Kata Container是什么?
KataContainer首页的几个大字写的是容器的速度,虚拟机的安全性。与Docker一样,都是容器,但相对与docker,Kata更安全、更好的性能在2019年12月份,开源中国发布了一篇:以Docker为代表的传统容器到了生死存亡之际在AWS的官方博客中描述了docker的安全隐患:由于操作系统内核漏洞,docker 组件设计缺陷,以及不当的配置都会导致 dock......
KataContainer首页的几个大字写的是容器的速度,虚拟机的安全性。与Docker一样,都是容器,但相对与docker,Kata更安全、更好的性能
在2019年12月份,开源中国发布了一篇:以Docker为代表的传统容器到了生死存亡之际
在AWS的官方博客中描述了docker的安全隐患:
由于操作系统内核漏洞,docker 组件设计缺陷,以及不当的配置都会导致 docker容器发生逃逸,从而获取宿主机权限,由于频发的安全及逃逸漏洞,在公有云环境容器引用不得不也运行在虚拟机中,从而满足多租户安全隔离要求。而分配、管理、运维这些传统虚拟机与容器轻量、灵活、弹性的初衷背道而驰,同时在资源利用率、运行效率上也存在浪费
这也是云原生里面的多租户问题,其本质是容器安全问题,前几年,云厂商在推出 K8S 集群服务方面进展神速,但在提供单一容器托管方面却步伐迟缓,就是因为这个问题迟迟没有解决
并且,多租户问题不仅仅是在共有云上存在,在公司内部的私有云上同样存在,不同部门、团队的应用,理应进行强隔离,以免一个业务出现问题影响整个公司。但过去,但在引用容器的这个势头很强,装作看不到这个问题罢了。
对于多租户的问题,虽然社区逐渐有了一些解决方案,因为还不太成熟,也缺乏标志性时间把他们推到前台,最终,AWS出手了
AWS的答案是Firecracker,一种轻量级虚拟机(MicroVM),这个轻量级是相对于全功能虚拟机来说的,后者的代表是QEMU,号称能模拟所有硬件设备。Firecracker将能省的地方都省了,最终留下一个极其精巧的运行时,只保护该保护的地方。
从性能上来讲,Firecracker和容器已经很接近了,它最初的意图就是为AWS的Serverless服务Lambda提供保护,性能必须要跟上;从安全上来讲,在该保护的地方,它提供的是虚拟机级别的保护,无论是来自内部和外部的漏洞和攻击都能防护。
AWS还推出了Firecracker的containerd实现,这意味着可以用标准容器的方法来驱动Firecracker,说明用虚拟机来解决容器安全这条道路是可行的。
但是,AWS有自己的一套完整生态,Firecracker也是这个生态的一部分,虽然它开源了,社区并不能做到开箱即用,与Kubernetes有一些不兼容的地方。
这时,就轮到Kata Containers出场了。
Kata Container是一个开放源代码的容器,运行时可以构建无缝插入容器生态系统的轻量级虚拟机,致力于通过轻量级虚拟机来构建安全的容器,这些虚拟机的运行方式和性能类似于容器,但是使用硬件虚拟化救赎作为第二程防御层,可以提供更强的工作负载隔离
Kata Container 社区由 OpenStack Foundation(OSF) 领导,该基金会支持全球开放基础架构的开发和采用
特性
- 安全:在专用的内核中运行,提供网络,I/O和内存的隔离,并可以通过虚拟化扩展利用硬件强制隔离
- 兼容性:支持行业标准,包括 OCI容器格式,Kubernetes CRI 接口已经旧版虚拟化技术
- 性能:提供与标准 Liunx 容器一直的性能;提高隔离度,而无需增加标准虚拟化的性能
- 简单:消除了在完整的虚拟机内部嵌套容器的要求;标准接口使插入和入门变得容易
Kata Containers项目地址:
https://github.com/kata-containers
更多推荐
所有评论(0)