gVisor是容器的用户空间内核。它限制了应用程序可访问的主机内核表面,而不取消对它所期望的所有特性的访问。不同于现有的沙箱技术,如虚拟化硬件(KVM和Xen)或基于规则的执行(seccomp,SELinux和AppArmor对), gVisor采用了一种独特的容器沙箱方法,它拦截应用程序系统调用并充当客户内核,而不需要通过虚拟化硬件进行转换。gVisor包含一个开放货柜措施(本处)运行时称为runsc集成码头工人并提供实验支持Kubernetes.gVisor是一个相对较新的项目,我们建议对您的容器安全前景进行评估。