Container系列 kata vs gVisor vs Firecracker and k8s runtime (1)

最新推荐文章于 2024-08-07 09:57:57 发布
最新推荐文章于 2024-08-07 09:57:57 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: introduction
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SpanningWings/article/details/88532036
版权

Docker是一个container platform, 容器平台.

根据这篇吴叶磊的文章
K8s和Container都各自开了一个标准,k8s的那个叫CRI(container runtime interface,gRPC来create/start等),Container的那个叫做OCI(open container initiative-- Runtime specification and image specification,容器能够接受的命令)。只要符合这个标准的都能够运行。

kata vs gVisor and Firecracker
这几个都是所谓的sandbox container or secure container,即基于轻量级VM的容器,一个VM跑一个container。这样就保证了安全性,以及多租户。

这些“容器”都要实现OCI,这样才能被称为容器。

Kata利用CRI里面的RunPodSandbox创建一个VM,然后往里面加container。
gVisor不创建VM,利用一个“gVisor”来处理syscall。gVisor是一个极度paravirtualization的OS。作为GuestOS,涵盖OS功能。gVisor又被分为Sentry(主要部分)和沙盒之外的gofer(用来做IO),它们之间用9P协议来连接。
Firecracker采用KVM,但是除了内存和CPU,采用轻量级Rust来实现网络,IO等设备虚拟化。

向标杆直跑
关注
专栏目录
【云原生进阶之容器】第五章容器运行时5.5--容器运行时之Kata Containers
junbaozi的专栏
04-04 609
Kata Containers是一个新的开源项目,它提供了与虚拟机工作负载隔离的Linux容器的速度和性能。它被设计为与OCI镜像兼容的体系结构,并与Kubernetes的容器运行时接口(CRI)兼容。Kata Containers托管在Apache 2许可下的Github上,并由OpenStack基金会管理。Kata Container项目是两个现有的开源项目合并——Intel Clear Containers和Hyper runV。
手把手实操教程!使用k3s运行轻量级VM
k3s中文社区
02-13 1167
前 言 k3s作为轻量级的Kubernetes发行版,运行容器是基本功能。VM的管理原本是IaaS平台的基本能力,随着Kubernetes的不断发展,VM也可以纳入其管理体系。结合Container和VM的各自优势,又发展出轻量级VM的理念,兼具容器的轻量特性,又有VM的隔离安全性,这其中kata-container是时下比较受关注的开源项目。那么轻量级的k3s和轻量级VM碰撞,又有怎样的效果,结...
安全容器:gVisor、Firecracker、LXC性能对比
文杰的博客
06-26 1614
参考论文,从各个角度比较当前容器安全产品差异
K8s、CRI与container
jimzbq的博客
01-15 1580
本篇文章梳理一下 K8s 与 CRI(Container Runtime Interface)、contaier 之间的关系。首先,我们需要知道 K8s 大体的工作流程原理。 K8s 如何工作 在 K8s 中,存在一个控制面板,也就是我们所说的 master node, 上面运行着 apiserver、controllerManager、kubeScheduler、kubedns 等组件。当我们想...
推荐开源项目:gVisor——强大的容器隔离守护者
最新发布
gitblog_01026的博客
08-07 471
推荐开源项目:gVisor——强大的容器隔离守护者 gvisor容器应用内核项目地址:https://gitcode.com/gh_mirrors/gv/gvisor 在当今的云计算和微服务时代,容器已经成为了部署应用的重要方式。然而,容器的安全性始终是一个不容忽视的问题。而【gVisor】正是为了解决这一问题应运而生的创新解决方案。 项目简介 gVisor 是一个由 Google 开发的开源...
Kata Containers 1.5正式发布,支持 Firecracker 和 s390x 架构
weixin_33943836的博客
01-25 318
这是Kata迄今为止最令人兴奋的版本,其中包括对Firecracker hypervisor、s390x架构的支持,并提供了与containerd项目集成的方法。Firecracker支持因为知道在功能、资源占用和安全性之间总是存在权衡,Kata Containers项目在设计时就考虑到要支持多个hypervisor。在1.4版本中增加了NEMU,比QEMU更加轻量级。11月底,AWS宣布推出他们...
gVisor 和 KataContainers
cr7258的博客
03-02 650
目前的容器技术仍然有许多广为人知的安全挑战,其中一个主要的问题是,从单一共享内核获得效率和性能意味着容器逃逸可能成为一个漏洞。 所以在 2015 年,几乎在同一个星期,Intel OTC (Open Source Technology Center) 和国内的 HyperHQ 团队同时开源了两个基于虚拟化技术的容器实现,分别叫做 Intel Clear Container 和 runV 项目。而在 2017 年,借着 Kubernetes 的东风,这两个相似的容器运行时项目在中立基金会的撮合下最终合并,就成
Kubernetes 安全容器技术 kata gvisor
小楼一夜听春雨,深巷明朝卖杏花
07-27 1139
本文将主要分享以下五方面的内容: 缘起:安全容器的命名 间接层:安全容器的精髓 Kata Containers:云原生化的虚拟化 gVisor:进程级虚拟化 安全容器:不止于安全 一、缘起:安全容器的命名 Phil Karlton 有一句名言:“计算机科学界只有两个真正的难题——缓存失效和命名。” 对我们容器圈而言,我相信「命名」绝对配得上这句话。这毫无疑问是一件让老开发者沉默、让新人落泪的事情。仅就系统软件而言,我们当今比较通行地称为「Linux 容器技术」这个概念,它曾经用过的名字还.
kata-containers对接firecracker
whz-emm的博客
12-15 2021
在arm64环境下测试kata-containers对接firecrackerkata2.0需要使用containerd,不能使用docker,dockerkata版本硬编码为1 下载kata-containers x86可直接下载官方打包好的压缩包,arm64需要自己编译 curl -OL https://github.com/kata-containers/kata-containers/releases/download/2.1.1/kata-static-2.1.1-x86_64.
智汇华云 | kata container virtiofs测试和技术分析
huayun2020的博客
07-15 654
云原生技术已经成为加快企业数字化转型的一个不折不扣的风向标。而以容器为代表的云原生技术正在成为释放云价值的最短路径。本期智汇华云,带大家一起了解和体验安全容器kata container的⼀些特性。 前⾔ 当前云原⽣技术发展的如⽕如荼,容器化技术以及kubernetes容器化应⽤管理平台,带来了全新的⽣ 态系统. 随着容器技术的发展,容器运⾏时规范OCI也逐渐脱离Docker被单独提了出来,kubernetes⻓期使⽤的容器运⾏时是runC,轻量,性能⾼,但因为共⽤linux内核以及namespace机制隔
安全容器在边缘计算场景下的实践
阿里云技术
12-12 356
导读:随着云计算边界不断向边缘侧延展,传统 RunC 容器已无法满足用户对不可信、异构工作负载的运行安全诉求,边缘 Serverless、边缘服务网格等更是对容器安全隔离提出了严苛的要求。本文将介绍边缘计算场景如何构建安全运行时技术基座,以及安全容器在架构、网络、监控、日志、存储、以及 K8s API 兼容等方面的遇到的困难挑战和最佳实践。 正文: 本文主要分为四个部分,首先前两个部分会分别...
47 绝不仅仅是安全:Kata Containers 与 gVisor.pdf
09-18
47 绝不仅仅是安全:Kata Containers 与 gVisor.pdf
Kubernetes(k8s)—k8s集群的部署
xy_的博客
06-24 426
【实验环境】: server2:192.168.43.11 (用作harbor镜像仓库,我们将所需的镜像放在私有仓库里面,然后进行部署,这样可以提高部署的速率。)(给了2G内存) server7: 192.168.43.16 (给了2G内存;做master结点) server8: 192.168.43.17 (给了1G内存;做slave结点) server9: 192.168.43.18 (给了1G内存;做slave结点) 1.所有节点部署docker引擎 注:关闭节点的selinux和iptables防火
Katacontainers 与 Docker 和 Kubernetes 的集成
mark's technic world
02-21 2108
Katacontainer 是 OpenStack 基金会于 2017 KubeCon 峰会上正式发布,在2018年5月份 OpenStack 温哥华峰会上对外发布1.0版本,并且在那届峰会上还有好几个关于 katacontainer 的演讲。我对 KataContainers 的具体实现原理不清楚,只知道它是一个轻量虚拟机实现,可以无缝地与容器生态系统(实现 OCI 接口)进行集成。 ka...
Kubernetes + CRI + Kata + Firecracker
百川汇海
03-16 1199
liumihust 2019-03-03 13:20:34 浏览3782 docker 容器 kubernetes OCI ECI Firecracker kata CRI Kata Kata源自希腊文Καταπίστευμα(ka-ta-PI-stev-ma),原意是值得信任的人,kata container正是解容器安全的问题而诞生的。传统的容器是基于namespace和cg...
云原生爱好者周刊:使用 AWS 开源的 FireCracker 来创建和管理 K8s 集群
KubeSphere
07-18 1886
开源项目推荐 KubeFire 这个项目比较有创意,它使用 AWS 开源的轻量级虚拟化项目 FireCracker 来创建和管理 Kubernetes 集群,摒弃了传统的 qcow2 和 vhd 等虚拟机镜像,直接从 OCI 镜像中提取 rootfs 和 kernel。它还支持多种不同的 Kubernetes 集群部署方式,比如 Kubeadm,K3s,RKE2 和 K0s。例如: $ kubefire cluster create demo --bootstrapper=kubeadm $ kubefi
推荐开源项目:Firekube——轻量级的Kubernetes集群管理神器
gitblog_00033的博客
05-09 425
推荐开源项目:Firekube——轻量级的Kubernetes集群管理神器 项目地址:https://gitcode.com/weaveworks/wks-quickstart-firekube 火立方(Firekube) 是一个基于 Ignite 和 Firecracker 的 Kubernetes 集群解决方案,采用 GitOps 管理模式。在 Linux 上,它利用 KVM 提供高效的虚拟化...
基础架构的未来 是 K8s,那么 K8s 的未来在何方?
2401_83916394的博客
04-12 1055
面试前一定少不了刷题,为了方便大家复习,我分享一波个人整理的面试大全宝典Java核心知识整理Java核心知识Spring全家桶(实战系列)其他电子书资料Step3:刷题既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。以下是我私藏的面试题库:《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
云原生中的容器安全防护和实践
bocco的博客
12-22 283
本文从容器技术、镜像、网络和运行环境等维度分析了应用容器带来的4个安全挑战,总结了5项应对举措,并从容器全生命周期保护出发,提出了容器安全解决方案。
Kata Containers与gVisor:性能对比与技术解析
它支持 OCI(开放容器倡议)运行时规范,这意味着可以与 Docker、Kubernetes(k8s)、Zun 等平台无缝集成。 gVisor,另一方面,是一种用户空间内核,完全用 Go 语言编写。它不依赖于传统的内核,而是实现了 Linux ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值