Notre monde est passé des machines physiques à des machines virtuelles puis à des conteneurs. Puis on a industrialisé tout ça avec Docker, Kubernetes, etc. Maintenant, on fait mine de découvrir que l'isolation entre conteneur et hôte, c'est tendu (failles de sécurité en 2016/2017 reposant sur des appels systèmes et permettant de devenir root sur l'hôte depuis un conteneur) et que les techniques de durcissement comme SELinux, Seccomp et AppArmor sont très peu déployées vu leur pénibilité. Du coup, à la recherche d'un juste milieu, on s'met à inventer des conteneurs qui sont en fait des machines virtuelles plus ou moins légères que l'on manipule comme des conteneurs. Chez OpenStack, ça se nomme Kata. Chez Google, ça se nomme gVisor. gVisor est un noyau Linux-like écrit en Go, qui fonctionne en espace utilisateur, et qui intercepte les appels systèmes, ce qui garantirait l'isolation avec le noyau de l'hôte (parce que, c'est évident, il n'y aura jamais de faille dans gVisor). Ça me rappelle UML (User Mode Linux, le noyau Linux fonctionnant en espace utilisateur) d'il y a quelques années. Je constate que nous tournons bien en rond, dans notre milieu… ;

Surprise !
Bonjour les imbrications dans tout les sens