将虚拟机的安全优势与基于软件的容器的部署和管理优势相结合在一起的开源的Kata Containers项目,在周二达到了1.0的里程碑。
由于去年12月宣布的英特尔Clear Containers和Hyper的runV合并,Kata Containers提供了开放容器计划(OCI)兼容的运行时间,可解决传统容器体系结构(共享内核)的缺点。
OpenStack基金会营销经理Anne Bertucio在本月早些时候举行的KubeCon + CloudNativeCon Europe 2018会议上解释说: “Kata的目的是通过虚拟机的安全来提高容器的运行速度。
拥有一个允许一个容器中的信息可以从另一个容器访问的共享内核。这种风险使得在受到高度监管的行业中工作的人们对容器的安全性产生警惕。
Kata Containers试图通过为每个容器或Pod提供自己的轻量级VM和一个小内核来缓解这种担忧。虚拟机通常会带来相当大的内存开销,但是Kata Containers虚拟机会带来很小的负担。
通过专用的微内核,Kata Containers可以提供比在同一个内核上搭载的容器更大的内存,I / O和网络功能的隔离。他们还支持英特尔VT扩展以实现硬件强制隔离。
该项目力求与现有的容器生态系统兼容。因此,Kata Containers通过Container Runtime Interface(CRI)和Docker CRI兼容API可以与Kubernetes一起工作。他们实施通用容器网络接口(CNI)并支持不同的体系结构(英特尔,ARM)和虚拟机管理程序(KVM,Xen)。
项目背后的人士认为这是让容器更适合受监管或敏感生产环境中部署的容器的一种方式,以便为具有可信任和不可信任工作负载的多租户容器集群和生产环境提供支持,并支持具有内核依赖性的传统工作负载特征。它还提供了一种在裸机基础架构上运行容器而无需额外安装VM的方式。
根据Apache 2.0许可提供的Kata Containers由OpenStack Foundation支持,但本身并不是OpenStack项目 - 它具有独立的治理结构。
领取专属 10元无门槛券
私享最新 技术干货