|
|
51CTO旗下网站
|
|
移动端

关于Kata容器的那些事

我们开始努力将Oracle Linux云原生环境与Kata容器(Kata Containers)整合起来时,Kata容器对容器的安全边界带来的变化立即给我留下了印象深刻,我只想知道它是如何工作的。

作者:布加迪编译来源:51CTO|2019-12-10 08:00

【51CTO.com快译】我们开始努力将Oracle Linux云原生环境与Kata容器(Kata Containers)整合起来时,Kata容器对容器的安全边界带来的变化立即给我留下了印象深刻,我只想知道它是如何工作的。

本文试图简要介绍关于Kata容器的那些事。

深入介绍Kata容器之前,你可能需要了解Linux容器的简要历史。

1.Kata容器是什么?

Kata容器是一个开源项目,社区致力于使用轻量级虚拟机来构建安全的容器运行时环境,这些虚拟机的感觉和性能如同容器,但是使用硬件虚拟化技术作为第二层防御,提供更强大的工作负载隔离。

Kata容器源自英特尔Clear Containers和Hyper RunV项目。Kata容器使用现有的CPU功能(比如英特尔VT-X和AMD-V™),以便多个容器在同一个主机上运行时,将它们更有效地隔离开来。每个容器可以在自己的虚拟机中运行,并有自己的Linux内核。由于虚拟机之间的边界,一个容器应该无法访问另一个容器的内存(虚拟机管理程序+EPT/RVI)。

runc是Linux上的运行时规范参考实现;它生成容器时,使用标准的Linux内核功能,比如AppArmour、capabilities(7)、控制组、seccomp、SELinux和命名空间(7),以控制权限和进出容器的数据流动。Kata容器通过将容器包装在虚拟机中对此进行了扩展。

2.我何时应使用Kata容器?

runc是最常见的容器运行时环境,是Docker™、CRI-O和Kubernetes®的默认系统。Kata 容器为你提供了另一种选择,它为混合使用或多租户环境提供了更强大的隔离。 Kubernetes worker节点能够同时使用runc和Kata容器,因此不需要专用硬件。

为了提高容器内的通信效率并减少资源使用开销,Kata容器在一个虚拟机中执行Kubernetes pod的所有容器。

决定何时使用runc、何时使用Kata容器取决于你自身的安全策略和状况。影响何时需要更高级别的隔离的一些因素包括如下:

  • 映像的来源———受信任vs不受信任。
  • 该映像是内部生成还是从公共注册中心下载?
  • 容器中的内容
  • 带来竞争优势的内部软件
  • 容器处理的数据集(公共vs机密)

在虚拟环境中工作可能会影响性能,因此建议进行针对工作负载的测试,以评估对环境的影响程度(如果有的话)。

3.Kata容器如何工作?

安装Oracle Linux云原生环境的Kubernetes模块时,runc和Kata容器都与CRI-O一同部署,CRI-O为Kubernetes和容器运行时环境之间提供了必要的支持。

Kata容器使用一种经过高度优化、专门调整的Linux内核来引导虚拟机,并结合最小化的用户空间,以支持容器操作,它们共同提供快速初始化机制。

为了创建Kata容器,Kubernetes用户必须先创建一个RuntimeClass对象。之后,Pods或Deployment可以引用RuntimeClass表明要使用的运行时环境。Using Container Runtimes说明文档(https://docs.oracle.com/en/operating-systems/olcne/runtimes/kata-pod-create.html)中附有示例。

Kata容器旨在提供“感觉和性能如同容器的轻量级虚拟机”;你的开发人员无需知道其代码在虚拟机中执行,也无需更改工作流程即可收到成效。

原文标题:Kata Containers: What, When and How,作者:Mark Cram

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

服务器选型从入门到实战

服务器选型从入门到实战

政务云规划设计实战
共16章 | 51CTOsummer

386人订阅学习

骨干网与数据中心建设案例

骨干网与数据中心建设案例

高级网工必会
共20章 | 捷哥CCIE

415人订阅学习

中间件安全防护攻略

中间件安全防护攻略

4类安全防护
共4章 | hack_man

157人订阅学习

读 书 +更多

Microsoft SQL Server 2005技术内幕:存储引擎

本书是Inside Microsoft SQL Server 2000的作者Kalen Delaney的又一经典著作,是Inside Microsoft SQL Server 2005系列四本著作中的一本。...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微