格维开源社区
软件技术一定做不到硬件虚拟化技术的安全隔离吗? #27
Unanswered
zevorn
asked this question in
QEMU | Q&A
Replies: 2 comments
-
明确的回答,做不到。docker 不是虚拟化,算是一种 cgroup 框架。 以前是大家共用 apache/tomcat 主机,web 容器化,现在是 serverless ,大多数都是基于 docker 运行时的。将来还有什么形式不好说。 云平台提供的共享型 serverless ,基本上没有很强烈的安全防护保障,更看重冷启动速度。 不过 serverless kubernetes 是另一回事儿了,有些厂家提供的是根据你 request cpu/mem 来伸缩 node 数量(gcp)。 有些厂家则是直接不给你 node 抽象了。 |
Beta Was this translation helpful? Give feedback.
0 replies
-
补充一点,硬件虚拟化提供的隔离性也是相对的,不能保证绝对安全。 像 Spectre 这样利用投机执行攻击 Hypervisor 和其它 Guest 不时会出现新的攻击/绕过手段。 另外各种片内资源(例如L3缓存)仍然存在不同程度的争抢,似乎只和主流公有云厂商有合作定制,增强处理器在这些方面的 QoS 能力。 |
Beta Was this translation helpful? Give feedback.
0 replies
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Uh oh!
There was an error while loading. Please reload this page.
-
在云服务器领域是否可以用docker技术或者多用户功能来提供云服务吗?或者说软件技术一定做不到硬件虚拟化技术的安全隔离吗?
Beta Was this translation helpful? Give feedback.
All reactions