引導(dǎo)閱讀

Kata Containers是一個(gè)新的開源項(xiàng)目，由Apache 2.0授權(quán)，OpenStack Foundation管理，結(jié)合了容器的速度和虛擬機(jī)的安全性?？ㄋb箱出現(xiàn)在OpenStack峰會(huì)和KubeCon歐盟會(huì)議上。以下是用戶最關(guān)心的三個(gè)Kata Containers問題。

1.我們真的需要另一個(gè)集裝箱項(xiàng)目嗎？卡塔集裝箱試圖解決什么問題？

Kata Containers并沒有取代現(xiàn)有的集裝箱解決方案(當(dāng)然，它的目標(biāo)是實(shí)現(xiàn)這一點(diǎn))，而是關(guān)于解決集裝箱安全的問題。容器的快速發(fā)展有很好的理由——它們重量輕，性能優(yōu)異，易于集成。問題是傳統(tǒng)的容器架構(gòu)涉及到主機(jī)操作系統(tǒng)和客戶容器之間的共享內(nèi)核。如果一個(gè)容器出錯(cuò)，集群中的其他容器工作負(fù)載將容易受到攻擊。這個(gè)問題是卡塔集裝箱背后的重要驅(qū)動(dòng)力之一。

在Kata Containers中，每個(gè)容器都有自己的輕量級(jí)虛擬機(jī)和小內(nèi)核，通過硬件虛擬化提供容器隔離。這加強(qiáng)了安全層，還提供了容器即服務(wù)和軟件即服務(wù)模式的可能性，因?yàn)楸舜瞬恍湃蔚淖鈶艨梢苑旁谕粋€(gè)集群中。

二是會(huì)取代Docker還是Kubernetes？

卡塔集裝箱是OCI的一員，符合OCI碼頭集裝箱和庫本內(nèi)特斯集裝箱碼頭的規(guī)范。Docker可以識(shí)別傳統(tǒng)的runC運(yùn)行時(shí)和kata-runtime，因此用戶可以基于每個(gè)容器進(jìn)行選擇。如果使用kata-runtime，每個(gè)Docker容器都將在自己的輕量級(jí)VM中運(yùn)行，并有自己的小內(nèi)核。

對(duì)于Kubernetes用戶來說，kata-runtime與cri-containerd兼容，CRI-O將kata硬件虛擬化帶入pod。其他crishims，如Frakti，可以與Kata容器一起使用。

卡塔也是庫本內(nèi)特多租戶模式的補(bǔ)充，尤其是在SaaS。由于隔離增強(qiáng)，SaaS提供商可以使用單個(gè)集群在虛擬機(jī)隔離的pod中運(yùn)行來自不可信用戶的不可信代碼。隨著Kubernetes社區(qū)中出現(xiàn)的容器即服務(wù)模型，Kata提供了一個(gè)硬件支持的安全層，并將容器資源分配給不受信任的用戶。

3.什么時(shí)候可以開始運(yùn)行Kata Containers？

馬上就好了！1.0版預(yù)計(jì)6月初發(fā)布。如果您想開始探索Kata容器代碼，您可以訪問Kata GitHub并使用開發(fā)人員指南。

你有什么優(yōu)秀的卡達(dá)用例或者功能需求嗎？很好，你知道Kata Containers是開源的！它通過GitHub問題獲得功能需求，你可以通過IRC freenode (# kata-dev)、Slack或者郵件列表與社區(qū)成員進(jìn)行交互。

也可以在Twitter上關(guān)注@ KATACONTENS，訪問Katacontainers.io了解更多關(guān)于Katacontainers的信息。