Edukiontziek normalean aplikazio bakarra exekutatzen dute eta aldaezinak dira, hau da, eta aldaketak ez dira berrabiarazten bitartean gordetzen. Edukiontziek ere ez dute beren nukleoa.

VMek, bestalde, sistema eragile osoa exekutatzen dute, nukleoa, init script-ak, sistemako demonioak, etab. Biltegiratzea normalean berrabiarazten den bitartean mantentzen da.

VMak eta Edukiontziek helburu ezberdina dute - google "VMs vs Containers" bezalako zerbait, Interneten ugari dago.

Edukiontzia AWS zerbitzu gisa exekutatu nahi baduzu, azpimarragarriak diren VMak begiratu beharrik gabe AWS Fargate - zuk nahi duzuna egiten du.

Itxaropenak lagunduko duela:)

Segurtasuna arrazoia da, zalantzarik gabe. Edukiontziek kernel bera partekatzen dute beraien eta ostalariaren artean. Beraz, ez dira% 100 isolatutzat jotzen.

Hala ere, hodei hornitzaileek edukiontziak ere ematen dituzte. AWS-k ere egiten du. Edukiontziak VMak baino merkeagoak direla suposatzen dut, baina ez dut egiaztatu.

Funtsean eskatzen duzuna gai orokorragoa da, VMs vs. containers; Plataforma edozein dela ere, alde onak eta txarrak berdinak dira.

Существует несколько различных подходов к контейнерам, и текущий принятый ответ, кажется, учитывает только контейнеры в стиле OCI (похожие на докеры). Есть много других типов контейнеров, таких как тюрьмы LXC и BSD, которые имеют разные подходы.

LXC, например, может легко содержать несколько приложений и является изменяемым по умолчанию. В нем также есть сценарии инициализации и системные демоны (systemd и т. Д.).

Возможно, труднее выделить ресурсы ЦП без использования виртуальных машин? И в результате пользователи будут сражаться друг за друга, чтобы занять доступный ЦП?

Выделение ресурсов ЦП, ОЗУ и дискового пространства можно также легко выполнить с помощью контейнеров.

Положительным моментом будет то, что вычислительный экземпляр будет

Подготовка контейнеров не является мгновенной задачей (но может быть быстрее, чем «60-90 секунд»), поскольку вам все равно нужно получить изображение, извлечь его и запустить.

Или, возможно, есть некоторые проблемы с безопасностью?

Безопасность является основным источником беспокойства для всех контейнерных решений, о которых я упоминал, поскольку все они используют одно ядро. Хотя существует множество мер безопасности, время от времени все же обнаруживаются уязвимости. Если бы у вас был общий сервер с вашими друзьями, и у вас у всех были контейнеры в них, вы, вероятно, были бы в основном в безопасности, но в масштабе крупных провайдеров, таких как Amazon (где множество компаний используют их услуги), это может быть значительным проблема безопасности.

Если вы, например, посетите веб-сайт AWS Fargate , там будет указано, что многие ресурсы для их контейнеров не используются совместно, и с этой точки зрения он намного ближе к виртуальной машине, чем к традиционному собственному -hosted container:

Отдельные задачи ECS или модули EKS выполняются в своей собственной выделенной среде выполнения ядра и не разделяют ЦП, память, хранилище или сетевые ресурсы с другими задачами и модулями. Это обеспечивает изоляцию рабочей нагрузки и повышенную безопасность для каждой задачи или модуля.

Еще одна проблема, которую я хотел бы отметить, - это совместимость. Поскольку ваш доступ к ядру (а также, возможно, ваши системные вызовы) ограничен, вы не можете выполнять определенные задачи, такие как загрузка модулей dkms или выполнение конфигураций sysctl. Не все приложения будут работать в этом режиме, но это скорее исключение, чем норма.

Существует множество допустимых вариантов использования контейнеров (как OCI-подобных, так и LXC-подобных), и это определенно не «одно решение». все. Отсутствие необходимости запускать все ядро ​​и выполнять другие типы виртуализации (графика,аудио, сеть и т. д.) приводит к гораздо меньшим накладным расходам, но также необходимо учитывать недостатки использования контейнеров, некоторые из которых я упомянул в своем ответе.