与传统的虚拟机相比,容器启动快速、资源占用率更低,在云计算领域受到越来越广泛的应用。然而,容器的安全性和隔离性远不如虚拟机。这种问题的根源在于多个容器会共享同一个操作系统内核以及使用内核提供的统一的系统调用接口。任意容器通过系统调用对内核造成的破坏都有可能影响到其他容器甚至宿主机的正常运行。现有的系统调用过滤方法,主要是基于内核层面的过滤器或是基于用户态的内核,会给容器带来显著的性能开销。如何在增强容器系统调用安全的同时尽可能少的引入性能开销是一个值得重视的问题。面向容器环境的Linux系统调用虚拟化旨在解决上述问题。该设计的核心是使用内核模块来为容器实现系统调用的虚拟化。内核模块由修改后的run C运行时进行加载与卸载。每个内核模块内部独立实现一套容器的系统调用代码以及生成一个独立的容器系统调用表,解决了容器共享统一的系统调用接口的问题,消除了容器对全局系统调用表的依赖,达到了增强容器系统调用安全的目的。同时,内核模块的轻量性和灵活性可以有效减小系统的性能开销。实验结果表明,容器系统调用表对容器透明,可以不依赖内核全局系统调用表正常地处理容器的系统调用。以系统调用futex（）和getpid（）为例的功能测试返回了正确的结果,证明系统调用虚拟化方法的可行性。系统调用延迟测试结果显示,在启用系统调用虚拟化功能后,容器的系统调用延迟最多只有不到4%的增加。以系统调用futex（）为例的性能测试也表明,相比Docker容器,系统调用虚拟化只有不到2%的性能开销。