全7378文字
runc
OCIの仕様を実装したランタイムです。containerdやcri-oで利用されています。
gVisor
Googleが開発し、OSSとして公開しているOCI準拠のランタイムです。gVisorはユーザー空間カーネルとも呼ばれ、gVisorがコンテナとホストOSカーネルの間に入りシステムコールを受け渡します。従来のコンテナランタイムと異なり、コンテナからホストOSカーネルのシステムコールを直接呼び出せないようにすることで、セキュリティーを高めています。
Kata Container
OpenStack Foundationが開発し、OSSとして公開しているOCI準拠のランタイムです。軽量なハイパーバイザーを用いてコンテナを仮想マシン内で動作させ、コンテナはホストOSカーネルではなく各仮想マシンのゲストOSカーネルのシステムコールを呼び出す仕組みです。実装は異なるものの、gVisorと同じようにコンテナ間でホストOSカーネルを共有しない方法を採ることで、セキュリティーを確保しています。
Nabla Container
米IBMが開発しOSSとして公開しています。これもOCI準拠です。Unikernel(Solo5 Project)を応用し、ホストOSカーネルへのシステムコールを7つまでに制限するなど、セキュリティーのレベルは高いと言えます。一方で、Nabla Container向けにビルドされたコンテナイメージしか扱えないなど制約があります。
