谷歌是如何改进 GKE、Cloud Run 的 gVisor 文件系统性能的?

最新推荐文章于 2025-12-06 10:02:57 发布
原创 最新推荐文章于 2025-12-06 10:02:57 发布 · 367 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云原生 #chatgpt #大数据 #云计算

文章讲述了gVisor如何通过新的文件系统层VFS2和轻量级协议LISAFS提高在GKE和无服务器环境中的性能,同时保持安全性。这些改进减少了文件系统操作的开销,尤其对依赖频繁文件系统操作的工作负载,如CI/CD流程,带来了显著性能提升。

【本文由Cloud Ace整理发布,谷歌云服务请访问 Cloud Ace 官网

灵活的应用程序架构、CI/CD 管道和容器工作负载通常运行不受信任的代码,因此应该与敏感的基础设施隔离。一种常见的解决方案是部署纵深防御产品(如使用gVisor的GKE Sandbox)以通过额外的保护层隔离工作负载。Google Cloud 的无服务器产品(App Engine、Cloud Run、Cloud Functions)也使用 gVisor 对应用程序工作负载进行沙箱处理。

然而,增加防御层也会带来新的性能挑战。当 gVisor 的用户空间内核需要多个操作来遍历文件系统路径时,然后谷歌发现了一个这样的挑战。为了解决这个问题并显着提高 gVisor 的性能,编写了一个全新的文件系统层,同时考虑到性能,同时保持相同级别的安全性。新文件系统 (VFS2) 减少了为文件系统系统调用提供服务所需的操作数,减少了锁争用,更有效地分配内存,并提高了与 Linux 的兼容性。

最低0.47元/天 解锁文章
13、深入探索 Cloud Run:从容器操作到无服务器架构
gold的博客
08-25 22
本文深入探索了从容器操作到无服务器架构的多种技术,重点介绍了 Docker 容器的基本操作、Google Container Registry 的使用、Cloud Build 的构建流程,以及 Cloud Run 的核心特性和应用场景。通过对比 Cloud RunCloud Run for Anthos 的差异,帮助开发者更好地选择适合自身需求的技术方案,以实现高效、灵活的无服务器应用开发。
13、深入了解 Cloud Run:从容器操作到无服务器架构
vodka的博客
09-04 25
本文深入介绍了容器技术和无服务器架构在云计算领域的重要作用,重点探讨了 Docker 容器的基本操作、Google 云平台的开发工具(如 Container Registry 和 Cloud Build),以及 Cloud Run 的核心技术和组件。同时,文章比较了 Cloud Run 和适用于 Anthos 的 Cloud Run 的异同,并展望了这些技术在未来云计算发展中的潜力。
什么是 gVisor
pumpkin84514的博客
12-02 2580
是一种由 Google 开发的容器沙盒技术,旨在为容器提供更强的隔离和安全性。它通过模拟 Linux 内核的方式,拦截并控制容器发出的系统调用,让容器与宿主机之间形成一个“安全缓冲层”。如果传统容器是直接和宿主机的内核打交道,那么 gVisor 就像一个“中间人”,用它自己的方式管理容器的操作,从而保护宿主机的安全。
Google Cloud Run无服务器运行无状态容器
cxt70571的博客
05-19 715
Google新增了Cloud Run,这是一项托管的计算服务,它扩展了其无服务器计算选项,该服务可让您运行可通过HTTP请求调用的无状态容器。 Google Kubernetes Engine(GKE)上还提供了Cloud Run,使您可以在托管Kubernetes集群上运行容器化的HTTP工作负载。 通过Cloud Run,开发人员可以利用容器的可移植性和无服务器计算的速度。 现在处于B...
安全容器:gVisor、Firecracker、LXC性能对比
文杰的博客
06-26 2328
参考论文,从各个角度比较当前容器安全产品差异
CKS之安全沙箱运行容器:gVisor
DwanCloud
03-30 2594
gVisor是Google开源的一种容器沙箱技术,其设计初衷是在提供较高安全性的同时,尽量减少对性能的影响。通过创建一个用户空间内核,gVisor拦截并处理容器内应用程序的系统调用,从而实现对容器内进程与宿主机内核间交互的隔离。这种设计有效防止了恶意程序利用内核漏洞对宿主机造成影响。gVisor兼容OCI标准,可以无缝集成到Docker和Kubernetes(K8s)中,使其部署和使用变得更为便捷。:增强了容器的安全性,有效隔离了容器与宿主机内核的直接交互。
GKE 中游戏架构的示例实现。它使用 Go 、Java和python,并使用专用的 agones游戏服务器
06-23
此项目包含在 GKE 中实现游戏架构的示例代码。它使用专用游戏服务器 agones、stackdriver 和自定义匹配器服务来复制可扩展架构。 更多详情、使用方法,请下载后阅读README.md文件
17、云原生计算与网络架构:Knative 与 Anthos 深度解析
oil88的博客
09-07 31
本文深入解析了云原生环境下的 Knative 无服务器计算引擎与 Anthos 网络架构。介绍了 Knative 的核心组件 Serving 和 Eventing,如何将服务绑定到 Cloud IoT Core,以及其在 Prometheus、Grafana、ELK 和分布式跟踪工具支持下的可观测性能力。详细说明了 Knative 在多种 Kubernetes 环境中的安装与应用部署流程,并对比了 Cloud Run 与 Knative on Anthos 在价格、隔离、扩展性和网络等方面的差异。同时,全面
17、无服务器计算引擎(Knative)与Anthos网络环境解析
cherry的博客
08-12 65
本文深入解析了Knative无服务器计算引擎及其与Anthos网络环境的集成。内容涵盖Knative的核心组件、架构设计、部署流程以及可观测性工具的集成,同时详细探讨了Anthos在单云和多云环境下的网络设计方案,包括VPC配置、多集群通信及服务连接等关键主题。通过对比Cloud Run与Knative on Anthos,帮助开发者更好地选择适合自身需求的技术方案。
深入解析Google gVisor:容器安全隔离的创新方案
gitblog_00551的博客
06-02 383
深入解析Google gVisor:容器安全隔离的创新方案 【免费下载链接】gvisor 容器应用内核 项目地址: https://gitcode.com/GitHub_Trending/gv/gvisor ...
gvisor:容器的应用程序内核
02-02
什么是gVisorgVisor是一个用Go编写的应用程序内核,它实现了Linux系统表面的很大一部分。 它包括一个称为runsc的运行时,它在应用程序和主机内核之间提供隔离边界。 runsc运行时与Docker和Kubernetes集成在一起,使运行沙盒容器变得简单。 为什么gVisor存在? 容器不是。 尽管容器彻底改变了我们开发,打包和部署应用程序的方式,但是使用它们来运行不受信任的代码或潜在的恶意代码而不进行额外的隔离并不是一个好主意。 虽然使用单个共享内核可以提高效率和性能,但是这也意味着可以通过单个漏洞进行容器转义。 gVisor是容器的应用程序内核。 它限制了应用程序可访问的主机内核表面,同时仍允许应用程序访问其期望的所有功能。 与大多数内核不同,gVisor不需要或不需要固定的物理资源集; 相反,它利用现有的主机内核功能并按正常流程运行。 换句话说,gVisor通过Linux来实现Linux。 gVisor不应与技术和工具相混淆,以使容器能够抵御外部威胁,提供额外的完整性检查或限制服务的访问范围。 人们应该始终对容器可用的数据保持谨慎。 文献资料 用户文档和技
gVisor:Google开源的新型沙箱容器运行时环境
liukuan73的专栏
08-28 1310
转载自:http://dockone.io/article/5280 容器技术彻底改变了我们对应用程序进行开发、打包与部署的具体方式。然而,系统在与容器对接时仍会暴露出大量攻击面,因此相当一部分安全专家不建议在容器当中运行不受信任或潜在的恶意应用程序。 随着用户越来越多地希望在容器当中运行异构及低信任度工作负载,沙箱化容器也就应运而生——此类容器能够在主机操作系统与容器内应用程序之间提供安全的隔...
谷歌新作gVisor:VM容器融合技术已经到来
omnispace的博客
06-06 8761
5 月 2 日,谷歌发布了一款新型的沙箱容器运行时 gVisor,号称能够为容器提供更安全的隔离,同时比 VM 更轻量。容器基于共享内核,安全性是大家关注的一大要点,gVisor 的发布势必将引来更多对容器隔离性的关注。那么 gVisor 在技术上如何实现隔离,其性能如何?隔壁阿里巴巴已经有人为你探索了 gVisor 的架构和组件,并作了性能分析。   背景   gVisor 的开源为安全容器的实...
gVisor是什么?可以解决什么问题?
热门推荐
Docker的专栏
09-17 1万+
传统的Container由于隔离性差而不适合作为Sandbox运行不受信工作负载,VM可以提供很好隔离但却额外消耗较多的内存。Google开源的gVisor为我们提供另外...
微虚机之gVisor
专注虚拟化的Linuxer
01-25 4275
gVisor是google最新推出的一种进程级别的沙箱技术,因为跟Kubernets同一出身,所以天然的兼容于Kubernets的调度管理。 沙箱不同于传统的容器以及微虚机,众所周知,容器是通过namespace跟cgroup实现资源隔离,微虚机则通过传统的虚拟化技术(KVM),而gVisor怎是在进程界别实现了系统调用的劫持以及重定向。好处么,很明显,它不需要物理隔离资源的建立这一过程,直接应...
直播 | gVisor初探
Docker的专栏
09-04 756
分享时间:9月4日 20:30分享主题:gVisor初探分享人介绍:王重山,深圳米筐科技有限公司运维总监。2014年底加入米筐,先后参与米筐在线平台以及运维系统的建设,在...
从割裂到融合:基于 DevUI 与 MateChat 构建新一代云原生智能控制台
小二丶的博客
12-04 658
本文针对云原生控制台面临的性能瓶颈、AI助手体验割裂和主题定制成本高等问题,提出基于DevUI和MateChat的智能控制台解决方案。通过虚拟滚动、CSS变量主题系统和流式对话等优化,实现操作界面与AI助手的无缝融合。实践数据显示,该方案显著提升了表格渲染性能(FPS提升123%)、减少了包体积(下降22%)并简化了主题切换流程(耗时降低94%)。文章还分享了工程实践中的典型问题及解决方案,为构建高性能、高一致性的云原生控制台提供了可复用的技术路径。
Go 2025云原生与可观测年度报告:底层性能革新与生态固防
TonyBai
12-03 1038
这直接减少了无谓的线程争用,让运行在 Kubernetes Pod 中的 Go 服务(尤其是那些资源受限的 Sidecar 或 Agent)无需人工调优即可获得更稳定、更高效的表现。这意味着运维人员能“开箱即用”地看到 Go 应用的内部健康状况,配合 OTel 的语义惯例,能够更早地发现由 GC 或并发引起的潜在风险。为了降低在 K8s 中的部署难度,OTel Go SDK 正在增强对 YAML/JSON 文件配置的支持,改变了过去过度依赖环境变量的局面,提升了配置的灵活性和易用性。
openEuler AI与云原生 构建高效智能的数字基础设施底座
最新发布
2301_77509762的博客
12-06 621
通过本次全面评测,我们深入分析了openEuler 24.03 LTS在云原生和AI场景下的技术特性和性能表现。云原生能力:通过iSulad容器引擎、KubeOS集群部署工具等创新技术,提供了高效、轻量的容器和Kubernetes支持,在容器启动速度、资源占用、集群部署效率等方面表现出色。AI支持能力:作为首个AI原生开源操作系统,openEuler实现了AI for OS和OS for AI的双向融合,全面支持主流AI框架,通过智能调优等技术显著提升了AI工作负载的性能表现。性能与可靠性。
Terraform配置在Google Cloud GKE上部署Atlantis
根据提供的文件信息,我们可以看出这个项目涉及的关键知识点包括 HashiCorp Terraform、Google Cloud Platform(GCP)的 Kubernetes Engine(GKE)、以及 Terraform 的配置语言 HashiCorp Configuration Language...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值