目录一.系统环境二.前言三.安全容器隔离技术简介四.Gvisor简介五.容器runtime简介六.docker容器缺陷七.配置docker使用gVisor作为runtime7.1安装docker7.2升级系统内核7.3安装gvisor7.4配置docker默认的runtime为gVisor7.5docker使用gVisor作为runtime创建容器八.配置contain

Context该cluster使用containerd作为CRI运行时。containerd的默认运行时处理程序是runc。containerd已准备好支持额外的运行时处理程序runsc(gVisor)。 Task使用名为runsc的现有运行时处理程序，创建一个名为untrusted的RuntimeClass。更新namespaceserver中的所有Pod

灵活的应用程序架构、CI/CD管道和容器工作负载通常运行不受信任的代码，因此应该与敏感的基础设施隔离。一种常见的解决方案是部署纵深防御产品（如使用gVisor的GKESandbox）以

开源项目推荐GoNoGo在Kubernetes集群中，有多种因素会影响到附加组件的升级成功率，比如某些组件只支持特定的API或者特定的Kubernetes版本，某些组件废弃了特定的annot