Ката Контейнеры против gVisor? - PullRequest
Новая
       81

Ката Контейнеры против gVisor?

0 голосов
/ 02 мая 2018

Как я понимаю, Ката Контейнеры

Kata Container создает стандартную реализацию облегченных виртуальных машин (ВМ), которые чувствуют и работают как контейнеры, но обеспечивают изоляцию рабочей нагрузки и преимущества безопасности для ВМ

С другой стороны, gvisor

gVisor - ядро ​​пользовательского пространства для контейнеров. Он ограничивает поверхность ядра хоста, доступную для приложения, и в то же время предоставляет приложению доступ ко всем ожидаемым функциям.

Как я полагаю, обе эти технологии пытаются добавить linux space в контейнеры для повышения безопасности.

Мой вопрос: как они отличаются друг от друга? Есть ли совпадения в функциональности?

Ответы [ 2 ]

0 голосов
/ 10 августа 2018

Вот простое объяснение

Контейнеры Kata

Некоторые контейнеры , которые работают на Аппаратное обеспечение .

Традиционные виртуальные машины являются защищенными , но не такими быстрыми , как контейнеры. Проект Kata Containers похож на виртуальную машину, такую ​​же легкую, как контейнер. Другими словами, Kata Containers решает проблему низкой скорости ВМ .

гВизор

Контейнеры, работающие внутри песочницы с именем gVisor (есть песочница за контейнер)

Контейнеры быстрые , но не такие безопасные , как виртуальные машины. gVisor - это что-то вроде песочницы, и каждый контейнер должен работать внутри одной песочницы. Другими словами, gVisor решил проблему безопасности 1040 * Контейнеры .

0 голосов
/ 03 мая 2018

Из того, что я собрал из блога gVisor:

Ката Контейнеры

  • Полное ядро ​​поверх облегченной QEMU / KVM VM.
  • Позволяет системным вызовам проходить свободно
  • Нарушение производительности из-за уровня VM. Пока не ясно, насколько медленнее или быстрее gVisor
  • На бумаге медленное время запуска.
  • Может запускать любое приложение.
  • Может работать во вложенных виртуальных средах, если гипервизор и оборудование поддерживают его.

гВизор

  • Частичное ядро ​​в пользовательском пространстве.
  • Перехватывает системные вызовы
  • Снижение производительности во время выполнения из-за фильтрации системных вызовов. Пока не ясно, насколько медленнее или быстрее Kata.
  • На бумаге более быстрое время запуска.
  • Может запускать только приложения, использующие поддерживаемые системные вызовы.
  • На бумаге вам может не понадобиться вложенная виртуализация.
...