Kata Containers vs gVisor？

Question

据我了解, 卡塔容器

Kata Container构建轻量级虚拟机(VM)的标准实现,它感觉和执行类似容器,但提供VM的工作负载隔离和安全优势

另一方面,顾问

gVisor是容器的用户空间内核.它限制了应用程序可访问的主机内核表面,同时仍然允许应用程序访问它期望的所有功能.

我相信,这两种技术都试图将linux空间添加到容器中以增​​强安全性.

我的问题是他们如何彼此不同？功能上有重叠吗？

Answer 1

从我从gVisor博客收集到的内容:

卡塔容器

• 轻量级QEMU/KVM VM上的完整内核.
• 让系统调用自由进行
• VM层导致性能下降.尚不清楚比gVisor更慢或更快
• 在纸面上,启动时间较慢.
• 可以运行任何应用程序
• 如果管理程序和硬件支持,则可以在嵌套的虚拟化环境中运行.

gVisor

• 用户空间中的部分内核.
• 拦截系统调用
• 系统调用过滤导致运行时性能下降.尚不清楚比卡塔更慢或更快.
• 在纸面上,启动时间更快.
• 只能运行使用受支持的系统调用的应用程序.
• 在纸面上,您可能不需要嵌套虚拟化.

Answer 2

这是一个简单的解释

卡塔容器

某种在硬件上运行的容器。

传统的虚拟机是安全的，但不如容器快。Kata Containers Project 就像一个虚拟机，就像一个容器一样轻量级。换句话说，Kata Containers 解决了VM 的低速问题。

gVisor

在名为 gVisor的沙箱中运行的容器（每个容器有一个沙箱）

容器速度快，但不如虚拟机安全。gVisor 就像一个沙箱，每个容器都应该在一个沙箱中运行。换句话说，gVisor 解决了Containers的安全问题。