docker - 我可以将 Google Container Optimized OS 用作安全的容器沙箱吗?
问题描述
我有一个运行 Googles Container Optimized OS 的 VM,我想允许运行用户提供的代码 - 每个用户都有自己的容器。
这段代码可能是恶意的——我想将代码的范围限制在它自己的容器中。
https://cloud.google.com/container-optimized-os/docs/concepts/security
问题
A. 操作系统是否为容器添加了足够的保护以用作沙盒?该文档提到增加了安全性,但没有提及它在容器中包含恶意代码的有效性。
B. 可以使用 docker 卷来限制在容器中运行的代码的文件系统范围吗?我想使用 CLI 提供的 docker volume 为每个用户在磁盘上提供一个他们可以写入的文件夹,但我想阻止用户读取彼此的数据。
非常感谢任何帮助,谢谢。
解决方案
推荐阅读
- regex - 接受像 1,000.10 这样的数字的正则表达式?
- c# - 一种更优雅的泛型类型转换函数方法
- python - 如何使用 Python webdriver 查找上下文标签?
- javascript - 将对象列表转换为嵌套的对象列表 javascript
- python - 为什么QLineSeries的点击信号返回的点不在QLineSeries.point()中?
- angular - 在 mat 表行的 td 中单击按钮时展开和折叠行
- azure - 使用 ADAL 获取 access_token
- python - += 和 .append() 有什么区别?
- javascript - 仅当所有子查询在 Promise.all() 中成功执行时才在 mongodb 中进行更改
- android - 在android中停止firebase文件上传任务?