如今最流行的容器运行时就是runc和kata-container。一般而言runc比kata效率高,kata比runc安全。我在测试中发现他们之间不易察觉的另一个隐秘的区别, 我把它叫“钓鱼执法”
举个例子:
docker run -d -m 4G tensorflow tensorflow
这个例子我没运行过,我的意思是当我们给容器设定一个内存限制时,对于runc和kata将有不同的表现。如果你的服务器的内存很大比如100G,那容器分配的内存只占机器很少一部分。当你的应用需要的内存较大的时候可能会超过容器的内存限制,那么这个时候runc就会跟kata表现出不同。runc很可能别oom掉,而kata却能正常工作。这种结果的巨大差异就是因为他们实现截然不同。runc是host上的一个进程,kata是个虚拟机。runc中的进程需要大量内存的时候,因为host上有足够的内存,因此应用会不断获得内存直到达到限制被oom。这跟钓鱼执法很像,明明给你设置了限制,我却不提醒你,也不帮你flush内存,等着你超出内存限制然后杀死你。kata就不一样了,他是在虚拟机中,一旦内存占用太多就会调用内核线程回收内存,保证系统不会垮掉,也保证了应用可以正常运行。