Container系列 kata vs gVisor vs Firecracker and k8s runtime (1)

Docker是一个container platform, 容器平台.

根据这篇吴叶磊的文章
K8s和Container都各自开了一个标准，k8s的那个叫CRI（container runtime interface，gRPC来create/start等），Container的那个叫做OCI（open container initiative-- Runtime specification and image specification，容器能够接受的命令）。只要符合这个标准的都能够运行。

kata vs gVisor and Firecracker
这几个都是所谓的sandbox container or secure container，即基于轻量级VM的容器，一个VM跑一个container。这样就保证了安全性，以及多租户。

这些“容器”都要实现OCI，这样才能被称为容器。

Kata利用CRI里面的RunPodSandbox创建一个VM，然后往里面加container。
gVisor不创建VM，利用一个“gVisor”来处理syscall。gVisor是一个极度paravirtualization的OS。作为GuestOS，涵盖OS功能。gVisor又被分为Sentry(主要部分)和沙盒之外的gofer（用来做IO），它们之间用9P协议来连接。
Firecracker采用KVM，但是除了内存和CPU，采用轻量级Rust来实现网络，IO等设备虚拟化。