如何看待 KubeCon'17 上发布的 Kata Containers?

强哥提问于 2018-01-20 16:29

• 一涵2018-01-21 04:39

  这是一个很棒的项目。对于 VM + Container 的性能损失，业界的容忍度正在下降，而 Kata Containers 带来了解决方案。

  
  

  
  

  容器的安全隔离性从一开始就是一个问题，共享内核之下，有 Namespace 和 Cgroup 还不够，尤其是采用 Docker 的公有云平台。主流的解决办法是在虚拟机之中建立容器，网易云也采用这种折中方案，但为了保证容器的性能，团队在后端存储、网络和虚拟化层都做了大量的优化工作，过程非常痛苦。

  
  

  
  

  从网易云在7月份的网易云创大会上发布基于裸金属的超级容器，到某 h 友商近期也推出了裸金属容器，再到 Kata Containers 的推出，说明云计算圈子对强隔离性的性能损失还是非常在意。

  
  

  
  

  事实上，Hyper 和 Intel Clear Linux 两个社区也很早就在探索将如何 VM 和 Container 技术相结合，增强容器间的隔离性，同时尽量避免性能损失。Kata Containers 的推出，是社区的一个成果。

  
  

  
  

  其次，Kata Containers 由 OpenStack 基金会管理，但它是一个独立的项目，接口对接标准的 OCI 和 CRI，支持复用 Container 生态的工具，这表明容器越来越普及，而社区对 Kata Containers 的期待也很高，不局限于 OpenStack 生态。

  
  

  
  

  第三，技术上，Kata Containers的本质，还是跑在 hypervisor 上的容器，但是做了内核定制，搞了 SR-IOV、多队列等。这意味着，在实际业务场景中的性能损失，还是要经过更多的验证，尤其是在业务负载很重的场景下，问题会更加明显。如果性能没有说服力，Container 用户迁移的意愿不会很太大，毕竟 Docker 的生态和成熟度有优势。

  
  

  
  

  

  
  

  
  

  顺便说一下，网易云发布的超级容器，没有 hypervisor 层，没有严格接口 OCI，使用 Xeon 2680 v4、自研 NBS 块存储，采用 DPDK、SR-IOV、IO 优化等技术，性能提升非常明显，但是牺牲了隔离性，目前用户还只能在网易云专属云（在公有云上物理隔离出一个专属区域）上体验。所以，VM 和 Containers 还是会长期并存。

  
  

  
  

  

  
  

  
  

  如果要研究开源技术，请访问 Kata Containers 官网；如果想要体验超级容器，请关注网易云专属云。