卡塔容器vs gVisor? [英] Kata Containers vs gVisor?

问题描述

据我了解， Kata容器

Kata Container构建了轻量级虚拟机(VM)的标准实现，这些虚拟机的感觉和性能类似于容器，但提供了VM的工作负载隔离和安全优势

Kata Container build a standard implementation of lightweight Virtual Machines (VMs) that feel and perform like containers but provide the workload isolation and security advantages of VMs

另一方面， gvisor

gVisor是容器的用户空间内核.它限制了应用程序可访问的主机内核表面，同时仍使应用程序可以访问其期望的所有功能.

gVisor is a user-space kernel for containers. It limits the host kernel surface accessible to the application while still giving the application access to all the features it expects.

我相信，这两种技术都试图在容器中添加 linux空间，以增强安全性.

As I believe, both of these technology trying to add linux space into containers in order to enhance security.

我的问题是它们之间有何不同?功能上有重叠吗?

My question is How do they differ from each other ? Is there overlapping in functionalities?

推荐答案

从gVisor博客中收集的信息:

From what I gather from the gVisor blog:

Kata容器

• 在轻量级QEMU/KVM VM之上的完整内核.
• 让系统调用免费进行
• 由于VM层而导致的性能损失.尚不清楚比gVisor慢还是快
• 在纸面上，启动时间较慢.
• 可以运行任何应用程序.
• 如果管理程序和硬件支持，则可以在嵌套的虚拟化环境中运行.

gVisor

• 用户空间中的部分内核.
• 拦截系统调用
• 由于系统调用过滤而导致运行时性能下降.还不清楚比Kata慢多少.
• 在纸上，更快的启动时间.
• 只能运行使用受支持的系统调用的应用程序.
• 在纸面上，您可能不需要嵌套虚拟化.

这篇关于卡塔容器vs gVisor?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！