Sandboxes Docker explicados
Docker Sandboxes usam o que é chamado de “microVM” para isolar contêineres. Um microVM é uma máquina virtual executada no hipervisor nativo do sistema operacional host para isolamento. O “micro” vem do design da VM, que é especificamente para executar cargas de trabalho que precisam ser inicializadas e desmontadas rapidamente e não consumir muitos recursos do sistema.
O microVM em si é um projeto de plataforma cruzada personalizado para Docker, projetado para ser executado diretamente na arquitetura do hipervisor para todas as três plataformas principais: Linux (KVM), macOS (Hypervisor.framework) e Microsoft Windows (Windows Hypervisor Platform). O comportamento do microVM pretende ser o mesmo em todos os aspectos, com suporte nativo para cada hipervisor.
Normalmente, o daemon Docker é executado diretamente no host. Os contêineres são executados com sobrecarga mínima, mas também com menos isolamento em comparação com o isolamento total de uma VM. Com microVMs, cada contêiner tem sua própria instância isolada do daemon Docker, junto com seu próprio kernel. Nenhum estado persistente é mantido no microVM, portanto eles podem ser eliminados e reiniciados conforme necessário.
Docker Sandboxes e IA agente
A combinação de agilidade, leveza e isolamento total foi projetada para tornar os Docker Sandboxes um ambiente melhor para agentes de IA do que contêineres regulares ou VMs completas. Os contêineres regulares não fornecem isolamento suficiente do host para evitar que um agente de IA cause problemas, e as VMs completas têm muita sobrecarga para funcionar bem com a natureza ad hoc das cargas de trabalho de agente.
