Kata Containers用例

Kata Containers是OpenInfra基金会支持的开源容器运行时项目。来自AMD、蚂蚁集团、苹果、IBM和华为的Kata Containers社区成员分享他们如何运行Kata。Kata容器架构委员会成员和上游贡献者还提供了社区开发和项目路线图的更新。

首先，苹果软件工程师Samuel Ortiz和Kata Containers架构委员会的成员谈论了Kata Containers的开发。

Kata容器项目更新

快速回顾一下5月15日发布的2.1.0版本。这个小版本值得注意的功能包括：

——在Kata Containers访客中运行的Kata代理现在是异步的，这样可以提高性能和资源利用率。

——Kata-deploy将是部署和分发Kata Containers的主要方式。

——社区从开放式追踪变成了开放式遥测。

——增加了更好的直接设备分配

——增加了对IPv6和virtio mem的支持。

——Kata1.x被正式否决，这是KataContainers项目的第一个正式系列。

Kata 2.2.0是下一个小版本，定于8月6日发布，但Ortiz预计会推迟。

Kata 2.2.0版本值得注意的功能包括：

——CI稳定化，这将有助于加速开发和pull请求合并。

——跟踪改进和稳定。

——可监视卷和挂载点。

——转到QEMU的q35

社区还通过创建固定的节奏简化发布管理——每三周就有一个发布候选版本作为下一个大或小版本。然后，每12周会有一个小版本。贡献者将使用一个稳定的分支来跟踪以前的大小版本进度。

Kata容器用例

在社区内，围绕Kata用户的特定问题和功能进行了重点讨论。用例包括：

——性能隔离：保持Kata的资源开销和噪声受限的最佳实践。

——机密容器：使用Kata运行机密计算工作负载。

Ortiz还介绍了几个正在部署Kata Containers并共享其用例的组织。

蚂蚁集团在生产中的大型Kata Containers

中国领先的点对点支付处理器蚂蚁集团一直在全球最大的数字支付平台上进行自动在线支付交易，因此Kata Containers的特性（如专用内核的网络隔离和性能抖动）对其用例至关重要。

“使用Kata容器，我们仍然共享同一个主机内核。我们有一个hypervisor层，在不同的客户操作系统（OS）中运行不同的pod。”蚂蚁集团的工程师、Kata Containers架构委员会成员Peng Taobao说，当一个访客发生问题时，它不会影响同一主机上的其他pod。

通过这种访客操作系统级别的隔离，蚂蚁集团不再共享许多主机内核线程，使用Kata可以使它们的服务性能更加稳定。

AMD安全加密虚拟化（SEV）

AMD公司EPYC软件生态系统团队的高级经理Brent Hollingsworth和IBM研究人员Hubertus Franke谈到了机密计算和Kata Containers所扮演的角色。

Franke说，用机密计算，客户必须绝对相信数据不会被泄露。在受监管的环境中，政府正在制定更严格的规则，比如健康数据，必须确定hypervisor可以访问这些数据，但发现不了这些数据的任何价值。加密起着关键的作用，因此机密或基于容器的工作负载可以与即将推出的AMD SEV等技术相结合。

Hollingsworth说：“通过结合SEV技术的2018 Kata Containers原型，我们有可能提供机密性，这意味着我们可以打开它，容器将以加密模式运行。我们目前正在投入Kata Containers，正在与社区和IBM这样的公司合作。”

Hollingsworth还表示，关键是在几年内，我们有能力建立一个基础设施，可以做所有这一切，并让每个最终用户可以在一个安全的模式下运行。

华为云上的Kata Containers

华为云容器架构师Shaobao Feng介绍了华为在生产中运行Kata Containers的两个环境：云容器实例（CCI）——公共云上的第一个无服务器Kubernetes，以及云容器引擎（CCE）turbo——华为云提供的一个完整的Kubernetes服务。

原文链接：

https://superuser.openstack.org/articles/kata-containers-use-cases-openinfra-live-recap/