安全沙箱容器在原有Docker容器之外为您提供的一种新的容器运行时选项,可以让您的应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。

特别适合于多租户间负载隔离、对不可信应用隔离等场景。在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等。安全容器架构

安全沙箱容器与Docker容器的区别

特性 Docker容器 安全沙箱容器 说明
集群类型 所有类型 标准托管版Kubernetes
节点型号
  • ECS
  • EBM
EBM
节点OS
  • CentOS
  • Aliyun Linux 2
  • Windows
Aliyun Linux 2 定制版
  • 不支持同一节点同时部署Docker容器和安全沙箱容器。
  • 暂不支持同一集群内同时有运行Docker容器的节点和运行安全沙箱容器的节点。
容器引擎 docker containerd
监控 支持 支持
业务日志 sidecar:手动支持 sidecar:手动支持 sidecar配置请参见Kubernetes-Sidecar日志采集模式
容器标准输出采集 支持 支持
RuntimeClass 无需配置 runv
Pod调度 无需特殊配置 需要在nodeSelector增加以下内容:

alibabacloud.com/sandboxed-container: Sandboxed-Container.runv
  • 具有安全容器节点的集群中会默认注入 RuntimeClass: runc 和 RuntimeClass: runv;docker 节点没有注入。
  • 安全沙箱容器节点上即可运行安全沙箱容器,也可以同时运行普通 runc 容器。
  • Kubernetes 1.14.X 版本不支持 RuntimeClass 调度,用户目前可通过 NodeSelector 间接支持安全沙箱运行时节点的调度,未来,我们将在
    1.16.0及以上版本支持 RuntimeClass 调度功能。
HostNetwork 支持 不支持
exec/logs 支持 支持
节点数据盘 可选 必须,且至少有一块不小于 200GiB的数据盘
网络插件 Flannel和Terway中的Terway独占弹性网卡模式 Terway
kube-proxy代理模式 Iptables、IPVS Iptables、IPVS
Flexvolume或CSI plugin 均支持 CSI plugin
容器Rootfs overlayfs devicemapper