卡塔容器vs gVisor? [英] Kata Containers vs gVisor?
问题描述
据我了解, Kata容器
Kata Container构建了轻量级虚拟机(VM)的标准实现,这些虚拟机的感觉和性能类似于容器,但提供了VM的工作负载隔离和安全优势
Kata Container build a standard implementation of lightweight Virtual Machines (VMs) that feel and perform like containers but provide the workload isolation and security advantages of VMs
另一方面, gvisor
gVisor是容器的用户空间内核.它限制了应用程序可访问的主机内核表面,同时仍使应用程序可以访问其期望的所有功能.
gVisor is a user-space kernel for containers. It limits the host kernel surface accessible to the application while still giving the application access to all the features it expects.
我相信,这两种技术都试图在容器中添加 linux空间,以增强安全性.
As I believe, both of these technology trying to add linux space into containers in order to enhance security.
我的问题是它们之间有何不同?功能上有重叠吗?
My question is How do they differ from each other ? Is there overlapping in functionalities?
推荐答案
从gVisor博客中收集的信息:
From what I gather from the gVisor blog:
Kata容器
- 在轻量级QEMU/KVM VM之上的完整内核.
- 让系统调用免费进行
- 由于VM层而导致的性能损失.尚不清楚比gVisor慢还是快
- 在纸面上,启动时间较慢.
- 可以运行任何应用程序.
- 如果管理程序和硬件支持,则可以在嵌套的虚拟化环境中运行.
gVisor
- 用户空间中的部分内核.
- 拦截系统调用
- 由于系统调用过滤而导致运行时性能下降.还不清楚比Kata慢多少.
- 在纸上,更快的启动时间.
- 只能运行使用受支持的系统调用的应用程序.
- 在纸面上,您可能不需要嵌套虚拟化.
这篇关于卡塔容器vs gVisor?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!