gVisor
Overview
gVisor est un runtime d'isolation développé par Google qui utilise un kernel utilisateur (userspace kernel) pour offrir une isolation supérieure aux runtimes standards, avec un overhead moindre que les solutions basées sur des machines virtuelles comme Kata Containers. gVisor intercepte les appels système et les traduit, créant une couche d'isolation entre les conteneurs et le kernel hôte.
Particulièrement adapté aux environnements cloud où la sécurité et les performances doivent être équilibrées, gVisor est utilisé par défaut dans Google Cloud Run et s'intègre bien avec Kubernetes via containerd ou CRI-O. Il offre un bon compromis entre sécurité et performance pour les workloads conteneurisés.
Informations essentielles
| Propriété | Valeur |
|---|---|
| Site officiel | https://gvisor.dev/ |
| Licence | Apache 2.0 |
| Nationalité | États-Unis (Google) |
| Déploiement | Runtime système, intégré dans containerd/CRI-O |
| Difficulté | Avancé |
| Technologies | Go |
TL;DR
gVisor est idéal pour les environnements cloud nécessitant une isolation renforcée sans l'overhead des solutions VM-based. Il offre un bon compromis sécurité/performance, particulièrement adapté aux environnements multi-tenant.
Points clés à retenir :
- Isolation via kernel utilisateur (userspace)
- Overhead moindre que les solutions VM-based
- Utilisé par défaut dans Google Cloud Run
- Compatible avec Kubernetes via containerd/CRI-O
- Bon compromis sécurité/performance
Compatibilité et intégrations
- Conforme à OCI et CRI
- Compatible avec Kubernetes (via containerd ou CRI-O)
- Supporte les images OCI standard
- Intégration avec Google Cloud
- Compatible avec les outils Kubernetes standards
Avantages
- Isolation supérieure aux runtimes standards
- Overhead moindre que les solutions VM-based
- Bon compromis sécurité/performance
- Utilisé en production par Google
- Compatible avec Kubernetes
Limites
- Certaines fonctionnalités système peuvent être limitées
- Performance peut être inférieure aux runtimes standards
- Configuration plus complexe
- Communauté plus petite que containerd/cri-o
- Moins de documentation que les runtimes standards
Ressources
- Documentation gVisor : https://gvisor.dev/docs/
- GitHub : https://github.com/google/gvisor