就用例而言，Ignite和gVisor有什么区别？

Question

我想知道gVisor和Weave Ignite在用例方面是否存在差异（如果有）。对我来说，他们似乎都尝试了类似的事情：使虚拟化环境中的代码执行更加安全。

gVisor通过引入runsc（一种启用沙盒容器的运行时）来进行此操作，而Ignite通过使用Firecracker来进行此操作，在它们的上下文中，https://github.com/Sporesirius/YAMS似乎也被用作沙盒。

Answer 1

Firecracker和gVisor都是提供沙箱/隔离的技术，但方式不同。

• 爆竹（橙色框）是虚拟机管理器。
• gVisor（绿色框）具有一种体系结构，用于控制/过滤到达实际主机的系统调用。

Weave Ignite是一个工具，可帮助您使用Firecracker在轻量级VM内运行容器，并且还可以通过类似于Docker的出色UX来实现。

github.com/weaveworks/ignite

的 Scope 部分中也提到了这一点

  

范围

     

Ignite与Kata Containers或gVisor不同。它们不允许您运行真实的VM，而只能将容器包装在提供某种安全边界（或沙箱）的新层中。

     

另一方面，Ignite使您可以使用熟悉的容器UX轻松快速地运行功能完善的VM。这意味着您可以“向下移动一层”并开始管理支持以下功能的VM机群：一个Kubernetes集群，但仍将您的VM像容器一样打包。

关于您问题的用例部分，我的感觉是，由于VM提供了更强大的隔离功能，因此Ignite可以更好地投入生产。另外，如The True Cost of Containing: A gVisor Case Study所述，gVisor的方法似乎具有巨大的性能成本：

  

结论

     

  
• gVisor可以说比runc
更安全   
• 不幸的是，我们的分析表明，有效包含的真正成本很高：系统调用速度降低2.2倍，内存分配速度降低2.5倍，大型下载速度降低2.8倍，文件打开速度降低216倍
  

---

  

当前的沙箱方法

     

     

     

使用gVisor沙箱

     

     

     

我需要gVisor吗？

     

不。如果您正在运行生产工作负载，则无需考虑！目前，这是一个隐喻性的科学实验。这并不是说您可能不希望在它成熟时使用它。我尝试解决流程隔离的方式没有任何问题，我认为这是个好主意。在将来采用此技术之前，您还应该花一些时间来探索替代方案。

     

我想在哪里使用它？

     

作为操作员，您将使用gVisor隔离不完全受信任的应用程序容器。这可能是您的组织过去信任的开源项目的新版本。这可能是您的团队尚未完全审查的一个新项目，或者您不确定是否可以在集群中完全信任的任何其他项目。毕竟，如果您正在运行一个未编写的开源项目（我们所有人），那么您的团队当然也没有编写它，因此，适当地隔离和保护您的环境将是一个很好的安全性和良好的工程设计。可能是一个未知的漏洞。

---

---

进一步阅读

我的回答包含来自以下来源的信息，这些信息按“原样”显示在 quote 部分中，我建议他们进行进一步阅读：

• What is gVisor?来自Rancher Blog
• Making Containers More Isolated: An Overview of Sandboxed Container Technologies
• Containers, Security, and Echo Chambers博客，作者Jessie Frazelle
• The True Cost of Containing: A gVisor Case Study
• Kata Containers vs gVisor?