Ignite和gVisor在使用案例方面有什么区别？

Firecracker和gVisor都是提供沙盒/隔离的技术，但方式不同。

• Firecracker（橙色框）是一种虚拟机管理器。
• gVisor（绿色框）具有控制/过滤到达实际主机的系统调用的架构。

Weave Ignite是一个工具，它可以帮助您使用Firecracker在轻量级VM内运行容器，并且使用类似于Docker的良好UX进行操作。

这也在github.com/weaveworks/ignite的范围部分中提到。

范围

Ignite与Kata Containers或gVisor不同。它们不允许您运行真正的VM，而只是在新层中包装容器以提供某种安全边界（或沙盒）。

另一方面，Ignite使您能够轻松快速地运行完整的VM，但具有熟悉的容器UX。这意味着您可以“向下移动一层”，开始管理驱动例如Kubernetes集群的VM群，但仍然像容器一样打包您的VM。

关于您问题中的使用案例部分，我认为由于VMs提供更强的隔离性，因此Ignite可以更具生产力。此外，gVisor的方法似乎有相当大的性能成本，如The True Cost of Containing: A gVisor Case Study中所述：
结论 - gVisor可以说比runc更安全 - 不幸的是，我们的分析显示有效限制的真实成本很高：系统调用慢2.2倍，内存分配慢2.5倍，大型下载慢2.8倍，文件打开慢216倍

---

当前的沙箱方法

使用gVisor进行沙箱隔离

我需要使用gVisor吗？

不需要。如果你正在运行生产工作负载，请甚至不要考虑它！现在，这只是一个比喻性的科学实验。这并不是说你将来可能不想使用它，但目前还没有必要。我对它解决进程隔离的方式没有任何问题，我认为这是个好主意。在采用这项技术之前，你应该花时间探索其他替代方案。

我应该在哪里使用它？

作为一名操作员，你需要使用gVisor来隔离那些不完全可信的应用程序容器。这可能是组织过去信任的开源项目的新版本。这可能是你的团队尚未完全审核或其他任何你不完全确定是否可以信任的东西。毕竟，如果你运行的是你没有编写的开源项目（我们所有人都是如此），你的团队肯定没有编写它，因此适当隔离和保护你的环境以防可能存在未知漏洞是好的安全和好的工程实践。

---

---

进一步阅读

我的回答包含以下信息，这些信息在“原样”下是在引用部分中的，我建议您进一步阅读：

• 什么是gVisor？ 来自Rancher博客
• 使容器更加隔离：沙盒容器技术概述
• 容器、安全和回声室 杰西·弗雷泽尔（Jessie Frazelle）的博客
• 容器隔离的真正成本：gVisor案例研究
• Kata容器与gVisor？
• Firecracker：面向无服务器应用程序的轻量级虚拟化 AWS的论文
• gVisor安全基础知识-第1部分 来自gVisor博客