone ), достаточно ли они безопасны для компиляции и запуска ненадежного кода?

Это хорошее / предполагаемое использование для этого типа контейнеров?

Answer 1

Любой тип рабочей нагрузки может потенциально использоваться Kata Containers , как обычные контейнеры. Идея, лежащая в их основе, заключается в обеспечении изоляции виртуальной машины, которую вы не получаете с обычными контейнерами. Вы можете использовать Kata Container с Docker и Kubernetes .

Вы можете добиться достойного уровня изоляции с помощью обычных контейнеров, используя такие вещи, как seccomp , SELinux , Capabilities и / или AppArmor но это может быть довольно сложно. Kata Containers предлагает более простую альтернативу этому.

Answer 2

Может использоваться, но это не самый безопасный метод.
Я думаю, gVisor будет лучшим вариантом для использования в качестве песочницы.
В Контейнерная технология к операционной системе хоста можно обращаться изнутри контейнера, и она не защищена от вредных манипуляций со стороны.
То же самое верно для виртуальных машин и гипервизоров или хост-операционных систем. Поэтому можно предположить, что те же проблемы могут быть справедливы для контейнеров Kata и базового гипервизора.