相比于原有Docker运行时,安全沙箱为您提供的一种新的容器运行时选项,可以让您的应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。

安全沙箱特别适合于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离等场景。在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等。

安全容器架构

架构图

架构

特点

安全沙箱v2是阿里云全新自研的基于轻量虚拟机技术的安全容器运行时,相比于v1版本,在保持超强隔离性的同时,overhead降低了90%,沙箱启动速度提升了3倍,单机密度提升了10倍。主要特点如下:
  • 基于轻量虚拟机,沙箱之间实现超强隔离。
  • 具有传统runC容器的应用兼容性。
  • 应用综合性能高,达到runC容器应用性能的90%。
  • NAS、云盘、OSS Volume同时支持virtiofs和直通两种模式。
  • 在监控、日志、存储等方面有着runC一样的使用体感。
  • 支持RuntimeClass(runC和runV),请参见RuntimeClass
  • 技能门槛要求低、简单易用。
  • 相比社区Kata Containers,稳定性更强。有关Kata Container详情,请参见Kata Containers

技术交流&答疑

您可以通过钉钉扫描以下二维码加入 ACK安全沙箱&ACK-TEE机密计算技术交流群。 二维码