Ката Контейнеры против gVisor?

Question

Ката Контейнеры против gVisor?

Как я понимаю, Kata Containers

Kata Container создает стандартную реализацию облегченных виртуальных машин (ВМ), которые чувствуют и работают как контейнеры, но обеспечивают изоляцию рабочей нагрузки и преимущества безопасности ВМ

С другой стороны, Gvisor

gVisor - это ядро пользовательского пространства для контейнеров. Он ограничивает поверхность ядра хоста, доступную для приложения, и в то же время предоставляет приложению доступ ко всем ожидаемым функциям.

Как я полагаю, обе эти технологии пытаются добавить пространство linux в контейнеры для повышения безопасности.

Мой вопрос: как они отличаются друг от друга? Есть ли совпадение в функциональности?

25

kubernetes

Источник

user8803619 02 май '18 в 20:50

2 ответа

Решение

Вот простое объяснение

Ката Контейнеры

Какие-то Контейнеры, которые работают на Аппаратных средствах.

Традиционные виртуальные машины безопасны, но не так быстро, как контейнеры. Проект Kata Containers похож на виртуальную машину, такую же легкую, как контейнер. Другими словами, Kata Containers решили проблему низкой скорости виртуальных машин.

gVisor

Контейнеры, работающие внутри песочницы с именем gVisor (есть песочница для контейнера)

Контейнеры быстрые, но не такие безопасные, как виртуальные машины. gVisor - это что-то вроде песочницы, и каждый контейнер должен работать внутри одной песочницы. Другими словами, gVisor решил проблему безопасности контейнеров.

7

Источник

user10076651 10 авг '18 в 17:03

Другие вопросы по тегам kubernetes

user2989261 03 май '18 в 08:46 2018-05-03 08:46 · Accepted Answer · 2018-05-03 08:46

Из того, что я собираю из блога gVisor:

Ката Контейнеры

Полное ядро поверх легкого QEMU/KVM VM.
Позволяет системным вызовам проходить свободно
Нарушение производительности из-за уровня VM. Пока не ясно, насколько медленнее или быстрее, чем gVisor
На бумаге медленное время запуска.
Можно запустить любое приложение.
Может работать во вложенных виртуальных средах, если гипервизор и оборудование поддерживают его.

gVisor

Частичное ядро в пользовательском пространстве.
Перехватывает системные вызовы
Потеря производительности во время выполнения из-за фильтрации системных вызовов. Пока не ясно, насколько медленнее или быстрее Kata.
На бумаге быстрое время запуска.
Могут запускаться только приложения, использующие поддерживаемые системные вызовы.
На бумаге вам может не понадобиться вложенная виртуализация.