ด้วยความนิยมของการใช้งาน Container ที่เติบโตอย่างต่อเนื่อง Google จึงออกมาเปิด Open Source ให้กับ gVisor ระบบ Sandbox ที่จะช่วยให้ Container นั้นสามารถทำ Isolation ได้ดียิ่งขึ้นกว่าเดิม และยังกินทรัพยากรน้อยกว่าการสร้าง Virtual Machine (VM) โดยสามารถทำงานร่วมกับ Docker และ Kubernetes ได้
ที่ผ่านมานั้นหากระบบใดต้องการ Security สำหรับ Container ในระดับที่สูงขึ้น ก็อาจต้องทำการสร้าง VM ขึ้นมาเพื่อ Isolate แต่ละ Container ออกจากกัน ทำให้กินทรัพยากรค่อนข้างมาก Google เล็งเห็นว่าประเด็นนี้เป็นปัญหา จึงทำการพัฒนา gVisor ขึ้นมาแก้ปัญหานี้โดยเฉพาะ
gVisor นี้กินทรัพยากรน้อยกว่าการใช้ VM เต็มๆ เป็นอย่างมาก แต่ยังคงสามารถทำ Isolation ได้ในระดับเดียวกัน โดยตัว gVisor นี้คือ Kernel ที่ถูกพัฒนาด้วยภาษา Go ซึ่งทำงานในฐานะของ Normal, Unprivileged Process ที่รองรับ Linux System Call ได้หลากหลาย ทำให้ Application ใดๆ ที่ทำงานบน gVisor Sandbox นี้เสมือนกับว่ามี Kernel และ Virtualized Device ของตัวเองแยกขาดออกจากกัน เรียกได้ว่าเป็นระบบ Paravirtualized Operating System อย่างเต็มตัวก็ว่าได้ ทั้งนี้ข้อเสียของแนวคิดนี้ก็คือการที่จะมี Overhead สำหรับแต่ละ System Call ที่สูงขึ้นนั่นเอง
gVisor นี้สามารถทำงานร่วมกับ Docker และ Kubernetes ได้ผ่านทาง runsc (ย่อมาจาก run Sandboxed Container)
ผู้ที่สนใจสามารถศึกษารายละเอียดเพิ่มเติมเกี่ยวกับ gVisor ได้ที่ https://github.com/google/gvisor ครับ
ที่มา: https://cloudplatform.googleblog.com/2018/05/Open-sourcing-gVisor-a-sandboxed-container-runtime.html