Kata Containers vs gVisor?

问题描述 投票:15回答:2

据我了解,Kata Containers

Kata Container构建轻量级虚拟机(VM)的标准实现,它感觉和执行类似容器,但提供VM的工作负载隔离和安全优势

另一方面,gvisor

gVisor是容器的用户空间内核。它限制了应用程序可访问的主机内核表面,同时仍然允许应用程序访问它期望的所有功能。

我相信,这两种技术都试图将linux空间添加到容器中以增​​强安全性。

我的问题是他们如何彼此不同?功能上有重叠吗?

kubernetes kata-containers
2个回答
12
投票

从我从gVisor博客收集到的内容:

容器说

  • 轻量级QEMU / KVM VM上的完整内核。
  • 让系统调用自由进行
  • VM层导致性能下降。尚不清楚比gVisor更慢或更快
  • 在纸面上,启动时间较慢。
  • 可以运行任何应用程序
  • 如果管理程序和硬件支持,则可以在嵌套的虚拟化环境中运行。

gVisor

  • 用户空间中的部分内核。
  • 拦截系统调用
  • 系统调用过滤导致运行时性能下降。尚不清楚比卡塔更慢或更快。
  • 在纸面上,启动时间更快。
  • 只能运行使用受支持的系统调用的应用程序。
  • 在纸面上,您可能不需要嵌套虚拟化。
1
投票

这是一个简单的解释

容器说

某种在硬件上运行的容器。

传统虚拟机是安全的,但不如容器快。 Kata Containers Project就像一台轻量级的虚拟机一样容器。换句话说,Kata Containers解决了VM的低速问题。

gVisor

在名为gVisor的沙箱中运行的容器(每个容器有一个沙箱)

容器速度快但不如虚拟机安全。 gVisor就像沙箱,每个容器都应该在一个沙箱中运行。换句话说,gVisor解决了Container的安全问题。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.