什么是沙盒容器？

沙盒是一种受到严密控制的环境，可以安全地在隔离状态下运行应用程序。沙盒环境能够长久地限制应用能存取的资源，因此通常用于隔离和执行未经测试或不受信任的程序，而不用担心其危及主机或操作系统。沙盒容器会给容器平台增添新的运行时，利用轻量型虚拟机将您的程序与系统的其余部分隔开，而后在这些容器集内启动容器。

沙盒容器常用来进一步增强 Linux 容器内的安全防护。

对于需要极为严格的应用级隔离和安全性的工作负载（比如运行不受信任或未经测试的代码的特权工作负载和 Kubernetes 原生体验等），沙盒容器是理想的选择。借助沙盒容器，您可以通过对以下对象进行隔离，进一步保护应用，以免遭受远程执行、内存泄漏或非特权访问等风险：

• 开发人员环境和特权作用域
• 传统的容器化工作负载 
• 第三方工作负载
• 资源共享（CI/CD 任务和 CNF 等）和安全交付多租户工作负载

红帽 OpenShift 沙盒容器脱胎于 Kata Containers 开源项目，可借助符合 开放容器计划（OCI）规范的容器运行时来满足严格的安全防护要求，并利用轻量化虚拟机在独立内核中运行工作负载，为应用提供一层额外的隔离保护。为此，红帽 OpenShift 能利用我们的认证 Operator 框架来管理、部署和更新红帽 OpenShift 沙盒容器 Operator。 

红帽 OpenShift 沙盒容器的 Operator 可提供所有必需的零碎功能并持续更新它们，使 Kata Containers 可作为集群上的可选运行时来供用户使用。其中包括但不限于：

• 将 Kata Containers RPM 以及 QEMU 作为 红帽 CoreOS 扩展安装到节点 上。
• 配置 Kata Containers 运行时（在运行时级别使用 CRI-O 运行时处理程 序，在集群级别则通过为 Kata Containers 添加和配置专用的 RuntimeClass 来进行）。
• 进行声明式配置来自定义安装，例如选择要在哪些节点 上部署  Kata Containers。
• 检查总体部署的健康状态，并报告安装期间的问题。

红帽 OpenShift 沙盒容器现 已正式推出。