Kata Container是什么?
KataContainer首页的几个大字写的是容器的速度,虚拟机的安全性。与Docker一样,都是容器,但相对与docker,Kata更安全、更好的性能
在2019年12月份,开源中国发布了一篇:以Docker为代表的传统容器到了生死存亡之际
在AWS的官方博客中描述了docker的安全隐患:
由于操作系统内核漏洞,docker 组件设计缺陷,以及不当的配置都会导致 docker容器发生逃逸,从而获取宿主机权限,由于频发的安全及逃逸漏洞,在公有云环境容器引用不得不也运行在虚拟机中,从而满足多租户安全隔离要求。而分配、管理、运维这些传统虚拟机与容器轻量、灵活、弹性的初衷背道而驰,同时在资源利用率、运行效率上也存在浪费
这也是云原生里面的多租户问题,其本质是容器安全问题,前几年,云厂商在推出 K8S 集群服务方面进展神速,但在提供单一容器托管方面却步伐迟缓,就是因为这个问题迟迟没有解决
并且,多租户问题不仅仅是在共有云上存在,在公司内部的私有云上同样存在,不同部门、团队的应用,理应进行强隔离,以免一个业务出现问题影响整个公司。但过去,但在引用容器的这个势头很强,装作看不到这个问题罢了。
对于多租户的问题,虽然社区逐渐有了一些解决方案,因为还不太成熟,也缺乏标志性时间把他们推到前台,最终,AWS出手了
AWS的答案是Firecracker,一种轻量级虚拟机(MicroVM),这个轻量级是相对于全功能虚拟机来说的,后者的代表是QEMU,号称能模拟所有硬件设备。Firecracker将能省的地方都省了,最终留下一个极其精巧的运行时,只保护该保护的地方。
从性能上来讲,Firecracker和容器已经很接近了,它最初的意图就是为AWS的Serverless服务Lambda提供保护,性能必须要跟上;从安全上来讲,在该保护的地方,它提供的是虚拟机级别的保护,无论是来自内部和外部的漏洞和攻击都能防护。
AWS还推出了Firecracker的containerd实现,这意味着可以用标准容器的方法来驱动Firecracker,说明用虚拟机来解决容器安全这条道路是可行的。
但是,AWS有自己的一套完整生态,Firecracker也是这个生态的一部分,虽然它开源了,社区并不能做到开箱即用,与Kubernetes有一些不兼容的地方。
这时,就轮到Kata Containers出场了。
Kata Container是一个开放源代码的容器,运行时可以构建无缝插入容器生态系统的轻量级虚拟机,致力于通过轻量级虚拟机来构建安全的容器,这些虚拟机的运行方式和性能类似于容器,但是使用硬件虚拟化救赎作为第二程防御层,可以提供更强的工作负载隔离
Kata Container 社区由 OpenStack Foundation(OSF) 领导,该基金会支持全球开放基础架构的开发和采用
特性
- 安全:在专用的内核中运行,提供网络,I/O和内存的隔离,并可以通过虚拟化扩展利用硬件强制隔离
- 兼容性:支持行业标准,包括 OCI容器格式,Kubernetes CRI 接口已经旧版虚拟化技术
- 性能:提供与标准 Liunx 容器一直的性能;提高隔离度,而无需增加标准虚拟化的性能
- 简单:消除了在完整的虚拟机内部嵌套容器的要求;标准接口使插入和入门变得容易
Kata Containers项目地址:
https://github.com/kata-containers
Kata Container是什么?相关推荐
- Kata Container — Overview
目录 文章目录 目录 传统容器的安全问题 Kata Container 软件架构 轻量化虚拟机 QEMU Guest Kernel Guest image (rootfs)Root filesyste ...
- Kubernetes + CRI + Kata + Firecracker
Kata Kata源自希腊文Καταπίστευμα(ka-ta-PI-stev-ma),原意是值得信任的人,kata container正是解容器安全的问题而诞生的.传统的容器是基于namespac ...
- 基于 Kata Containers 与 iSulad 的云容器实践解析
在 4 月 9 号结束的 OpenStack 基金会董事会议上,董事们投票批准了 Kata Containers 成为基金会旗下第一个新的顶级开放基础设施(Open Infrastructure)项目 ...
- 最新容器项目 Kata 曝光
2019独角兽企业重金招聘Python工程师标准>>> Kata Containers设计为硬件无关,与Open Container Initiative(OCI)标准.Kubern ...
- Kata Containers及相关vmm介绍
Kata Containers介绍 Kata Containers 是轻量级虚拟机的一种新颖实现,可无缝集成到容器生态系统中. Kata Containers 与容器一样轻巧快速,并与容器管理层集成, ...
- 多年锤炼,迈向Kata 3.0 !走进开箱即用的安全容器体验之旅
一.Kata 的过去 让我们将时钟拨回 2015 年 5 月,Hyper.sh 和 Intel 开源技术中心的工程师们分别独立发布了runV 和 Clear Containers 的虚拟化容器项目,而 ...
- 多年锤炼,迈向Kata 3.0 !走进开箱即用的安全容器体验之旅| 龙蜥技术
文/云原生 SIG(Special Interest Group) 一.Kata 的过去 让我们将时钟拨回 2015 年 5 月,Hyper.sh 和 Intel 开源技术中心的工程师们分别独立发布了 ...
- 实用指南:如何在Anolis OS上轻松使用 Kata 安全容器?
文/云原生SIG 本篇文章我们将详细介绍怎么轻松在 Anolis OS 上使用 Kata Containers 安全容器,我们将介绍 Kata Container 社区于 2022 年 10 月 10 ...
- kata cantainer介绍及Ubuntu安装kata cantainer
kata cantainer介绍 kata cantainer是什么?与docker相比有什么优势? Kata Containers是一种轻量级容器技术,旨在提供与传统虚拟化相当的隔离性和安全性,同时 ...
- 5分钟了解腾讯云CIS服务和Clear Container
本文摘自云+社区技术沙龙--<容器服务最佳部署与应用实践>嘉宾的分享,主要介绍了腾讯云CIS服务和Clear Container,希望你们有所收获. 以下内容为嘉宾分享: 今天我讲的主要是 ...
最新文章
- 一文读懂线性回归、岭回归和Lasso回归
- php 多个 csv 文件,php - 如何将CSV文件上传到多个数据库目录中? - SO中文参考 - www.soinside.com...
- Python数据类型与运算符号
- 判断是否有小数_一线老师笔记:数学判断题拿高分的技巧
- python的循环控制_控制for循环(python)
- pyqt5 不报错退出_最新版本Python图形化开发环境Anaconda(Python3.7) +PyQT5+Eric6
- SAP License:SAP概念辨识
- C++虚函数及虚函数表解析
- 使用Yii 1.1框架搭建第一个web应用程序
- 2021-08-01创建查询关键字及数据类型
- 客户答谢晚宴策划案例合集(共20份)
- 计算有向图可达矩阵Matlab实现
- 传说中的世界500强面试题-推理能力(1)
- linux sed命令
- CSS利用checkbook实现开关按钮
- python实现税后工资计算器_[宜配屋]听图阁
- Unity + LeapMotion 识别食指伸出以及食指与 UGUI的 交互
- C#--throw的几种抛异常方式及区别
- 绿色版premiere cs4无法导出(输出)解决方法
- 《网安学习之道》预告
热门文章
- 【历史上的今天】2 月 23 日:英格玛密码机申请专利;戴尔电脑创始人出生;Mellanox 收购 EZchip
- buff系统 游戏中_arpg游戏的技能系统和buff系统的一种实现
- 苹果IOS 10.0.2屏蔽垃圾短信
- 标题中间有虚线或横线,并且居中,而且标题字数不固定
- MySQL count用法
- linux pam limits.so,linux – 即使需要pam_limits.so,ulimit也不会读取打开文件描述符limits.conf设置...
- 通灵学院|游戏设计研习10:迭代流程★(2000字)
- 《21天学通HTML+CSS+JavaScript Web开发(第7版)》——2.4 您要在Web上做什么
- Morphia DAOs
- 乐得瑞专门为笔记本/平板Type-C接口,HOST端解决方案