Container系列 kata vs gVisor vs Firecracker and k8s runtime (1)

Docker是一个container platform, 容器平台.

根据这篇吴叶磊的文章
K8s和Container都各自开了一个标准,k8s的那个叫CRI(container runtime interface,gRPC来create/start等),Container的那个叫做OCI(open container initiative-- Runtime specification and image specification,容器能够接受的命令)。只要符合这个标准的都能够运行。

kata vs gVisor and Firecracker
这几个都是所谓的sandbox container or secure container,即基于轻量级VM的容器,一个VM跑一个container。这样就保证了安全性,以及多租户。

这些“容器”都要实现OCI,这样才能被称为容器。

Kata利用CRI里面的RunPodSandbox创建一个VM,然后往里面加container。
gVisor不创建VM,利用一个“gVisor”来处理syscall。gVisor是一个极度paravirtualization的OS。作为GuestOS,涵盖OS功能。gVisor又被分为Sentry(主要部分)和沙盒之外的gofer(用来做IO),它们之间用9P协议来连接。
Firecracker采用KVM,但是除了内存和CPU,采用轻量级Rust来实现网络,IO等设备虚拟化。

你可能感兴趣的:(introduction)