为什么 systemd-nspawn 比 docker、podman 和 qemu 慢？！如何提高nspawn性能？

为什么比 和甚至nspawn慢？！ CPU 任务花费的时间是 docker、podman 或 qemu 的两倍docker podmanqemu

这是我所做的基准测试：

首先，我使用以下命令禁用了主机内核（以及 qemu 基准测试中的 qemu 来宾内核）中的所有 spectre/meltdown 缓解措施：

GRUB_CMDLINE_LINUX_DEFAULT=noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off tsx=on tsx_async_abort=off mitigations=off spectre_v2_user=off spec_store_bypass_disable=off nx_huge_pages=off kvm.nx_huge_pages=off kvm-intel.vmentry_l1d_flush=never srbds=off

然后我使用了这个基准测试：

git clone https://github.com/tsuna/contextswitch
cd contextswitch
time make

我nspawn用超级完整的权限进行了测试：

export SYSTEMD_NSPAWN_USE_CGNS=0
systemd-nspawn  --keep-unit --register=no --boot --capability=all --private-users=false --system-call-filter="@default @aio @basic-io @chown @clock @cpu-emulation @debug @file-system @io-event @ipc @keyring @memlock @module @mount @network-io @obsolete @privileged @process @raw-io @reboot @resources @setuid @signal @swap @sync @system-service @timer" --bind=/sys/fs/cgroup  --machine=testtt -D busterdir

我podman也用特权进行了测试：

podman run --rm -it --privileged debian:10 bash

我docker也用特权进行了测试：

docker run --rm -it  --privileged  debian:10 bash

我测试过qemu：

qemu-system-x86_64 -name buster20210121210102 -m 2G -enable-kvm -cpu host -smp cores=4,threads=2,sockets=1 -object iothread,id=myio1 -device virtio-blk-pci,drive=mydisk0,iothread=myio1 -drive file=buster20210121210102.qcow2,if=none,id=mydisk0,format=qcow2,aio=native,cache=none

结果如下：

# baremetal
real    0m12.998s

# nspawn
real    0m30.777s  <==== :(

# docker
real    0m15.127s

#podman
real    0m15.207s

# qemu without mitigations
real    0m15.979s

在这里我填写了一个提高 nspawn 性能的请求，其中包含完整的测试结果： https://github.com/systemd/systemd/issues/18370

你知道为什么 systemd-nspawn 速度较慢吗？我该如何改进它？