相比于原有 Docker 容器,安全沙箱容器为您提供的一种新的容器运行时选项,可以让您的应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。

安全沙箱容器特别适合于多用户间负载隔离、对不可信应用隔离等场景。在提升安全性的同时,对性能影响非常小,并且具备与 Docker 容器一样的用户体验,例如日志、监控、弹性等。安全容器架构

安全沙箱容器与 Docker 容器的区别

特性 Docker 容器 安全沙箱容器 说明
集群类型 所有类型 标准托管版Kubernetes -
节点型号
  • ECS
  • EBM
EBM -
节点OS
  • CentOS
  • Aliyun Linux 2
  • Windows
Aliyun Linux 2 定制版
  • 不支持同一节点同时部署 Docker 容器和安全沙箱容器。
  • 暂不支持同一集群内同时有运行 Docker 容器的节点和运行安全沙箱容器的节点。
容器引擎 Docker containerd -
监控 支持 支持 -
业务日志 Sidecar:手动支持 Sidecar:手动支持 sidecar 配置请参见Kubernetes-Sidecar日志采集模式
容器标准输出采集 支持 支持 -
RuntimeClass 无需配置 runv -
Pod 调度 无需特殊配置 需要在 nodeSelector 增加以下内容:
alibabacloud.com/sandboxed-container: Sandboxed-Container.runv
  • 具有安全容器节点的集群中会默认注入 RuntimeClass: runc 和 RuntimeClass: runv;Docker 节点没有注入。
  • 安全沙箱容器节点上即可运行安全沙箱容器,也可以同时运行普通 runc 容器。
  • Kubernetes 1.14.X 版本不支持 RuntimeClass 调度,您可通过 NodeSelector 间接支持安全沙箱运行时节点的调度。
HostNetwork 支持 不支持 -
exec/logs 支持 支持 -
节点数据盘 可选 必选,且至少有一块不小于 200GiB 的数据盘 -
网络插件
  • Flannel
  • Terway,仅支持 Terway 独占弹性网卡模式
Terway -
kube-proxy 代理模式
  • Iptables
  • IPVS
  • Iptables
  • IPVS
-
Flexvolume 或 CSI plugin 均支持 CSI plugin -
容器Rootfs overlayfs devicemapper -