OpenStack啟動(dòng)Kata容器項(xiàng)目以提高安全性

OpenStack基金會(huì)于12月5日宣布了一項(xiàng)名為Kata Containers的新工作，旨在幫助組織更安全地在云中部署和運(yùn)行容器。Kata Containers項(xiàng)目將與OpenStack主云平臺(tái)作為一個(gè)單獨(dú)的項(xiàng)目運(yùn)行，并具有自己的治理和項(xiàng)目指導(dǎo)。Kata Containers的核心是Intel提供的Clear Containers和Hyper提供的runV代碼。支持該項(xiàng)目啟動(dòng)的其他公司包括99cloud，AWcloud，Canonical，中國(guó)移動(dòng)，城市網(wǎng)絡(luò)，CoreOS，Dell / EMC，EasyStack，F(xiàn)iberhome，Google，華為，京東，Mirantis，SUSE，騰訊，Ucloud和中興。

OpenStack基金會(huì)執(zhí)行董事喬納森·布萊斯(Jonathan Bryce)告訴eWEEK： “ Kata Containers項(xiàng)目非常關(guān)注基礎(chǔ)架構(gòu)級(jí)別的技術(shù)，該技術(shù)填補(bǔ)了試圖在生產(chǎn)中安全運(yùn)行容器的組織的空白。”

自2015年以來(lái)，英特爾一直在開(kāi)發(fā)其開(kāi)源Clear Containers技術(shù)，以幫助提供可在其上運(yùn)行容器運(yùn)行時(shí)的基礎(chǔ)層管理程序。Clear Containers的早期支持者包括CoreOS，該公司將這項(xiàng)技術(shù)用作rkt容器運(yùn)行時(shí)的一部分。Hyper一直在建立一個(gè)名為runV的補(bǔ)充工作，該工作旨在成為基于Open Hypervisor(OCI)的容器技術(shù)的基于管理程序的運(yùn)行時(shí)。

有兩種方法可以運(yùn)行容器工作負(fù)載：根據(jù)Bryce的說(shuō)法，要么在服務(wù)器操作系統(tǒng)上本地運(yùn)行容器，要么在虛擬機(jī)管理程序內(nèi)部運(yùn)行容器以提供額外的隔離層。挑戰(zhàn)在于，使用完整的虛擬機(jī)管理程序時(shí)，會(huì)存在額外的資源開(kāi)銷(xiāo)，這可能會(huì)影響性能。

他說(shuō)：“ Kata Containers通過(guò)一個(gè)非常輕量級(jí)的虛擬化層創(chuàng)建了中間立場(chǎng)，該層運(yùn)行在容器中，并使用戶(hù)能夠隔離和安全。” “它是如此小巧，輕便，因此能夠具有非常快的啟動(dòng)時(shí)間，并且具有最小的額外開(kāi)銷(xiāo)。”

Hyper的首席運(yùn)營(yíng)官James Kulina告訴eWEEK，他的公司已經(jīng)與英特爾就合作安全容器項(xiàng)目進(jìn)行了一年多的對(duì)話(huà)。他指出，英特爾的Clear Containers和Hyper的runV是類(lèi)似的工作。

Kulina說(shuō)：“我們已經(jīng)在合并支持Kata發(fā)射的基地的代碼。”

Kulina解釋說(shuō)，Kata重新設(shè)計(jì)了虛擬化層，因此，Kata使用簡(jiǎn)化的內(nèi)核來(lái)使容器啟動(dòng)和運(yùn)行，而不是像傳統(tǒng)的虛擬機(jī)管理程序那樣安裝完整的操作系統(tǒng)。用于Kata的實(shí)際虛擬機(jī)技術(shù)是開(kāi)源KVM虛擬機(jī)管理程序。他說(shuō)，該計(jì)劃是要增加對(duì)Kata中其他管理程序的支持，包括開(kāi)源Xen管理程序。Kata不支持VMware的hypervisor，后者具有自己的方法來(lái)運(yùn)行稱(chēng)為vSphere Integrated Containers的容器。

Linux供應(yīng)商Canonical也有一個(gè)名為L(zhǎng)XD的容器管理程序自己的開(kāi)源項(xiàng)目，該項(xiàng)目于2014年首次亮相。Bryce指出LXD在很多方面與Kata不同。

他說(shuō)：“ Kata完全專(zhuān)注于容器工作負(fù)載;它是容器的執(zhí)行環(huán)境，并不意味著要運(yùn)行整個(gè)虛擬機(jī)。”

OpenStack的

對(duì)于OpenStack而言，支持容器技術(shù)并不是什么新鮮事物。OpenStack云平臺(tái)已經(jīng)有多個(gè)容器項(xiàng)目，包括用于Kubernetes編排的Magnum和用于啟動(dòng)和管理容器的Zun。據(jù)Bryce說(shuō)，Kun設(shè)置為在Zun中受支持，用戶(hù)可以直接從Zun創(chuàng)建Kata容器。他補(bǔ)充說(shuō)，借助Magnum，云運(yùn)營(yíng)商可以創(chuàng)建一個(gè)Kubernetes環(huán)境，該環(huán)境在Kata容器內(nèi)運(yùn)行Kubernetes容器。

盡管Kata可以與其他OpenStack項(xiàng)目一起工作，但它是作為一個(gè)獨(dú)立項(xiàng)目運(yùn)行的，其自身的治理和技術(shù)領(lǐng)導(dǎo)者來(lái)自于捐助者。除了OpenStack，Kata還將具有有用性。

“ OpenStack用戶(hù)將能夠從Kata技術(shù)中受益，但是在OpenStack云之外還有許多其他用例，其中容器安全性非常重要，” Bryce說(shuō)。