47 _ 绝不仅仅是安全：Kata Containers 与 gVisor1

file:///C:/Users/qiaochaowen/Desktop/k8s/47%20%20%E7%BB%9D%E4%B8%8D%E4%BB%85%E4%BB%85%E6%98%AF%E5%AE%89%E

…

47 | 绝不仅仅是安全：Kata Containers 与 gVisor

47 | 绝不仅仅是安全：Kata

与 gVisor。

在上一篇文章中，我为你详细地讲解了 kubelet 和 CRI 的设计和具体的工作原

理。而在讲解 CRI 的诞生背景时，我也提到过，这其中的一个重要推动力，就是

基于虚拟化或者独立内核的安全容器项目的逐渐成熟。

使用虚拟化技术来做一个像 Docker 一样的容器项目，并不是一个新鲜的主意。早

在 Docker 项目发布之后，Google 公司就开源了一个实验性的项目，叫作

novm。这，可以算是试图使用常规的虚拟化技术来运行 Docker 镜像的第一次尝

试。不过，novm 在开源后不久，就被放弃了，这对于 Google 公司来说或许不

file:///C:/Users/qiaochaowen/Desktop/k8s/47%20%20%E7%BB%9D%E4%B8%8D%E4%BB%85%E4%BB%85%E6%98%AF%E5%AE%89%E

…

算是什么新鲜事，但是 novm 的昙花一现，还是激发出了很多内核开发者的灵

于 Kata Containers 的本质就是一个精简后的轻量级虚拟机，所以它的特点，就

是“像虚拟机一样安全，像容器一样敏捷”。

而在 2018 年，Google 公司则发布了一个名叫 gVisor 的项目。gVisor 项目给容

器进程配置一个用 Go 语言实现的、运行在用户态的、极小的“独立内核”。这个

内核对容器进程暴露 Linux 内核 ABI，扮演着“Guest Kernel”的角色，从而达

到了将容器和宿主机隔离开的目的。

不难看到，无论是 Kata Containers，还是 gVisor，它们实现安全容器的方法其

实是殊途同归的。这两种容器实现的本质，都是给进程分配了一个独立的操作系统

内核，从而避免了让容器共享宿主机的内核。这样，容器进程能够看到的攻击面，

就从整个宿主机内核变成了一个极小的、独立的、以容器为单位的内核，从而有效

file:///C:/Users/qiaochaowen/Desktop/k8s/47%20%20%E7%BB%9D%E4%B8%8D%E4%BB%85%E4%BB%85%E6%98%AF%E5%AE%89%E

…