sandboxing archivos

gVisor: sandboxing para contenedores multi-tenant

diciembre 2, 2025 javi

Logotipo oficial del proyecto gVisor alojado en el repositorio público de Google en GitHub, runtime de contenedores que implementa un kernel en espacio de usuario llamado Sentry para interceptar las llamadas al sistema del proceso invitado y reducir la superficie de ataque hacia el kernel del anfitrión, pieza central en despliegues multi-tenant donde el aislamiento clásico de contenedores no alcanza el nivel de confianza exigido por funciones serverless o por clientes compartiendo infraestructura

gVisor interpone un kernel en espacio de usuario entre el contenedor y el anfitrión, y después de años en producción en Google y adopción creciente en plataformas serverless, merece una lectura honesta sobre cuándo compensa frente a microVMs y runtimes clásicos.

Firecracker: microVMs para servicios multi-tenant

mayo 27, 2025 javi

Logotipo oficial de Firecracker mostrando el proyecto de hipervisor minimalista de AWS escrito en Rust para microVMs de arranque rapido

Firecracker lleva anios detras de Lambda y Fargate, pero su adopcion fuera de AWS se ha acelerado. Repaso cuando compensa cambiar containers por microVMs, que aportan frente a gVisor y donde siguen las asperezas.

Firecracker: microVMs para servicios multi-tenant

mayo 27, 2025 javi