GVISOR.是一个用于容器的用户空间内核。它限制了应用程序可访问的主机内核表面,而不会脱离它预期的所有功能。与现有的沙箱技术不同,如虚拟化硬件(KVM和Xen.)或基于规则的执行(章词那Selinux.和Apparmor.),GVISOR通过拦截应用系统调用并作为访客内核来实现一个不同的方法,而无需通过虚拟化硬件进行翻译。GVISOR包括A.打开集装箱计划(OCI)运行时称为runsc与Docker.并提供实验支持Kubernetes.。GVISOR是一个相对较新的项目,我们建议您为您的容器安全景观评估它。