KataContainersvsgVisor？

据我了解, 卡塔容器

Kata Container构建轻量级虚拟机(VM)的标准实现,它感觉和执行类似容器,但提供VM的工作负载隔离和安全优势

另一方面,顾问

gVisor是容器的用户空间内核.它限制了应用程序可访问的主机内核表面,同时仍然允许应用程序访问它期望的所有功能.

我相信,这两种技术都试图将linux空间添加到容器中以增​​强安全性.

我的问题是他们如何彼此不同？功能上有重叠吗？

从我从gVisor博客收集到的内容:

卡塔容器

轻量级QEMU/KVM VM上的完整内核.

让系统调用自由进行

VM层导致性能下降.尚不清楚比gVisor更慢或更快

在纸面上,启动时间较慢.

可以运行任何应用程序

如果管理程序和硬件支持,则可以在嵌套的虚拟化环境中运行.

gVisor

用户空间中的部分内核.

拦截系统调用

系统调用过滤导致运行时性能下降.尚不清楚比卡塔更慢或更快.

在纸面上,启动时间更快.

只能运行使用受支持的系统调用的应用程序.

在纸面上,您可能不需要嵌套虚拟化.