47 | 绝不仅仅是安全：Kata Containers 与 gVisor

该思维导图由 AI 生成，仅供参考

Kata Containers 和 gVisor 是两种安全容器实现，它们的设计原理都是为容器进程分配一个独立的操作系统内核，从而避免容器共享宿主机的内核，有效解决了容器进程发生“逃逸”或夺取整个宿主机控制权的问题。Kata Containers 使用传统的虚拟化技术，通过虚拟硬件模拟出一台“小虚拟机”，在其中安装裁剪后的 Linux 内核来实现强隔离。而 gVisor 则使用 Go 语言“模拟”出一个运行在用户态的操作系统内核，通过这个模拟的内核来代替容器进程向宿主机发起有限的、可控的系统调用。Kata Containers 的虚拟机里有一个特殊的 Init 进程负责管理用户容器，并且只为这些容器开启 Mount Namespace，而 gVisor 则为应用进程启动了一个名叫 Sentry 的进程，提供传统的操作系统内核的能力。Kata Containers 通过 vhost 技术和 PCI Passthrough 来优化虚拟机的 I/O 性能，而 gVisor 则使用 KVM 进行系统调用的拦截。尽管 gVisor 的实现还不够完善，但随着后续的发展，这些工程问题一定会逐渐解决。另外，AWS 也发布了一个叫做 Firecracker 的安全容器项目，其核心是一个用 Rust 语言重新编写的 VMM，与 Kata Containers 的本质原理相似。 Kata Containers 默认使用的 VMM 是 Qemu，而 Firecracker，则使用自己编写的 VMM。所以，理论上，Kata Containers 也可以使用 Firecracker 运行起来。 在性能上，KataContainers 和 KVM 实现的 gVisor 基本不分伯仲，在启动速度和占用资源上，基于用户态内核的 gVisor 还略胜一筹。但是，对于系统调用密集的应用，比如重 I/O 或者重网络的应用，gVisor 就会因为需要频繁拦截系统调用而出现性能急剧下降的情况。此外，gVisor 由于要自己使用 Sentry 去模拟一个Linux 内核，所以它能支持的系统调用是有限的，只是 Linux 系统调用的一个子集。 不过，gVisor 虽然现在没有任何优势，但是这种通过在用户态运行一个操作系统内核，来为应用进程提供强隔离的思路，的确是未来安全容器进一步演化的一个非常有前途的方向。 值得一提的是，Kata Containers 团