runc容器中的”钓鱼执法“

最新推荐文章于 2022-10-24 21:14:00 发布
最新推荐文章于 2022-10-24 21:14:00 发布
阅读量338 收藏 1
点赞数
分类专栏: linux docker 虚拟化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wujianyongw4/article/details/103680825
版权
linux 同时被 3 个专栏收录
63 篇文章 0 订阅
订阅专栏
虚拟化
37 篇文章 12 订阅
订阅专栏
docker
11 篇文章 0 订阅
订阅专栏

如今最流行的容器运行时就是runc和kata-container。一般而言runc比kata效率高,kata比runc安全。我在测试中发现他们之间不易察觉的另一个隐秘的区别, 我把它叫“钓鱼执法”

举个例子:

docker run -d -m 4G tensorflow tensorflow

这个例子我没运行过,我的意思是当我们给容器设定一个内存限制时,对于runc和kata将有不同的表现。如果你的服务器的内存很大比如100G,那容器分配的内存只占机器很少一部分。当你的应用需要的内存较大的时候可能会超过容器的内存限制,那么这个时候runc就会跟kata表现出不同。runc很可能别oom掉,而kata却能正常工作。这种结果的巨大差异就是因为他们实现截然不同。runc是host上的一个进程,kata是个虚拟机。runc中的进程需要大量内存的时候,因为host上有足够的内存,因此应用会不断获得内存直到达到限制被oom。这跟钓鱼执法很像,明明给你设置了限制,我却不提醒你,也不帮你flush内存,等着你超出内存限制然后杀死你。kata就不一样了,他是在虚拟机中,一旦内存占用太多就会调用内核线程回收内存,保证系统不会垮掉,也保证了应用可以正常运行。

jongwu3
关注
专栏目录
李福攀:Kata安全容器在蚂蚁集团的应用实践
m0_46700908的博客
06-29 2037
2022年6月7日,在CSDN云原生系列在线峰会第7期“安全技术峰会”上,蚂蚁集团高级技术专家李福攀分享了Kata安全容器及其在蚂蚁集团的落地实践。
Runc容器运行过程
Tongsheng_li的博客
12-01 904
在每一个Kubernetes节点,运行着kubelet,负责为Pod创建销毁容器,kubelet预定义了API接口,通过GRPC从指定的位置调用特定的API进行相关操作。而这些CRI的实现者,如cri-o, containerd等,通过调用runc创建出容器。runc功能相对单一,即针对特定的配置,构建出容器运行指定进程,它不能直接用来构建镜像,kubernetes依赖的如cri-o这类CRI,在runc基础上增加了通过API管理镜像,容器等功能。 Kubelet,Cri-O,runc,Linux大致层级
ATC‘22顶会论文RunD:高密高并发的轻量级 Serverless 安全容器运行时 | 龙蜥技术
weixin_60347558的博客
09-02 532
目前的安全容器软件栈 — 包括 host 操作系统的 cgroup、guest 操作系统和用于函数工作负载的容器 rootfs,都会导致低部署密度和在低并发能力。为此,RunD 作为一种轻量级安全容器运行时,提出了 host-to-guest 的全栈优化方案来解决上述问题。
容器 runc kata_runC:小型容器引擎
cumj63710的博客
06-20 899
容器 runc kata runC是一种轻量级的通用容器运行时,是一种命令行工具,用于根据开放容器倡议(OCI)规范生成和运行容器。 那是短版。 长版:由Docker,Google,IBM,Microsoft,Red Hat和许多其他合作伙伴创建的用于创建通用和标准化运行时规范的治理伞,具有容器的运行时元素的可读规范文档,以及基于可用的实现Docker贡献给OCI的代码。 它包括libconta...
多年锤炼,迈向Kata 3.0 !走进开箱即用的安全容器体验之旅| 龙蜥技术
weixin_60347558的博客
07-01 463
文/云原生 SIG(Special Interest Group)一、Kata 的过去让我们将时钟拨回 2015 年 5 月,Hyper.sh 和 Intel 开源技术心的工程师们分别独立发布了runV 和 Clear Containers 的虚拟化容器项目,而这两个项目便是 Kata Containers1的前身。这两个项目互相有很多交流,在分别独立发展了两年半之...
【云原生】容器技术发展
include的博客
10-19 792
云原生技术有利于各组织在等新型动态环境,构建和运行的应用。云原生的代表技术包括。”聊容器技术避不开云原生,聊云原生也避不开容器技术。容器技术和云原生就是一对双螺旋体,。从2013年docker(container)技术诞生,到2015年CNCF这个云原生领域重量级联盟便成立,这不是历史的巧合而是历史的必然。作为云原生关键技术之一的容器,从2013年诞生以来一直是行业关注的焦点之一。
Docker Runc容器生命周期详细介绍
09-30
Docker Runc是Docker生态系统的核心组件,它负责管理容器的生命周期,特别是与Linux内核交互的部分。本文将深入探讨Runc如何控制容器的生命周期,包括其内部状态转换、关键接口及其与Docker客户端命令的对应关系。...
crun:快速轻量的功能齐全的OCI运行时和用于运行容器的C库
02-03
crun的目标是也可以用作可轻松包含在程序的库,而无需用于管理OCI容器的外部过程。 性能 crun比runc更快,并且内存占用量低得多。 这是我的机器上依次运行100个容器所经过的时间,这些容器运行/bin/true : n ...
runC 64位安装包,配置containerd使用
最新发布
12-07
在 Kubernetes (k8s) 和其他容器编排系统,runC扮演着核心角色,它负责创建和运行容器的底层逻辑。本篇将详细介绍如何安装64位的runC,并配置containerd以实现高效、安全的容器管理。 **一、runC 安装** 1. **...
干货|认识kata-containers
中兴开发者社区
01-05 1万+
点击上方“兴开发者社区”,关注我们每天读一篇一线开发者原创好文认识kata-containers 1、kata-containers是什么 2、在容器生态系统的位置 3、包含的组件及其功能介绍 4、现状以及后续的计划 5、在Docker的使用 本文主要让大家认识什么是kata-containers,它在容器生态系统的位置,如何跟现有容 器系统进行集成。最后介绍如何在Docker使用kat
不止Docker:8款容器管理开源方案
Docker的专栏
06-28 825
Docker诞生于2013年,并普及了容器的概念,以至于大多数人仍然将容器的概念等同于“Docker容器”。作为第一个吃螃蟹的人,Docker设置了新加入者必须遵守的标准。例如,Docke...
【云原生】安全容器 Kata Containers
include的博客
10-24 2580
出于对传统容器安全性的担忧,Intel 在 2015 年启动了它们以虚拟机为基础的容器技术:Clear Container。Clear Container 依赖 Intel VT 的硬件虚拟化技术以及高度定制的 QEMU-KVM(qemu-lite)来提供高性能的基于虚拟机的容器。在 2017 年,Clear container 项目加入了 Hyper RunV,这是一个基于 hypervisor 的 OCI 运行时,从而启动了 Kata 容器项目。
为Kubernetes选择合适的容器运行时
谢小鱼的博客
07-13 1191
作为后台支撑,Kubernetes优势明显,具有自动化部署、服务伸缩、故障自我修复、负载均衡等特性。我们目前的系统的后台支撑大量使用了Kubernetes,不同的系统对于数据的安全性及运行效率也各不一样,因此如何选择合适容器运行时成为了一个重点考虑的问题。.........
katacontainer基础知识】kata-container介绍与原理
zhonglinzhang
01-15 1万+
WHY ? 弥补了传统容器技术安全性的缺点,Kata Containers通过使用硬件虚拟化来达到容器隔离的目的。每一个container/pod 都是基于一个独立的kernel实例来作为一个轻量级的虚拟机。自从每一个container/pod运行与独立的虚拟机上,他们不再从宿主机内核上获取相应所有的权限。 WHAT ? kata container...
kata-container初探
热门推荐
hdu_hanwei的专栏
09-04 2万+
概览 kata containers是由OpenStack基金会管理,但独立于OpenStack项目之外的容器项目。kata containers整合了Intel的 Clear Containers 和 Hyper.sh 的 runV,能够支持不同平台的硬件 (x86-64,arm等),并符合OCI(Open Container Initiative)规范,同时还可以兼容k8s的 CRI(Cont...
关于Kata Container,用户最关心这三个问题
开源云中文社区
05-03 1783
导读Kata Containers是一个新的开源项目,由Apache 2.0授权,由OpenStack Foundation管理,将容器的速度与虚拟机的安全性相结合。Ka...
k8s集成containerd,集成crictl工具,集成kata
sinat_38453878的博客
03-03 2812
场景记录:需要使用kata安全容器,与runc共存,同时替换docker为containerd,使用crictl工具作为镜像管理的客户端工具,记录实操及问题解决的过程 基础环境:(kvm虚拟机)centos-7.9 + k8s-v1.23.0,k8s集群环境安装可参见 这里 https://blog.csdn.net/sinat_38453878/article/details/123224546?spm=1001.2014.3001.5502 安装kata 参见 这里 https://blog.csdn.
Runc创建container流程
s812289480的博客
10-23 607
之前看runc时画的图,主要参考http://www.sel.zju.edu.cn/?p=840里介绍的runc创建容器的执行流程和runc源代码,如果有需要的话可以对照着看一下
runC源码分析——Create/Run Container
WaltonWang's Blog
12-25 1万+
本文是对runC源码的核心部分——Create Command & Run Command 进行源码分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值