kata目前已经成为公有云多租容器的首选方案，国内的阿里云和腾讯云和华为云都使用了kata容器。在2.0做很多的优化，总结起来就是便的更快和更安全了。

更快

Rust重新agent，之前agent使用go语言编写。Rust在内存控制方面要明显好于Go。这样可以将更多内存让给用户进程。

去掉sandbox容器，因为一个沙箱就是已经是一个天然的sandbox，没有必要在容器里面再启动一个sandbox容器。

agent主要功能如下，其中init和监控必须存在，但 bundle 内解析运行 OCI 这部分运行完可以退出。

更安全

kata 1.x镜像下载和runc一样，镜像下载到宿主机上面，然后映射到虚拟机里面。这种镜像共享的方案会导致多租户安全隔离问题。在2.0 镜像的下载放到了虚拟机里面，从而提升安全性。

会在每个kata里面启动一个辅助容器，用于镜像的下载和容器rootfs的制作，如上图所示。但也有一点小弊端，就是容器之间不能共享宿主机的镜像了。但这个问题可以通过镜像加速得到解决。