【51CTO.com快譯】我們開始努力將Oracle Linux云原生環(huán)境與Kata容器(Kata Containers)整合起來時，Kata容器對容器的安全邊界帶來的變化立即給我留下了印象深刻，我只想知道它是如何工作的。

本文試圖簡要介紹關(guān)于Kata容器的那些事。

深入介紹Kata容器之前，你可能需要了解Linux容器的簡要?dú)v史。

1.Kata容器是什么?

Kata容器是一個開源項目，社區(qū)致力于使用輕量級虛擬機(jī)來構(gòu)建安全的容器運(yùn)行時環(huán)境，這些虛擬機(jī)的感覺和性能如同容器，但是使用硬件虛擬化技術(shù)作為第二層防御，提供更強(qiáng)大的工作負(fù)載隔離。

Kata容器源自英特爾Clear Containers和Hyper RunV項目。Kata容器使用現(xiàn)有的CPU功能(比如英特爾VT-X和AMD-V™)，以便多個容器在同一個主機(jī)上運(yùn)行時，將它們更有效地隔離開來。每個容器可以在自己的虛擬機(jī)中運(yùn)行，并有自己的Linux內(nèi)核。由于虛擬機(jī)之間的邊界，一個容器應(yīng)該無法訪問另一個容器的內(nèi)存(虛擬機(jī)管理程序+EPT/RVI)。

runc是Linux上的運(yùn)行時規(guī)范參考實(shí)現(xiàn);它生成容器時，使用標(biāo)準(zhǔn)的Linux內(nèi)核功能，比如AppArmour、capabilities(7)、控制組、seccomp、SELinux和命名空間(7)，以控制權(quán)限和進(jìn)出容器的數(shù)據(jù)流動。Kata容器通過將容器包裝在虛擬機(jī)中對此進(jìn)行了擴(kuò)展。

2.我何時應(yīng)使用Kata容器?

runc是最常見的容器運(yùn)行時環(huán)境，是Docker™、CRI-O和Kubernetes®的默認(rèn)系統(tǒng)。Kata 容器為你提供了另一種選擇，它為混合使用或多租戶環(huán)境提供了更強(qiáng)大的隔離。 Kubernetes worker節(jié)點(diǎn)能夠同時使用runc和Kata容器，因此不需要專用硬件。

為了提高容器內(nèi)的通信效率并減少資源使用開銷，Kata容器在一個虛擬機(jī)中執(zhí)行Kubernetes pod的所有容器。

決定何時使用runc、何時使用Kata容器取決于你自身的安全策略和狀況。影響何時需要更高級別的隔離的一些因素包括如下：

• 映像的來源———受信任vs不受信任。
• 該映像是內(nèi)部生成還是從公共注冊中心下載?
• 容器中的內(nèi)容
• 帶來競爭優(yōu)勢的內(nèi)部軟件
• 容器處理的數(shù)據(jù)集(公共vs機(jī)密)

在虛擬環(huán)境中工作可能會影響性能，因此建議進(jìn)行針對工作負(fù)載的測試，以評估對環(huán)境的影響程度(如果有的話)。

3.Kata容器如何工作?

安裝Oracle Linux云原生環(huán)境的Kubernetes模塊時，runc和Kata容器都與CRI-O一同部署，CRI-O為Kubernetes和容器運(yùn)行時環(huán)境之間提供了必要的支持。

Kata容器使用一種經(jīng)過高度優(yōu)化、專門調(diào)整的Linux內(nèi)核來引導(dǎo)虛擬機(jī)，并結(jié)合最小化的用戶空間，以支持容器操作，它們共同提供快速初始化機(jī)制。

為了創(chuàng)建Kata容器，Kubernetes用戶必須先創(chuàng)建一個RuntimeClass對象。之后，Pods或Deployment可以引用RuntimeClass表明要使用的運(yùn)行時環(huán)境。Using Container Runtimes說明文檔(https://docs.oracle.com/en/operating-systems/olcne/runtimes/kata-pod-create.html)中附有示例。

Kata容器旨在提供“感覺和性能如同容器的輕量級虛擬機(jī)”;你的開發(fā)人員無需知道其代碼在虛擬機(jī)中執(zhí)行，也無需更改工作流程即可收到成效。

原文標(biāo)題：Kata Containers: What, When and How，作者：Mark Cram

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】