คอนเทนเนอร์เช่น Docker ได้รับความนิยมอย่างสูงสำหรับการแบ่งทรัพยากรเพื่อรันแอปพลิเคชั่นแยกจากกันในช่วงหลัง แต่ในแง่ความปลอดภัย แต่ละคอนเทนเนอร์ยังคงมีโอกาสสูงที่จะข้ามไปมาได้เพราะใช้เคอร์เนลร่วมกัน ต่างจากระบบ virtual machine ที่มักออกแบบให้แต่ละเครื่องแยกขาดจากกันโดยสมบูรณ์ ตอนนี้กูเกิลเปิดซอร์ส gVisor ระบบแยกทรัพยากรสำหรับคอนเทนเนอร์เพื่อเพิ่มความปลอดภัยเข้าไปอีกชั้น ตัว gVisor อิมพลีเมนต์ system call ของลินุกซ์เอาไว้ในตัวเองสำหรับรันในระดับ user โดยตอนนี้อิมพลีเมนต์ไปแล้ว 200 รายการ และตัวซอฟต์แวร์เป็นรันไทม์ตามมาตรฐาน Open Container Initiative ทำให้สามารถสั่งแยกคอนเทนเนอร์ให้ดีขึ้นด้วยการเปลี่ยนรันไทม์ เช่น ใน docker สามารถสั่ง docker run --runtime=runsc hello-world ก็สามารถได้คอนเทนเนอร์ที่รันแยกกันสมบูรณ์ขึ้นทันที เนื่องจาก system call ที่อิมพลีเมนต์แล้วยังมีจำกัด ทำให้บางแอปอาจจะรันไม่ขึ้น แต่กูเกิลระบุว่า Node.js, Java 8, MySQL, Jenkins, Apache, Redis, MongoDB ล้วนรันบน gVisor ได้แล้ว ที่มา - Google Cloud Platform Topics: GoogleContainerSecurity