Ката Контейнеры против gVisor?

Как я понимаю, Kata Containers

Kata Container создает стандартную реализацию облегченных виртуальных машин (ВМ), которые чувствуют и работают как контейнеры, но обеспечивают изоляцию рабочей нагрузки и преимущества безопасности для ВМ.

С другой стороны, Gvisor

gVisor - это ядро пользовательского пространства для контейнеров. Он ограничивает поверхность ядра хоста, доступную для приложения, и в то же время предоставляет приложению доступ ко всем ожидаемым функциям.

Как я полагаю, обе эти технологии пытаются добавить пространство linux в контейнеры для повышения безопасности.

Мой вопрос: как они отличаются друг от друга? Есть ли совпадения в функциональности?

ОТВЕТЫ

Ответ 1

Из того, что я собираю из блога gVisor:

Ката Контейнеры

  • Полное ядро поверх легкой QEMU/KVM VM.
  • Позволяет системным вызовам проходить свободно
  • Нарушение производительности из-за уровня VM. Пока не ясно, насколько медленнее или быстрее, чем gVisor
  • На бумаге медленное время запуска.
  • Можно запустить любое приложение.
  • Может работать во вложенных виртуальных средах, если гипервизор и оборудование поддерживают его.

gVisor

  • Частичное ядро в пользовательском пространстве.
  • Перехватывает системные вызовы
  • Потеря производительности во время выполнения из-за фильтрации системных вызовов. Пока не ясно, насколько медленнее или быстрее Kata.
  • На бумаге быстрее время запуска.
  • Могут запускаться только приложения, использующие поддерживаемые системные вызовы.
  • На бумаге вам может не понадобиться вложенная виртуализация.

Ответ 2

Вот простое объяснение

Ката Контейнеры

Какие-то контейнеры, которые работают на оборудовании.

Традиционные виртуальные машины безопасны, но не так быстро, как контейнеры. Проект Kata Containers похож на виртуальную машину, такую же легкую, как контейнер. Другими словами, Kata Containers решили проблему низкой скорости виртуальных машин.

gVisor

Контейнеры, работающие внутри песочницы с именем gVisor (есть песочница на контейнер)

Контейнеры быстрые, но не такие безопасные, как виртуальные машины. gVisor - это что-то вроде песочницы, и каждый контейнер должен работать внутри одной песочницы. Другими словами, gVisor решил проблему безопасности контейнеров.