🅱️🧦 bandsocks

它是一个沙箱！

它是一个容器运行时！

它被设计成可以嵌套在无特权的docker容器中！

它是高度实验性的，实际上还没有工作！

🎶 🎹🧦 🎸🧦 🎸🧦 🎷🧦 🎺🧦 🥁🧦 🎶

从gaol、User Mode Linux、gvisor、chromium和podman汲取灵感。目标是给我们在容器中作为非root用户运行的计算工作负载添加额外的隔离层，这些容器已经有一些限制。这意味着大多数高功率内核特性，如KVM甚至用户命名空间，都不在考虑之列。该项目使用基于seccomp的系统调用限制和模拟文件系统的方法。

该包的预期API相当高级

• 将Docker镜像下载/解压到模拟文件系统中
• 将流连接到模拟文件进行I/O
• 在容器中运行命令

不包括存储和网络。网络将完全禁用，虚拟文件系统主要是通过注册表下载的镜像制作的不可变ramdisk。完整的系统调用支持也不是优先事项，只要它能运行如媒体编解码器之类的计算工作负载即可。