我希望构建一个与Azure DevOps或任何CI/CD产品非常相似的解决方案,它采用用户提交的可执行文件,代码,PowerShell/cmd命令等执行它们来部署应用程序。本质上,我遇到了不受信任的代码执行问题。
- 需要是多租户。与其他租户完全隔离
- 可能有500+租户。
我看到谷歌云有GKE沙盒,这是一个可能的解决方案,但我希望在Azure中有一些东西。
是否可以使用 Kata 容器或 gVisor for AKS,以便我可以在容器之间实现内核级隔离?
可以在具有虚拟机监控程序隔离的 ACI 中运行用户容器,该容器由 Azure 管理。
https://learn.microsoft.com/en-us/azure/container-instances/container-instances-overview#hypervisor-level-security
并与 AKS 集成
https://learn.microsoft.com/en-us/azure/aks/concepts-scale#burst-to-azure-container-instances