Docker コンテナーと比較して、サンドボックス化コンテナーは、アプリケーションを軽量の仮想マシンで実行できるようにします。独立したカーネルが提供され、セキュリティの分離が強化されます。

サンドボックス化コンテナーは、複数のユーザー間の負荷分離や信頼できないアプリケーションの分離などのシナリオに特に適しています。 セキュリティの強化に加えて、サンドボックス化コンテナーはパフォーマンスにほとんど影響を与えず、ログ、モニタリング、弾力性などの Docker コンテナーと同じユーザーエクスペリエンスを提供します。

サンドボックス化コンテナーと Docker コンテナーの違い

機能 Docker コンテナー サンドボックス化コンテナー 説明
クラスタータイプ すべてのタイプ 標準マネージド Kubernetes -
ノードタイプ
  • ECS
  • EBM
EBM -
ノード OS
  • CentOS
  • Aliyun Linux 2
  • Windows
Aliyun Linux 2 Customized Edition
  • Docker コンテナーとサンドボックス化コンテナーを同時に同じノードにデプロイすることはできません。
  • 現在、同じクラスター内のノードは、Docker コンテナーまたはサンドボックス化コンテナーのいずれかのみを実行できます。
コンテナーエンジン Docker containerd -
モニタリング 対応 対応 -
ログ サイドカー:対応。 手動設定不要。 サイドカー:対応。 手動設定不要。 サイドカーの詳細については、次の文書をご参照ください:Kubernetes-Sidecar ログ収集モード
コンテナー標準出力ログ 対応 対応 -
RuntimeClass 設定不要。 runv -
ポッドスケジューリング 設定不要。 ポッド設定ファイルの nodeSelector セクションに次の内容を追加します。
alibabacloud.com/sandboxed-container: Sandboxed-Container.runv
  • RuntimeClass:runc および RuntimeClass: runv は、ノードがサンドボックス化コンテナーを実行する場合にデフォルトで追加されます。 ノードが Docker コンテナーを実行している場合、設定は追加されません。
  • サンドボックス化コンテナーを実行するノードは、runc コンテナーも実行できます。
  • Kubernetes 1.14.X は RuntimeClass スケジューリングをサポートしていません。 nodeSelector を使用して、サンドボックス化コンテナーを実行するノードをスケジューリングできます。
HostNetwork 対応 非対応 -
exec/logs 対応 対応 -
ノードデータディスク 任意 必須。 各ノードは、少なくとも 200 GB のデータディスクをマウントする必要があります。 -
ネットワークプラグイン
  • Flannel
  • Terway このオプションを選択した場合、[ 各ポッドに 1 つの ENI を割り当てる] チェックボックスをオンにする必要があります。
Terway -
Kube-proxy モード
  • iptables
  • IPVS
  • iptables
  • IPVS
-
Flexvolume および CSI プラグイン 両方に対応 CSI プラグイン -
コンテナー rootfs overlayfs devicemapper -