信息化觀察網(wǎng)

你應(yīng)該聽說過Kata Containers，自2017年12月推出以來，它一直是運行與容器環(huán)境完全兼容的虛擬機（VM）的一種方式。

Ampere公司的首席系統(tǒng)軟件工程師Eric Ernst和StackHPC公司的軟件工程師Bharat Kunwar解釋了Kata Containers的工作原理以及它們的性能和安全優(yōu)勢。它們還介紹了一個用例場景和圍繞該技術(shù)的新研究。

本質(zhì)上，由OpenStack基金會管理的Kata Containers，無論是感覺上還是和運行起來，都像容器，但實際上是虛擬機。其優(yōu)勢之一是能夠利用容器提供的許多計算優(yōu)勢，同時提供VMs所能提供的隔離和保護。Kata Containers主頁上的標(biāo)語是這樣描述的：“容器的速度，虛擬機的安全性。”

換句話說，Kata Containers集成在容器和Kubernetes基礎(chǔ)設(shè)施中，而沒有在虛擬機中運行容器可能帶來的性能缺點。

與容器和Kubernetes pod相比，Kata Containers的隔離結(jié)構(gòu)使其具有安全優(yōu)勢。它們不會與運行它們的虛擬機之外的其他容器通過Linux內(nèi)核共享潛在訪問權(quán)限。這樣，它們消除了容器可能造成的一些潛在漏洞，同時提供容器實例的好處。

Ernst說，Kata Containers也是一種Open Container Initiative（OCI）兼容技術(shù)，旨在從鏡像和運行時的角度對Kata Containers進行標(biāo)準(zhǔn)化。作為一個與OCI兼容的運行時，這意味著你“將能夠像你期望的正常Docker和Kubernetes體驗?zāi)菢硬迦氩⑦\行。”Ernst說。

當(dāng)然，Kata Containers的隔離能力是關(guān)鍵。例如，它們可以使組織能夠運行和訪問不受信任的工作負載——這些工作負載需要與運行在其下的主機操作系統(tǒng)內(nèi)核隔離。Kunwar說：“所以，對于傳統(tǒng)類型的容器，Linux命名空間提供了一個虛構(gòu)的隔離——然而，這是問題所在。”

Ernst說，包括云提供商在內(nèi)的基礎(chǔ)設(shè)施提供商也可以將Kata Containers視為保護基礎(chǔ)設(shè)施免受來自“壞角色”和“想要擁有你的基礎(chǔ)設(shè)施的攻擊者”攻擊的一種方法。“很多時候，如果有威脅，你會試圖保護某個東西，你會在那個東西周圍放一個籠子。但在Kata的情況里，我們實際上是在保護主機基礎(chǔ)設(shè)施。”Ernst說，“因為我不信任你，我把你放在一個隔離性更強的容器里，所以我們繼續(xù)用Kata Containers運行。從威脅模型的角度來看，我們要做的就是：保護主機基礎(chǔ)設(shè)施，隔離不受不信任的人、他們的工作負載或兩者兼而有之。”

在“漂亮的小打包車”中包含依賴關(guān)系也是Kata Containers被采用的原因。“這是一個巧妙的用戶界面。啟動一個容器、殺死一個容器、縮放以及其他一切都很容易。這就是人們喜歡容器的原因。”

他說：“并不是因為容器提供了隔離，人們就被它吸引了——從某種意義上說，這更多是一個事后發(fā)現(xiàn)的優(yōu)點。但是隔離是很重要的。”

原文鏈接：

https://thenewstack.io/kata-containers-demo-a-container-experience-with-vm-security/