gVisor - a sandboxed container runtime
gVisor 是一个 sandboxed container runtime, 从实现上看,它劫持容器的系统调用,并将其运行在自己的沙盒里,而不真正运行在操作系统上。从使用上看,它的调用非常简单:docker run --runtime=runsc hello-world
,只要你安装了 gVisor。它依然存在一些限制,例如说它只实现了大约200个syscall,尽管如此,大部分的应用程序还是可以使用的。从目的上看,这个工具想要让容器可以在不信任的机器上建立起沙盒环境运行。