容器化技术的新篇章：提升安全与效率，搞定资源优化 | 开源专题 No.95

Stars: 15.3k License: Apache-2.0

picture

gvisor 是一个为容器设计的应用内核。该项目解决了在容器中运行不受信任或潜在恶意代码时缺乏额外隔离的问题。它通过实现大部分 Linux 系统接口，并提供一个名为 runsc 的 Open Container Initiative (OCI) 运行时，创建了应用程序与主机内核之间的隔离边界。runsc 运行时与 Docker 和 Kubernetes 集成，使得运行沙盒化容器变得简单。

• 实现大部分 Linux 系统接口
• 提供 OCI 运行时 runsc
• 限制主机内核对应用程序可访问的范围
• 通过利用现有主机内核功能并作为正常进程运行来实现资源灵活性

opencontainers/runchttps://github.com/opencontainers/runc

Stars: 11.5k License: Apache-2.0

runc 是一个根据 OCI 规范在 Linux 上生成和运行容器的 CLI 工具。

• 根据 OCI 规范生成和运行容器
• 支持安全审计
• 仅支持 Linux 平台
• 使用 Go Modules 进行依赖管理
• 提供可选的构建标签，用于编译各种功能支持

kubeshark/kubesharkhttps://github.com/kubeshark/kubeshark

Stars: 10.7k License: Apache-2.0

picture

Kubeshark 是一个针对 Kubernetes 的 API 流量分析工具，提供实时、协议级别的可视化能力，捕获和监控所有进出容器、Pod、节点和集群的流量和数据包。它类似于重新设计过的用于 Kubernetes的 TCPDump 和 Wireshark。

• 显著改善性能
• 优化资源利用率
• 实时流量监控
• 协议级别可见性

louislam/dockgehttps://github.com/louislam/dockge

Stars: 10.1k License: MIT

picture

Dockge 是一个自托管的 Docker Compose.yaml 堆栈管理器，具有易用、时尚和响应式的特点。

• 交互式编辑 compose.yaml
• 交互式 Web 终端
• 响应性：进度 (拉取/上升/下降) 和终端输出实时显示
• 易于使用且时尚 UI
• 将 docker run ... 命令转换为 compose.yaml
• 基于文件结构

Dockge 不会劫持您的 Compose 文件，它们像往常一样存储在驱动器上。您可以使用普通的 docker compose 命令与其进行交互。

actions/runner-imageshttps://github.com/actions/runner-images

Stars: 9.3k License: MIT

runner-images 是 GitHub Actions 和 Azure Pipelines 使用的虚拟机镜像源代码库。该项目主要功能、关键特性和核心优势包括：

• 包含了用于 GitHub-hosted runners 和 Microsoft-hosted agents 的虚拟机镜像源代码
• 提供了各种操作系统版本的镜像，如 Ubuntu 22.04、Ubuntu 20.04、macOS 14 [beta] 等
• 支持 Beta 和 GA（General Availability）两种类型的镜像发布，以及最新版本迁移流程和预告变更。