问题标签 [kata-containers]

据我了解， Kata Containers

Kata Container 构建轻量级虚拟机 (VM) 的标准实现，其感觉和执行类似于容器，但提供 VM 的工作负载隔离和安全优势

另一方面，gvisor

gVisor 是容器的用户空间内核。它限制了应用程序可访问的主机内核表面，同时仍允许应用程序访问它期望的所有功能。

我相信，这两种技术都试图将linux 空间添加到容器中以增​​强安全性。

我的问题是它们有何不同？功能有重叠吗？

Kubernetes Ingress 是否足够安全，可以避免在 Kubernetes 前面添加 DMZ 以暴露 Pod 和服务？如果有人“入侵”到 Pod 会发生什么？

谢谢。

Kata 容器试图通过提供更多隔离来使容器安全。

轻量级虚拟机 (VM)，感觉和执行类似于容器，但提供 VM 的工作负载隔离和安全优势。

如果我正在建造一个游乐场/代码小提琴（类似于ideone），它们是否足够安全以编译和运行不受信任的代码？

对于这种类型的容器，这是一个好的/预期的用途吗？

Kata 1.6.2 发布页面在这里： https ://github.com/kata-containers/runtime/releases/tag/1.6.2

我们正在尝试使用最新的 stable-1.6 版本的 kata，但在尝试安装软件包时遇到了下面的依赖错误。

https://imgur.com/aA8GOe2.jpg

我已在 aws firecracker 中发出以下命令来配置 VM。我的主机中只有 8 个 vcpu。

在 Kubernetes 中，如果我们尝试在主机中配置 vcpu 超过 max vcpu 的 pod，它将进入挂起状态。但鞭炮没有显示任何错误或警告它刚刚启动了虚拟机。

谁能解释一下鞭炮如何处理vcpu？

首先，我使用命令安装 qemu-2.11.1：

然后我在 kata-containers/runtime 中执行命令：

经过这些事情，我只是检查了环境是否适合kata-container。但它表明：

我发现 /usr/share/kata-containers 根本不存在。我搜索了此错误消息，但没有解决方案。我想知道我如何处理这个问题。谢谢你。

在主机上的 cgroup 文件中找到的统计信息，如果容器不与主机共享内核，它们是否可靠？

我问这个是因为虽然它对 docker 是可靠的，但 K8s 支持多个运行时 - 有些提供带有自己内核的容器，我应该依赖运行时守护进程来获取统计信息，还是可以绕过它们并仍然查看 cgroup 文件.

文档中给出了多种安装 kata 容器的方法。但是，是否有提供卸载 kata 的工具？

我想删除我计算机上安装的所有 kata，以便重新开始安装。

我之前用 Docker 部署过 Kubernetes。我无法使用 Kata Container 部署 K8s。kata 容器是否完全取代了 Kubernetes 中的 Docker？所以我必须从我的节点上卸载 Docker 才能让它工作？我现在很困惑。

我正在尝试使用 Traefik 的负载平衡容器的 Katacoda 游乐场- https://www.katacoda.com/courses/traefik/deploy-load-balancer：

这是教程中启动 Traefik 节点和 2 个测试容器的确切 Docker 撰写脚本：

我运行 Docker-Compose 命令，如教程中所述：

但是，当我检查容器列表时，我只能看到创建了 2 个容器。Traefik 容器未创建：

下一步也失败了。这可能是因为 Traefik 容器没有运行：

任何人都可以复制本教程，请让我知道原因并修复此错误吗？