Esta página se tradujo automáticamente con la API de traducción de Google Cloud.
Algunas páginas se pueden leer mejor en su totalidad.
Kubernetes es un sistema de código abierto para automatizar la implementación, el escalado y la gestión de aplicaciones en contenedores. gVisor es un espacio aislado de tiempo de ejecución que utiliza características del núcleo para aislar procesos y mejorar la seguridad.
gVisor es un espacio aislado de tiempo de ejecución que utiliza características del núcleo para aislar procesos y mejorar la seguridad. Está diseñado para ejecutar código no confiable en un entorno seguro. Google Cloud Platform utiliza gVisor y está disponible como código abierto.
gVisor es un programa de espacio de usuario que se ejecuta sobre el kernel de Linux. Proporciona una vista limitada del sistema operativo y los recursos subyacentes. Esto limita la cantidad de daño que puede causar un programa malicioso o con errores.
gVisor no es una máquina virtual completa. No proporciona su propio kernel o controladores de dispositivo. En su lugar, utiliza el núcleo y los controladores del sistema operativo subyacente. Esto hace que gVisor sea más liviano y más fácil de usar que una máquina virtual completa.
gVisor utiliza funciones del kernel de Linux para aislar procesos. Estas funciones incluyen espacios de nombres, cgroups y seccomp-bpf.
Los espacios de nombres proporcionan aislamiento entre procesos. Permiten que los procesos tengan su propia vista del sistema, incluido su propio sistema de archivos y red.
Los Cgroups limitan los recursos que puede utilizar un proceso. Se pueden usar para limitar la cantidad de CPU, memoria y espacio en disco que puede usar un proceso.
Seccomp-bpf es una función de seguridad que permite aislar los procesos. Filtra las llamadas del sistema y bloquea las peligrosas.
Kubernetes usa gVisor para mejorar la seguridad de los contenedores. De forma predeterminada, los contenedores comparten el mismo kernel que el sistema operativo host. Esto puede ser un riesgo de seguridad porque un contenedor malicioso puede acceder al sistema operativo del host.
gVisor proporciona un tiempo de ejecución de espacio aislado para contenedores. Esto aísla los contenedores del sistema operativo host y mejora la seguridad.
Puede usar Kubernetes con gVisor agregando el indicador --runtime=runsc
al comando kubelet
. Esto usará gVisor como tiempo de ejecución para contenedores.
También puede usar Kubernetes con gVisor agregando el indicador --runtime-provider=runsc
al comando kubelet
. Esto usará gVisor como proveedor de tiempo de ejecución para contenedores.
Puede instalar Kubernetes con gVisor usando un administrador de paquetes como apt
o yum
.
apt install kubelet=1.10.11-00 runc=1.0.0-rc5-3
yum install kubelet-1.10.11-0 runc-1.0.0-rc5-3
Puede actualizar Kubernetes con gVisor usando un administrador de paquetes como apt
o yum
.
apt upgrade kubelet=1.10.11-00 runc=1.0.0-rc5-3
yum upgrade kubelet-1.10.11-0 runc-1.0.0-rc5-3
Puede configurar Kubernetes con gVisor agregando el indicador --runtime=runsc
al comando kubelet
. Esto usará gVisor como tiempo de ejecución para contenedores.
También puede usar Kubernetes con gVisor agregando el indicador --runtime-provider=runsc
al comando kubelet
. Esto usará gVisor como proveedor de tiempo de ejecución para contenedores.
Puede desinstalar Kubernetes con gVisor usando un administrador de paquetes como apt
o yum
.
apt remove kubelet runc
yum remove kubelet runc
Kubernetes con gVisor es una forma segura de ejecutar contenedores. gVisor proporciona un tiempo de ejecución de espacio aislado para contenedores. Esto aísla los contenedores del sistema operativo host y mejora la seguridad.