Kata Containers 是一个新的开源项目,根据 Apache 2.0 许可,并由 OpenStack 基金会 管理。它结合了容器的速度和虚拟机的安全性。Kata Containers 将在即将到来的 OpenStack 峰会和 KubeCon EU 的多个会议中亮相。无法参加这些活动?我们为您带来了从用户那里听到的三个最常见问题的解答。
我们真的需要另一个容器项目吗?Kata Containers 试图解决什么问题?
我们认为是需要的!Kata Containers 并非要取代现有的容器解决方案(我们稍后会谈到这一点),而是为了解决容器的安全问题。容器的兴起是有充分理由的——它们轻便、性能好且易于集成。问题在于,传统的容器架构涉及主机操作系统和来宾容器之间的共享内核,如果一个容器受到破坏,则集群中的其他容器工作负载将变得脆弱。这个问题是 Kata Containers 背后的主要驱动因素之一。
在 Kata Containers 中,每个容器都有自己的轻量级虚拟机和迷你内核,通过硬件虚拟化提供容器隔离。这加强了安全层,并且还为容器即服务 (containers-as-a-service) 和软件即服务 (software-as-a-service) 模型提供了可能性,因为可以将互不信任的租户放在同一个集群上。
所以这并不会取代 Docker 或 Kubernetes 吗?
Kata Containers 是 OCI 成员,并且 Kata Containers 兼容 Docker 容器的 OCI 规范和 Kubernetes 的 CRI。借助 kata-runtime,Docker 能够识别传统的 runC 运行时和 kata-runtime,因此用户可以根据每个容器进行选择。如果使用 kata-runtime,则每个 Docker 容器都将在其自己的轻量级 VM 中运行,并带有自己的迷你内核。
对于 Kubernetes 用户,kata-runtime 兼容 cri-containerd,而 CRI-O 将 Kata 硬件虚拟化引入到 pod 中。其他 CRI shim,例如 Frakti,可以与 Kata Containers 一起使用。
Kata 还补充了 Kubernetes 多租户模型,尤其是在软件即服务 (software-as-a-service) 模型中。由于加强了隔离,SaaS 提供商可以使用单个集群在 VM 隔离的 pod 中运行来自不受信任用户的不可信代码。随着 Kubernetes 社区中新兴的容器即服务 (containers-as-a-service) 模型,Kata 提供了一个硬件支持的安全层,可以将容器资源分配给不受信任的用户。
我什么时候可以开始运行 Kata Containers?
很快!我们预计 1.0 版本将在 6 月初左右发布。如果您想开始探索 Kata Containers 代码,可以访问 Kata GitHub 并使用此开发者指南帮助您入门。
有未解决的 Kata 用例或功能请求吗?Kata Containers 是开源的!我们通过 GitHub issues 接受功能请求,您可以通过 IRC Freenode (#kata-dev)、Slack(在此处获取邀请 here。这里有 Slack 和 IRC 桥接,请选择您的偏好)或通过邮件列表与社区成员互动。
您还可以关注 @KataContainers Twitter feed,了解我们为 1.0 版本所做的工作,并在 katacontainers.io 上了解更多关于 Kata Containers 的信息。
想了解更多信息?报名参加 5 月的 KubeCon EU 或 12 月的 KubeCon North America。
2 条评论