文档首页> 云容器引擎 CCE> 常见问题> 节点> 节点创建> 普通容器与安全容器的区别
更新时间:2022-05-06 GMT+08:00
分享

普通容器与安全容器的区别

安全容器的概念主要与普通容器进行比较的。

和普通容器相比,它最主要的区别是每个容器(准确地说是pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。

CCE Turbo集群下单节点支持普通容器和安全容器,您可以根据业务需求选择使用,两者的区别如下:

分类

安全容器

Docker普通容器

Containerd普通容器

容器所在节点类型

裸金属服务器

虚拟机

虚拟机

容器引擎

Containerd

Docker

Containerd

容器运行时

Kata

runc

runc

容器内核

独占内核

与宿主机共享内核

与宿主机共享内核

容器隔离方式

轻量虚拟机

Cgroups和Namespace

Cgroups和Namespace

容器引擎存储驱动

DeviceMapper

OverlayFS2

OverlayFS

Pod Overhead

内存:50MiB

CPU:0.1Core

Pod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu = 0.5Core和limits.memory = 256MiB,那么该Pod最终会申请0.6Core的CPU和306MiB的内存。

最小规格

内存:256MiB

CPU:0.25Core

容器引擎命令行

crictl

docker

crictl

Pod的计算资源

CPU和内存的request和limit必须一致

CPU和内存的request和limit可以不一致

CPU和内存的request和limit可以不一致

hostnetwork

不支持

支持

支持

Containerd和Docker命令行的使用方式对比,请参见如何选择Containerd和Docker

分享:

节点创建所有常见问题

more

close