Isola: Kubernetes를 위한 보안 샌드박싱 (Secure Sandboxing)

안녕하세요 Reddit 여러분, 저의 열정이 담긴 프로젝트인 Isola를 여러분과 공유하고 싶습니다. Isola는 기존 Kubernetes 클러스터 내부에서 신뢰할 수 없는 코드나 LLM/에이전트(agent)가 생성한 코드를 샌드박싱(sandboxing)할 수 있는 오픈 소스이자 클라우드 불가지론적(cloud agnostic)인 방식입니다. 이 프로젝트는 Go 언어로 작성되었으며, REST API와 Python 및 TypeScript SDK를 제공합니다. 이를 통해 프로그래밍 방식으로 샌드박스 포드(sandbox pods)를 생성할 수 있으며(gVisor의 유저스페이스 커널(userspace kernel)로 격리됨), 샌드박스 파일 시스템을 스냅샷(snapshot) 및 복구(restore)할 수 있습니다(이를 통해 '1회 초기화 후 다회 사용(init-once user-many-times)' 또는 '샌드박스 상태 롤백(sandbox state rollback)' 시맨틱을 지원합니다). 또한 고급 네트워킹 제어 등의 기능을 제공합니다. Helm을 사용하여 어디에서나 설치할 수 있으며(kind나 k3s와 같은 환경을 통한 간편한 로컬 설정 포함), 아키텍처 및 구현 세부 사항에 대해 이곳에서 논의할 수 있게 되어 매우 기쁩니다. (제 생각에) 딱 맞게 구현하기 위해 많은 시간을 보냈습니다. 제가 원하는 기능을 작동시키기 위해 gVisor에 업스트림(upstreamed) 기여를 하기도 했고, 노드를 가득 채우는 대신 버킷 스토리지(bucket storage)에서 스냅샷을 지연 로딩(lazily loaded)할 수 있게 될 때까지 많은 반복 작업을 거쳤습니다(이 부분은 rclone 덕분입니다). 여러분이 좋아해 주셨으면 좋겠습니다!