Приложение для песочницы для запуска кода внутри кубернетиса?

Question

[raiboon]

Нужно что-то что с полпинка встанет в кубернетис для выполнения недоверенного кода, что можно легко вызывать по апи.
Хочу что-то вроде ejudje или песочницы сделать, чтобы пользователи могли запускать свой код. Но чтобы не было доступа к сети и ничего не могли поломать у меня.
Много всего, но что-то не становится в кубер и хочет полноценную вм, что-то не имеет апи и надо запускать докер внутри докера (а оно так работает?), что-то не вызывает доверия.

Comments

[Георг Гаал]

кубер в целом не для недоверенного кода. Вариант с docker-in-docker возможен, но теоретически в нем есть уязвимости, которые могут позволить коды выйти из песочницы и все поломать. Идеально - смотреть в сторону enforcing на уровне runtime (gvisor), пытаться переходить с контейнеров на мини-ВМ (kata-containers или firecracker).