我希望构建一个与 Azure DevOps 或任何 CI/CD 产品非常相似的解决方案,该解决方案接受用户提交的可执行文件、代码、PowerShell/cmd 命令等,执行它们来部署应用程序。本质上我遇到了不受信任的代码执行问题。
- 需要是 Multi-Tenancy 的。与其他租户完全隔离
- 可能有 500 多个租户。
我看到 Google Cloud 有 GKE Sandbox这是一个可能的解决方案,但我希望在 Azure 中找到一些解决方案。
是否可以将 Kata Containers 或 gVisor 用于 AKS,以便我可以在容器之间进行内核级隔离?
最佳答案
您可以在 ACI 中运行用户容器,该容器具有虚拟机管理程序隔离,由 Azure 管理。
并与 AKS 集成
https://learn.microsoft.com/en-us/azure/aks/concepts-scale#burst-to-azure-container-instances
关于azure - Azure Kubernetes 服务的沙盒(gVisor 或 Kata 容器)以运行不受信任的代码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62624921/