KataContainer首页的几个大字写的是容器的速度,虚拟机的安全性。与Docker一样,都是容器,但相对与docker,Kata更安全、更好的性能

在2019年12月份,开源中国发布了一篇:以Docker为代表的传统容器到了生死存亡之际

在AWS的官方博客中描述了docker的安全隐患:

由于操作系统内核漏洞,docker 组件设计缺陷,以及不当的配置都会导致 docker容器发生逃逸,从而获取宿主机权限,由于频发的安全及逃逸漏洞,在公有云环境容器引用不得不也运行在虚拟机中,从而满足多租户安全隔离要求。而分配、管理、运维这些传统虚拟机与容器轻量、灵活、弹性的初衷背道而驰,同时在资源利用率、运行效率上也存在浪费

这也是云原生里面的多租户问题,其本质是容器安全问题,前几年,云厂商在推出 K8S 集群服务方面进展神速,但在提供单一容器托管方面却步伐迟缓,就是因为这个问题迟迟没有解决

并且,多租户问题不仅仅是在共有云上存在,在公司内部的私有云上同样存在,不同部门、团队的应用,理应进行强隔离,以免一个业务出现问题影响整个公司。但过去,但在引用容器的这个势头很强,装作看不到这个问题罢了。

对于多租户的问题,虽然社区逐渐有了一些解决方案,因为还不太成熟,也缺乏标志性时间把他们推到前台,最终,AWS出手了

AWS的答案是Firecracker,一种轻量级虚拟机(MicroVM),这个轻量级是相对于全功能虚拟机来说的,后者的代表是QEMU,号称能模拟所有硬件设备。Firecracker将能省的地方都省了,最终留下一个极其精巧的运行时,只保护该保护的地方。

从性能上来讲,Firecracker和容器已经很接近了,它最初的意图就是为AWS的Serverless服务Lambda提供保护,性能必须要跟上;从安全上来讲,在该保护的地方,它提供的是虚拟机级别的保护,无论是来自内部和外部的漏洞和攻击都能防护。

AWS还推出了Firecracker的containerd实现,这意味着可以用标准容器的方法来驱动Firecracker,说明用虚拟机来解决容器安全这条道路是可行的。

但是,AWS有自己的一套完整生态,Firecracker也是这个生态的一部分,虽然它开源了,社区并不能做到开箱即用,与Kubernetes有一些不兼容的地方。

这时,就轮到Kata Containers出场了。

Kata Container是一个开放源代码的容器,运行时可以构建无缝插入容器生态系统的轻量级虚拟机,致力于通过轻量级虚拟机来构建安全的容器,这些虚拟机的运行方式和性能类似于容器,但是使用硬件虚拟化救赎作为第二程防御层,可以提供更强的工作负载隔离

Kata Container 社区由 OpenStack Foundation(OSF) 领导,该基金会支持全球开放基础架构的开发和采用

特性

  • 安全:在专用的内核中运行,提供网络,I/O和内存的隔离,并可以通过虚拟化扩展利用硬件强制隔离
  • 兼容性:支持行业标准,包括 OCI容器格式,Kubernetes  CRI 接口已经旧版虚拟化技术
  • 性能:提供与标准 Liunx 容器一直的性能;提高隔离度,而无需增加标准虚拟化的性能
  • 简单:消除了在完整的虚拟机内部嵌套容器的要求;标准接口使插入和入门变得容易

Kata Containers项目地址:

https://github.com/kata-containers

Kata Container是什么?相关推荐

  1. Kata Container — Overview

    目录 文章目录 目录 传统容器的安全问题 Kata Container 软件架构 轻量化虚拟机 QEMU Guest Kernel Guest image (rootfs)Root filesyste ...

  2. Kubernetes + CRI + Kata + Firecracker

    Kata Kata源自希腊文Καταπίστευμα(ka-ta-PI-stev-ma),原意是值得信任的人,kata container正是解容器安全的问题而诞生的.传统的容器是基于namespac ...

  3. 基于 Kata Containers 与 iSulad 的云容器实践解析

    在 4 月 9 号结束的 OpenStack 基金会董事会议上,董事们投票批准了 Kata Containers 成为基金会旗下第一个新的顶级开放基础设施(Open Infrastructure)项目 ...

  4. 最新容器项目 Kata 曝光

    2019独角兽企业重金招聘Python工程师标准>>> Kata Containers设计为硬件无关,与Open Container Initiative(OCI)标准.Kubern ...

  5. Kata Containers及相关vmm介绍

    Kata Containers介绍 Kata Containers 是轻量级虚拟机的一种新颖实现,可无缝集成到容器生态系统中. Kata Containers 与容器一样轻巧快速,并与容器管理层集成, ...

  6. 多年锤炼,迈向Kata 3.0 !走进开箱即用的安全容器体验之旅

    一.Kata 的过去 让我们将时钟拨回 2015 年 5 月,Hyper.sh 和 Intel 开源技术中心的工程师们分别独立发布了runV 和 Clear Containers 的虚拟化容器项目,而 ...

  7. 多年锤炼,迈向Kata 3.0 !走进开箱即用的安全容器体验之旅| 龙蜥技术

    文/云原生 SIG(Special Interest Group) 一.Kata 的过去 让我们将时钟拨回 2015 年 5 月,Hyper.sh 和 Intel 开源技术中心的工程师们分别独立发布了 ...

  8. 实用指南:如何在Anolis OS上轻松使用 Kata 安全容器?

    文/云原生SIG 本篇文章我们将详细介绍怎么轻松在 Anolis OS 上使用 Kata Containers 安全容器,我们将介绍 Kata Container 社区于 2022 年 10 月 10 ...

  9. kata cantainer介绍及Ubuntu安装kata cantainer

    kata cantainer介绍 kata cantainer是什么?与docker相比有什么优势? Kata Containers是一种轻量级容器技术,旨在提供与传统虚拟化相当的隔离性和安全性,同时 ...

  10. 5分钟了解腾讯云CIS服务和Clear Container

    本文摘自云+社区技术沙龙--<容器服务最佳部署与应用实践>嘉宾的分享,主要介绍了腾讯云CIS服务和Clear Container,希望你们有所收获. 以下内容为嘉宾分享: 今天我讲的主要是 ...

最新文章

  1. 一文读懂线性回归、岭回归和Lasso回归
  2. php 多个 csv 文件,php - 如何将CSV文件上传到多个数据库目录中? - SO中文参考 - www.soinside.com...
  3. Python数据类型与运算符号
  4. 判断是否有小数_一线老师笔记:数学判断题拿高分的技巧
  5. python的循环控制_控制for循环(python)
  6. pyqt5 不报错退出_最新版本Python图形化开发环境Anaconda(Python3.7) +PyQT5+Eric6
  7. SAP License:SAP概念辨识
  8. C++虚函数及虚函数表解析
  9. 使用Yii 1.1框架搭建第一个web应用程序
  10. 2021-08-01创建查询关键字及数据类型
  11. 客户答谢晚宴策划案例合集(共20份)
  12. 计算有向图可达矩阵Matlab实现
  13. 传说中的世界500强面试题-推理能力(1)
  14. linux sed命令
  15. CSS利用checkbook实现开关按钮
  16. python实现税后工资计算器_[宜配屋]听图阁
  17. Unity + LeapMotion 识别食指伸出以及食指与 UGUI的 交互
  18. C#--throw的几种抛异常方式及区别
  19. 绿色版premiere cs4无法导出(输出)解决方法
  20. 《网安学习之道》预告

热门文章

  1. 【历史上的今天】2 月 23 日:英格玛密码机申请专利;戴尔电脑创始人出生;Mellanox 收购 EZchip
  2. buff系统 游戏中_arpg游戏的技能系统和buff系统的一种实现
  3. 苹果IOS 10.0.2屏蔽垃圾短信
  4. 标题中间有虚线或横线,并且居中,而且标题字数不固定
  5. MySQL count用法
  6. linux pam limits.so,linux – 即使需要pam_limits.so,ulimit也不会读取打开文件描述符limits.conf设置...
  7. 通灵学院|游戏设计研习10:迭代流程★(2000字)
  8. 《21天学通HTML+CSS+JavaScript Web开发(第7版)》——2.4 您要在Web上做什么
  9. Morphia DAOs
  10. 乐得瑞专门为笔记本/平板Type-C接口,HOST端解决方案