全7378文字

runc
 OCIの仕様を実装したランタイムです。containerdやcri-oで利用されています。

gVisor
 Googleが開発し、OSSとして公開しているOCI準拠のランタイムです。gVisorはユーザー空間カーネルとも呼ばれ、gVisorがコンテナとホストOSカーネルの間に入りシステムコールを受け渡します。従来のコンテナランタイムと異なり、コンテナからホストOSカーネルのシステムコールを直接呼び出せないようにすることで、セキュリティーを高めています。

Kata Container
 OpenStack Foundationが開発し、OSSとして公開しているOCI準拠のランタイムです。軽量なハイパーバイザーを用いてコンテナを仮想マシン内で動作させ、コンテナはホストOSカーネルではなく各仮想マシンのゲストOSカーネルのシステムコールを呼び出す仕組みです。実装は異なるものの、gVisorと同じようにコンテナ間でホストOSカーネルを共有しない方法を採ることで、セキュリティーを確保しています。

Nabla Container
 米IBMが開発しOSSとして公開しています。これもOCI準拠です。Unikernel(Solo5 Project)を応用し、ホストOSカーネルへのシステムコールを7つまでに制限するなど、セキュリティーのレベルは高いと言えます。一方で、Nabla Container向けにビルドされたコンテナイメージしか扱えないなど制約があります。