Intel Clear Containers

与内核紧耦合的透明虚拟机。

启动速度150毫秒菊快无比。

安全性完爆Docker。

试用：

wget http://download.clearlinux.org/demos/containers/clear-containers-demo.tar.xz
tar xf clear-containers-demo.tar.xz （这是一个bzip2文件……）
cd containers

$ sh boot-cow.sh
  # lkvm run -k ./vmlinux.container -m 1024 -c 6 --name guest-28299
  Warning: ./vmlinux.container is not a bzImage. Trying to load it as a flat binary...
[    0.000000] Initializing cgroup subsys cpu
[    0.000000] Initializing cgroup subsys cpuacct
[    0.000000] Linux version 4.0.0-16.container (mockbuild@kojibuild03) (gcc version 4.9.2 (Clear Linux Software for Intel Architecture) ) #1 SMP Tue May 12 17:20:44 UTC 2015
[    0.000000] Command line: noapic noacpi pci=conf1 reboot=k panic=1 i8042.direct=1 i8042.dumbkbd=1 i8042.nopnp=1 console=ttyS0 earlyprintk=serial i8042.noaux=1 rw tsc=reliable no_timer_check noreplace-smp  root=/dev/plkvm0p3  init=/usr/lib/systemd/systemd initcall_debug rootfstype=ext4 rootflags=dax,data=ordered dhcp rcupdate.rcu_expedited=1 console=hvc0 quiet dhcp
[    0.000000] KERNEL supported cpus:
[    0.000000]   Intel GenuineIntel
[    0.000000] e820: BIOS-provided physical RAM map:
[    0.000000] BIOS-e820: [mem 0x0000000000000000-0x000000000009fbff] usable
[    0.000000] BIOS-e820: [mem 0x000000000009fc00-0x000000000009ffff] reserved
[    0.000000] BIOS-e820: [mem 0x00000000000f0000-0x00000000000ffffe] reserved
[    0.000000] BIOS-e820: [mem 0x0000000000100000-0x000000003fffffff] usable
[    0.000000] bootconsole [earlyser0] enabled
Check discovery
Discovery
Check discovery
Check response
Response

Clear Linux Software for Intel Architecture clr hvc0
clr login:

实现原理见 http://lwn.net/SubscriberLink/644675/5be656c24083e53b/

弃用QEMU，转kvmtool省略无用虚拟硬件，省略BIOS层，直接mmap内核镜像
内存文件系统直接访问（DAX）和内核同页归并（KSM）降低内存开销
缺点是I/O还是绕圈virtio不比Docker

主页 https://clearlinux.org/ Clear Linux是Intel结合OpenStack搞得一些虚拟化花样。核心就是kvmtool，几个内核patch，和malloc_trim()。

zhuang

2015-05-21 01:05:19 +08:00

@efi 你自己还挂着 trolling is art 呢，别沉不住气啊，说得多的多数是水。其实 est 那个回复看上去像是 troll，反倒本身是回复里唯一看到本质的，就是个虚拟化的粒度问题。

不过 Intel 家的东西吧，多数逃不过展品的命运，虽然背后的技术可能之后会通用化。

qemu free 倒是不新鲜，我记得几年前就有了，可能当初 intel 做这个的时候没往这方面想。现在 container 取代 vm 不就是因为性能好么，既然目标都是 linux，就犯不着虚拟个 pc 平台出来了，砍了 qemu 之后性能就不是问题了。

内存方面的技术不太懂，不过 intel cpu 集成内存控制器的，这方面优势应该挺大。至于外部 io，存储和网络的，我觉得取决于应用场景，安全性和性能不能兼得，是个取舍问题。

twl007

2015-05-21 01:15:44 +08:00

这东西跟docker有本质不同吧 docker建立在linux自身之上调用Linux的功能来实现自己的功能而这个就是一个轻量虚拟机看了看介绍用了很多新的技术然后自己实现的native kvm tools相比qemu还有功能缺失没有图形化支持不支持网络以及SMP

外加DAX是设计给NVM的他靠模拟来实现我很怀疑最终能有多少提升而且只支持在4.0内核

这个东西怎么看都是一个轻量虚拟机跟docker完全是不同的技术实现虚拟机的安全性再比docker低就不用活了因为docker构建于linux上才导致现在没法完全隔离的