Canonical провела сравнение LXD с KVM

Компания Canonical провела сравнение изолированных контейнеров, управляемых при помощи инструментария LXD, и полноценных виртуальных машин, выполняемых под управлением гипервизора KVM. Так как LXD основан на наработках LXC и использует пространства имён, cgroups, ограничения через AppArmor и SECCOMP, результаты сравнения будут справедливы и для других систем контейнерной изоляции. Основные выводы: LXD позволяет разместить на сервере в 14.5 раз больше окружений, запускает окружения на 95% быстрее и на 57% опережает KVM в плане отзывчивости (latency).

В свете анонсированного компанией Intel проекта Clear Linux, результаты выглядят не столь радужно. Например, утверждается, что на одном сервере с 16 Гб ОЗУ удалось запустить 37 гостевых систем KVM (442 Мб на окружение) и 536 окружений аналогичного состава при применении LXD (30 Мб на окружение). По данным Intel на сервере с 128 Гб ОЗУ можно разместить 3500 виртуальных контейнеров Clear (37 Мб на окружение). При сравнении скорости запуска, контейнер LXD стартовал за 1.5 сек, а виртуальная машина KVM - 25 секунд. На запуск окружения Clear тратится 200 мс. В сравнении Canonical также упускается такой важный фактор как безопасность и степень изоляции, при использовании LXD уязвимость в ядре или инструментарии может быть использована для выхода на пределы изолированного окружения, в то время как в KVM для компрометации хост-системы необходимо наличие уязвимости в гипервизоре или работающих на стороне хост-системы компонентах драйверов.


source1
source2