gVisor是用于容器的用户空间内核。它限制了应用程序可以访问的主机内核表面,而不会取消对它所期望的所有特性的访问。不像现有的沙盒技术,如虚拟硬件(KVM和Xen)或基于规则的执行(seccomp,SELinux和AppArmor对), gVisor采用了一种独特的容器沙盒方法,它拦截应用程序系统调用并充当客户内核,而不需要通过虚拟化硬件进行转换。gVisor包含一个开放货柜计划(本处)运行时,称为runsc集成码头工人并提供实验支持Kubernetes.gVisor是一个相对较新的项目,我们建议根据您的容器安全情况对其进行评估。