Docker是目前居于云計算峰頂?shù)娜萜骰夹g(shù)，然而在安全性方面，它還有很多的不足。為了解決Docker的安全弱點，Google開源了runsc，runsc是Google推出的一個針對容器隔離和安全性的項目。

$ docker run -it --runtime=runsc busybox sh

在上述示例中，我們將運行BusyBox的容器，但是我們將runtime設(shè)置為runsc，這將使用runsc作為當(dāng)前容器的運行時環(huán)境。

運行指定容器的命令的結(jié)果是容器將在runsc中啟動。容器將在其中運行的安全環(huán)境中完全隔離。這允許我們在運行容器時使用更多的安全措施，并保護(hù)我們的主機免受容器中的任何威脅。

這里的runsc是安全守護(hù)程序，它在Linux上使用Google的gVisor內(nèi)核來保護(hù)宿主機免受感染和攻擊。gVisor提供了容器級別的隔離和管理，因此可以保證運行在它上面的應(yīng)用程序是輕量級和安全的。

最后，runsc的目標(biāo)是實現(xiàn)容器級別的例外檢測和容器級別沙箱化以及兼容OCI規(guī)范，這些特性是其旨在為容器提供更安全的運行環(huán)境。