Kata Containers vs gVisor?

时间:2018-05-02 20:50:38

标签: kubernetes kata-containers

据我了解, Kata Containers

  

Kata Container构建轻量级虚拟机(VM)的标准实现,感知和执行类似容器,但提供VM的工作负载隔离和安全优势

另一方面,gvisor

  

gVisor是容器的用户空间内核。它限制了应用程序可访问的主机内核表面,同时仍然允许应用程序访问它期望的所有功能。

我相信,这两种技术都试图将 linux space 添加到容器中以增​​强安全性。

我的问题是它们彼此之间有何不同?功能上是否有重叠?

2 个答案:

答案 0 :(得分:12)

从我从gVisor博客收集到的内容:

Kata Containers

  • 轻量级QEMU / KVM VM上的完整内核。
  • 让系统调用自由通过
  • 由于VM层导致的性能损失。尚不清楚比gVisor更慢或更快
  • 在纸面上,启动时间较慢。
  • 可以运行任何应用程序。
  • 如果管理程序和硬件支持,可以在嵌套的虚拟化环境中运行。

gVisor

  • 用户空间中的部分内核。
  • 拦截系统调用
  • 由于系统调用过滤而导致运行时性能下降。目前尚不清楚卡塔的速度有多慢或多快。
  • 在纸面上,启动时间更短。
  • 只能运行使用受支持的系统调用的应用程序。
  • 在纸面上,您可能不需要嵌套虚拟化。

答案 1 :(得分:1)

这是一个简单的解释

卡塔集装箱

  

某些在硬件上运行的容器

传统虚拟机是安全,但不如容器快 fast 。 Kata Containers项目就像虚拟机一样轻巧,就像容器一样。换句话说,Kata Containers解决了 VM 速度低的问题。

gVisor

  

在名为gVisor的沙盒中运行的容器(有一个沙盒   每个容器)

容器的运行速度很快,但不如虚拟机那么安全。 gVisor就像一个沙箱,每个容器都应该在一个沙箱中运行。换句话说,gVisor解决了容器安全问题。

相关问题
最新问题