gVisor 是一款新型沙箱解決方案，其能夠?yàn)槿萜魈峁┌踩母綦x措施，同時(shí)繼續(xù)保持遠(yuǎn)優(yōu)于虛擬機(jī)的輕量化特性。gVisor能夠與Docker及Kubernetes實(shí)現(xiàn)集成，從而在生產(chǎn)環(huán)境中更輕松地建立起沙箱化容器系統(tǒng)。

gVisor能夠在保證輕量化優(yōu)勢(shì)的同時(shí)，提供與虛擬機(jī)類(lèi)似的隔離效果。gVisor的核心為一套運(yùn)行非特權(quán)普通進(jìn)程的內(nèi)核，且支持大多數(shù)Linux系統(tǒng)調(diào)用。該內(nèi)核使用Go編寫(xiě)，這主要是考慮到Go語(yǔ)言擁有良好的內(nèi)存管理機(jī)制與類(lèi)型安全性。與在虛擬機(jī)當(dāng)中一樣，gVisor沙箱中運(yùn)行的應(yīng)用程序也將獲得自己的內(nèi)核與一組虛擬設(shè)備——這一點(diǎn)與主機(jī)及其它沙箱方案有所區(qū)別。

gVisor通過(guò)在用戶(hù)空間內(nèi)攔截應(yīng)用程序系統(tǒng)調(diào)用并充當(dāng)訪(fǎng)客內(nèi)核，gVisor能夠提供強(qiáng)大的隔離邊界。而與需要一組固定資源的虛擬機(jī)不同，gVisor能夠隨時(shí)適應(yīng)不斷變化的資源條件，這一點(diǎn)更像是普通Linux進(jìn)程。gVisor很像是一種超虛擬化操作系統(tǒng)，其與完整虛擬機(jī)相比擁有更靈活的資源利用方式與更低的固定成本，但這種靈活性的代價(jià)是其系統(tǒng)調(diào)用成本更高且應(yīng)用程序兼容性略差。

gVisor運(yùn)行時(shí)能夠與Docker及Kubernetes實(shí)現(xiàn)無(wú)縫化集成，這一集成效果通過(guò)匹配OCI運(yùn)行時(shí)API的runsc（即‘run Sandboxed Container’的縮寫(xiě)）實(shí)現(xiàn)。

runsc運(yùn)行時(shí)可與Docker的默認(rèn)容器運(yùn)行時(shí)runc進(jìn)行互換。其安裝非常簡(jiǎn)單; 在安裝完成后，只需要一個(gè)額外標(biāo)記即可在Docker內(nèi)運(yùn)行沙箱化容器：

$?docker?run?--runtime=runsc?hello-world
$?docker?run?--runtime=runsc?-p?3306:3306?mysql

在Kubenetes當(dāng)中，大多數(shù)資源隔離在pod層面實(shí)現(xiàn)，而這意味著pod能夠天然充當(dāng)gVisor的沙箱邊界。Kubernetes社區(qū)目前正在對(duì)沙箱pod API進(jìn)行標(biāo)準(zhǔn)化調(diào)整，但目前已經(jīng)開(kāi)放實(shí)驗(yàn)性支持供用戶(hù)體驗(yàn)。

runsc運(yùn)行時(shí)能夠在Kubernetes集群當(dāng)中通過(guò)cri-o或cri-containerd等項(xiàng)目運(yùn)行沙箱化pod——此類(lèi)項(xiàng)目負(fù)責(zé)將Kubelet中的消息轉(zhuǎn)換為OCI運(yùn)行時(shí)命令。

gVisor能夠?qū)崿F(xiàn)大部分Linux系統(tǒng)API（總計(jì)200項(xiàng)系統(tǒng)調(diào)用與計(jì)數(shù)），但仍有一部分無(wú)法支持。部分系統(tǒng)調(diào)用與參數(shù)目前尚無(wú)法使用，/proc與/sys文件系統(tǒng)中的某些特定部分同樣如此。因此，還有少數(shù)應(yīng)用程序不能在gVisor當(dāng)中運(yùn)行。但除此之外，包括Node.js、Java 8、MySQL、Jenkins、Apache、Redis以及MongoDB等在內(nèi)的大多數(shù)應(yīng)用程序皆可順利運(yùn)作。