azure - Azure Kubernetes 服务的沙盒(gVisor 或 Kata 容器)以运行不受信任的代码

标签 azure security azure-aks

我希望构建一个与 Azure DevOps 或任何 CI/CD 产品非常相似的解决方案，该解决方案接受用户提交的可执行文件、代码、PowerShell/cmd 命令等，执行它们来部署应用程序。本质上我遇到了不受信任的代码执行问题。

需要是 Multi-Tenancy 的。与其他租户完全隔离
可能有 500 多个租户。

我看到 Google Cloud 有 GKE Sandbox这是一个可能的解决方案，但我希望在 Azure 中找到一些解决方案。

是否可以将 Kata Containers 或 gVisor 用于 AKS，以便我可以在容器之间进行内核级隔离？

最佳答案

您可以在 ACI 中运行用户容器，该容器具有虚拟机管理程序隔离，由 Azure 管理。

https://learn.microsoft.com/en-us/azure/container-instances/container-instances-overview#hypervisor-level-security

并与 AKS 集成

https://learn.microsoft.com/en-us/azure/aks/concepts-scale#burst-to-azure-container-instances

关于azure - Azure Kubernetes 服务的沙盒(gVisor 或 Kata 容器)以运行不受信任的代码，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/62624921/

上一篇：json - 出现错误##[错误]其中一个部署参数具有空键。运行管道部署 AKS 集群时

下一篇：linux - 如何取消 powershell 上的 azure 登录？

相关文章：

node.js - 将 Express 4.x 应用程序部署到 Windows Azure

linux - Azure 批处理 - 在 Linux VM 上从命令行运行多个命令

java - 设置一个变量并打印它，没有任何线程，但它打印旧值？

c# - 如何验证证书是由特定证书颁发机构创建的？

azure - 了解 Azure Kubernetes 服务 (AKS)

azure - 是否可以安排新数据层 SQL Azure 实例的规模？

Azure DevOps - Azure 应用服务部署 - 添加应用程序设置 WEBSITE_RUN_FROM_PACKAGE 导致 CSS 无法加载

linux - 缓冲区溢出误解

Azure kubernetes - 有多少个集群？

azure - 在 Azure Kubernetes 服务 (AKS) 中，我有一个类型为 "ClusterIP"的服务，它是否在内部执行 Pod 的负载平衡？

©2024 IT工具网联系我们