Kata Containers用例

最新推荐文章于 2024-07-07 15:30:00 发布
最新推荐文章于 2024-07-07 15:30:00 发布
阅读量541 收藏 1
点赞数
文章标签: 网络 java 大数据 区块链 docker
本文概述了Kata Containers的最新发展,包括2.1.0和2.2.0版本的亮点,如异步Kata代理、Kata-deploy部署方式、开放式遥测等。文章还介绍了苹果、AMD和华为等公司的用例,如性能隔离、机密计算和云平台部署。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Kata Containers是OpenInfra基金会支持的开源容器运行时项目。来自AMD、蚂蚁集团、苹果、IBM和华为的Kata Containers社区成员分享他们如何运行Kata。Kata容器架构委员会成员和上游贡献者还提供了社区开发和项目路线图的更新。

首先,苹果软件工程师Samuel Ortiz和Kata Containers架构委员会的成员谈论了Kata Containers的开发。

Kata容器项目更新

快速回顾一下5月15日发布的2.1.0版本。这个小版本值得注意的功能包括:

——在Kata Containers访客中运行的Kata代理现在是异步的,这样可以提高性能和资源利用率。

——Kata-deploy将是部署和分发Kata Containers的主要方式。

——社区从开放式追踪变成了开放式遥测。

——增加了更好的直接设备分配

——增加了对IPv6和virtio mem的支持。

——Kata1.x被正式否决,这是KataContainers项目的第一个正式系列。

Kata 2.2.0是下一个小版本,定于8月6日发布,但Ortiz预计会推迟。

Kata 2.2.0版本值得注意的功能包括:

——CI稳定化,这将有助于加速开发和pull请求合并。

——跟踪改进和稳定。

——可监视卷和挂载点。

——转到QEMU的q35

社区还通过创建固定的节奏简化发布管理——每三周就有一个发布候选版本作为下一个大或小版本。然后,每12周会有一个小版本。贡献者将使用一个稳定的分支来跟踪以前的大小版本进度。

Kata容器用例

在社区内,围绕Kata用户的特定问题和功能进行了重点讨论。用例包括:

——性能隔离:保持Kata的资源开销和噪声受限的最佳实践。

——机密容器:使用Kata运行机密计算工作负载。

Ortiz还介绍了几个正在部署Kata Containers并共享其用例的组织。

蚂蚁集团在生产中的大型Kata Containers

中国领先的点对点支付处理器蚂蚁集团一直在全球最大的数字支付平台上进行自动在线支付交易,因此Kata Containers的特性(如专用内核的网络隔离和性能抖动)对其用例至关重要。

“使用Kata容器,我们仍然共享同一个主机内核。我们有一个hypervisor层,在不同的客户操作系统(OS)中运行不同的pod。”蚂蚁集团的工程师、Kata Containers架构委员会成员Peng Taobao说,当一个访客发生问题时,它不会影响同一主机上的其他pod。

通过这种访客操作系统级别的隔离,蚂蚁集团不再共享许多主机内核线程,使用Kata可以使它们的服务性能更加稳定。

AMD安全加密虚拟化(SEV)

AMD公司EPYC软件生态系统团队的高级经理Brent Hollingsworth和IBM研究人员Hubertus Franke谈到了机密计算和Kata Containers所扮演的角色。

Franke说,用机密计算,客户必须绝对相信数据不会被泄露。在受监管的环境中,政府正在制定更严格的规则,比如健康数据,必须确定hypervisor可以访问这些数据,但发现不了这些数据的任何价值。加密起着关键的作用,因此机密或基于容器的工作负载可以与即将推出的AMD SEV等技术相结合。

Hollingsworth说:“通过结合SEV技术的2018 Kata Containers原型,我们有可能提供机密性,这意味着我们可以打开它,容器将以加密模式运行。我们目前正在投入Kata Containers,正在与社区和IBM这样的公司合作。”

Hollingsworth还表示,关键是在几年内,我们有能力建立一个基础设施,可以做所有这一切,并让每个最终用户可以在一个安全的模式下运行。

华为云上的Kata Containers

华为云容器架构师Shaobao Feng介绍了华为在生产中运行Kata Containers的两个环境:云容器实例(CCI)——公共云上的第一个无服务器Kubernetes,以及云容器引擎(CCE)turbo——华为云提供的一个完整的Kubernetes服务。

原文链接:

https://superuser.openstack.org/articles/kata-containers-use-cases-openinfra-live-recap/

云原生之路 | 1.快速了解容器(Container)及容器编排技术
WeiyiGeek 唯一极客IT知识分享
09-18 1426
2022年,原本是准备和同事一起完成出一本Kubernetes在企业落地实践的书的,但是由于老婆怀孕以及后来娃娃的出生需要照顾,从而错过了发版时间(工期赶不赢),后来一想是有点后悔,浪费了这一次宝贵机会,但是也无可奈何,出书对主题大纲、书籍目录、代码贴图、文章内容以及来源等格式都有严格的限制,所以说就是想赶上时间也是没办法的,不过在之前我已经完成了六章,如今生活一切都步入了正规,作者不详所以写和总结的文章吃灰,遂一一分享出来给大家一起学习,并且后续作者也会继续更新云原生在企业落地实践等相关文章,在。
Kata Containers介绍
SkyForm_的博客
01-24 4442
美国东部时间12月5日早上8点,OpenStack基金会于KubeCon峰会正式发布基于Apache 2.0协议的容器技术Kata Containers项目(https://katacontainers.io)。KataContainers是一个Novel实现的轻量虚拟机,可以无缝地与容器生态系统进行集成。Kata Containers 项目的主要目标是将虚拟化的安全隔离优势和容器的快速启动特点结...
Kata Containers
summer_fish的专栏
07-31 688
综上所述,Kata Containers 提供了一种虚拟化容器的解决方案,可以提供更高的安全性和隔离性,同时保持与容器生态系统的兼容性。它适用于需要更强安全隔离或对性能有一定要求的场景。但也需要权衡资源消耗和启动时间等因素。
kata-container
qq_38129681的博客
08-10 515
Kata Container是一个开放源代码的容器,运行时可以构建无缝插入容器生态系统的轻量级虚拟机,致力于通过轻量级虚拟机机来构建安全的容器,这些虚拟机的运行方式和性能类似于容器,但是使用硬件虚拟化救赎作为第二程防御层,可以提供更强的工作负载隔离​ Kata Container 社区由 OpenStack Foundation(OSF) 领导,该基金会支持全球开放基础架构的开发和采用kata-container 和 runc是平级的。
【云原生】安全容器 Kata Containers
include的博客
10-24 2997
出于对传统容器安全性的担忧,Intel 在 2015 年启动了它们以虚拟机为基础的容器技术:Clear Container。Clear Container 依赖 Intel VT 的硬件虚拟化技术以及高度定制的 QEMU-KVM(qemu-lite)来提供高性能的基于虚拟机的容器。在 2017 年,Clear container 项目加入了 Hyper RunV,这是一个基于 hypervisor 的 OCI 运行时,从而启动了 Kata 容器项目。
Kata Container是什么?
m0_37574389的博客
12-25 2439
KataContainer首页的几个大字写的是容器的速度,虚拟机的安全性。与Docker一样,都是容器,但相对与dockerKata更安全、更好的性能 在2019年12月份,开源中国发布了一篇:以Docker为代表的传统容器到了生死存亡之际 在AWS的官方博客中描述了docker的安全隐患: 由于操作系统内核漏洞,docker 组件设计缺陷,以及不当的配置都会导致 dock......
documentation:Kata Containers版本1.x文档(有关版本2.x,请参见https
05-12
升级:如何从Clear Containers和runV升级到Kata Containers,以及如何将现有的Kata Containers系统升级到最新版本。 局限性:与默认Docker运行时runc相比的差异和局限性。 入门指南 请参阅howto文档。 卡塔用 ...
Kata Containers如何提高Docker容器的安全性
k8scaptain的博客
04-04 1570
Docker非常受欢迎,因为它为开发人员消除了分发软件的障碍。将其与Kata Containers配对使用可以使其更加安全。 Kata Containers是一个开源项目和社区,致力于构建轻量级虚拟机(VM)的标准实现——这些虚拟机的感知和执行类似容器,但提供VM的工作负载隔离和安全优势。 Nils Magnus是Open Telekom Cloud的云架构师,他在一个网络研讨会(可以在...
Kata Containers 1.x 版本全面入门与开发指南
这些用详细介绍了在特定场景下Kata Containers的应用方法和优势。 对于开发者而言,开发人员指南部分将有助于理解并贡献于Kata Containers项目。文档提供了对Kata Containers设计与实现的深入解析,包括其体系...
Kata容器的I/O性能
NewTyun的博客
06-10 1351
本文的所有分析是基于Kata容器1.6.2版本。在参加了2019年伦敦OpenInfra Days的Kata容器研讨会之后,我们对它们的启动时间印象比较深刻,与Kubernetes集群中...
深入理解 Kata Containers
CloudJourney的博客
07-07 1502
本文将详细介绍 Kata Containers 的定义、架构、工作原理、应用场景、常见命令以及实验操作,帮助读者全面掌握这一创新的容器技术。通过 Kata Containers,用户可以在保持容器轻量级和灵活性的同时,提升安全性和隔离性,适用于多种复杂的应用场景。Kata Containers 是一种开源的容器运行时,结合了轻量级虚拟机(VM)和容器技术的优点。Kata Containers 将每个容器运行在一个独立的虚拟机中,通过这种方式,在保持性能的前提下,提供了更高的安全性和隔离性。
Kubernetes kata-container 介绍
爱死亡机器人
05-10 1227
文章目录1. 为什么用kata-container2. 什么是kata-container3. kata container组件3.1 Agent3.2 Runtime3.3 Proxy3.4 Shim 参考链接: https://blog.csdn.net/zhonglinzhang/article/details/86489695 1. 为什么用kata-container 弥补了传统容器技术安全性的缺点,Kata Containers通过使用硬件虚拟化来达到容器隔离的目的。每一个container/
kata container的基本使用示
学亮编程手记
03-16 828
以上是一个简单的Kata Container使用示Kata Container还支持更多高级用法,如同时运行多个Kata容器、使用镜像等。您可以参考Kata Container官方文档,了解更多用法和功能。这将在Kata容器中运行ls命令,并显示文件列表。,安装最新版本的Kata Container。安装Kata Container。创建一个Kata容器。
Kata Containers零基础学习从零到一
llovewuzhengzi的博客
05-22 1881
Docker容器通过命名空间和控制组提供逻辑隔离,共享宿主机的内核,资源利用高效,但隔离度相对较低。Kata Containers等使用MicroVM技术,为每个容器提供独立的内核和硬件抽象层,隔离度高,安全性增强,但可能牺牲一点启动速度和资源效率。这张图可能详细展示了从应用管理层到基础虚拟化层的整个流程,强调了不同层次之间的信息流动和职责划分。
【归档】Kata Containers 2.0 介绍
AIsland 的博客
10-23 3679
Kata Containers 2.0 2.0.0 于 2020年10月19日 发布。文档地址:https://github.com/kata-containers/kata-containers/tree/2.0.0/docs Design 1. Kata Containers 架构 概览 Kata Containers 的交付物是一个 CRI 友好的 Shim(e.g. containerd-shim-kata-v2),在它的后面还有一个 CRI 友好的 API 库。 Kata Container
配置Docker以使用Kata Containers
学亮编程手记
03-16 1614
Kata Containers是一种轻量级的虚拟化技术,它进一步加强了容器的安全性和隔离性。
干货|认识kata-containers
中兴开发者社区
01-05 1万+
点击上方“中兴开发者社区”,关注我们每天读一篇一线开发者原创好文认识kata-containers 1、kata-containers是什么 2、在容器生态系统中的位置 3、包含的组件及其功能介绍 4、现状以及后续的计划 5、在Docker中的使用 本文主要让大家认识什么是kata-containers,它在容器生态系统中的位置,如何跟现有容 器系统进行集成。最后介绍如何在Docker中使用kat
kata-container初探
热门推荐
hdu_hanwei的专栏
09-04 2万+
概览 kata containers是由OpenStack基金会管理,但独立于OpenStack项目之外的容器项目。kata containers整合了Intel的 Clear Containers 和 Hyper.sh 的 runV,能够支持不同平台的硬件 (x86-64,arm等),并符合OCI(Open Container Initiative)规范,同时还可以兼容k8s的 CRI(Cont...
Kubernetes【容器运行时】Kata Containers 与 gVisor
爱死亡机器人
08-27 1845
文章目录1. 容器发展2. KataContainers原理3. gVisor原理4. 对比 1. 容器发展 使用虚拟化技术来做一个像 Docker 一样的容器项目,并不是一个新鲜的主意。早在 Docker 项目发布之后,Google 公司就开源了一个实验性的项目,叫作 novm。这,可以算是试图使用常规的虚拟化技术来运行 Docker 镜像的第一次尝试。不过,novm 在开源后不久,就被放弃了,这对于 Google 公司来说或许不算是什么新鲜事,但是 novm 的昙花一现,还是激发出了很多内核开发者的灵
kata containers rootfs
最新发布
01-03
### Kata Containers Root File System (RootFS) Configuration and Creation Guide #### Understanding the Role of RootFS in Kata Containers The root file system plays a critical role within Kata Containers as it provides an isolated environment where applications can run with their own set of libraries, binaries, and configurations[^1]. This isolation ensures that each container operates independently from others. #### Preparing Environment for RootFS Setup Before setting up the root file system specifically designed for use by Kata Containers, ensure all necessary dependencies are installed on your host machine. Common tools required include `debootstrap` or similar utilities depending upon distribution choice[^2]. #### Creating a Minimalistic Debian-based RootFS Using debootstrap Command Line Tool To create a minimal Debian-based root file system suitable for usage inside Kata Containers: ```bash sudo mkdir /var/lib/kata-containers/rootfs/debian-minimal sudo debootstrap --variant=minbase buster /var/lib/kata-containers/rootfs/debian-minimal http://deb.debian.org/debian/ ``` This command initializes a new directory structure at `/var/lib/kata-containers/rootfs/debian-minimal`, populating this location with essential files needed to boot into a functional Linux operating system instance when used alongside Kata Containers runtime[^3]. #### Configuring Network Interfaces Inside Chroot Jail After creating the base image, enter chroot jail using following commands which allows configuring network interfaces directly under newly created filesystem context without affecting actual hardware settings outside container scope: ```bash sudo mount -t proc none /var/lib/kata-containers/rootfs/debian-minimal/proc sudo cp /etc/resolv.conf /var/lib/kata-containers/rootfs/debian-minimal/etc/ sudo chroot /var/lib/kata-containers/rootfs/debian-minimal apt-get update && apt-get install iproute2 net-tools vim-tiny openssh-server exit umount /var/lib/kata-containers/rootfs/debian-minimal/proc ``` These operations add networking capabilities along with some basic administrative tools like SSH server enabling remote access once deployed properly within kata containers instances[^4]. #### Optimizing Image Size Through Cleanup Operations Post Installation Once installation completes successfully consider cleaning unnecessary packages reducing overall size footprint making images more portable across different environments while maintaining core functionalities intact: ```bash apt-get clean rm -rf /tmp/* ~/.bash_history find /usr/share/locale ! -name 'en' | xargs rm -r -- find /usr/share/man -type f|xargs rm - ``` Executing these cleanup steps helps minimize storage requirements ensuring efficient utilization resources during deployment phases especially important considering cloud-native workloads often operate resource-constrained conditions[^5]. --related questions-- 1. What alternatives exist besides `debootstrap` for other distributions such as CentOS? 2. How does one customize the package selection beyond what's provided initially through minbase variant option? 3. Can you explain how security features integrate with custom-built rootfs solutions? 4. Are there any best practices regarding version control over multiple iterations of customized rootfs builds?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值