وقد بدأ المشروع حاوية كاتا في ديسمبر كانون الاول عام 2017، مع الحاوية المستخدمة لبناء النظام البيئي سلس الجهاز الظاهري خفيفة الوزن. وتتضمن كاتا الحاويات التكنولوجيا من الواضح Intel Clear حاويات وفرط runV بحيث الحاوية لديها الجهاز الظاهري مثل الأمن.

كاتا حاوية حل أوجه القصور أمن الحاويات التقليدية

كاتا حاوية جسر الفجوة بين الأمن والمزايا التقليدية للحاويات خفيفة الوزن التقليدية لينكس VM ل. وكانت الحاويات التقليدية للمشاركة في نفس الأساسية نواة لينكس. نقاط الضعف المعروفة تسمح لمستخدم ضار إلى "الهروب" للوصول إلى نواة والحاويات المشتركة والحاويات. ولا سيما في البيئات متعددة المستأجر، يحتاج هذا الوضع إلى بذل جهود كبيرة لحماية أمن النظام.

المجموعات استخدام حاوية تحكم لينكس التقليدية، والمعروفة أيضا باسم سيغروبس، وتستخدم لإدارة وتخصيص الموارد و مساحات الأسماء، لتوفير العزلة بين الحاويات. تم التخلي عن مزيد من العزلة الأمن من خلال وظيفة لينكس، واستخدام وسيلة لتحميل والتحكم في الدخول الإلزامي السياسات (MAC) مثل مثل سيلينو وAppArmor * للقراءة فقط،

التخلي عن استدعاء النظام إلى التحول إلى SECCOMP. فمن الصعب جدا، إن أمكن، ينبغي أن تطبق هذه السياسات الأمنية تطبيقات أكثر تعقيدا للذهاب.

ملاحظة: Seccomp (الحوسبة الآمنة) هي آلية وضع الحماية المدمجة نواة لينكس و(منذ 2.6.23) بدعم

كما ترون، في معظم الحالات، فهي في نفس الحاوية VM، الأمر الذي يجعل أداء الحاوية لا يمكن ضمان. ضمان أمن هذه البيئات هي واحدة من الحاويات كاتا وراء السائقين المشروع

تقدم كاتا العزلة بين حاويات من خلال استخدام الأجهزة الظاهرية. على عامل الميناء * المعنية، كاتا-VM وقت العزلة المقدمة على مستوى حاوية، Kubernetes مثل، لتوفير العزلة مستوى جراب VM، وفي الصفحات التالية، عندما نشير إلى حاوية / جراب، وهذا يعني: حاوية تعني عامل الميناء، جراب يشير kubernetes

للحاويات كاتا، يتم استخدام كل حاوية / جراب كما يبدأ VM خفيفة الوزن، لديها الأساسية فريدة من نوعها. لأن كل حاوية / جراب يستخدم الآن تلقاء نفسها VM لتشغيل، لذلك لم يكن لديك الوصول إلى النواة المضيفة، ويمكن الحصول على كافة مزايا الأمن VM. هذا يبسط السياسة الأمنية لحماية النواة المضيفة والحاويات نقاط الضعف به.

أيضا يجعل كاتا حاوية حاوية كما هو وجود خدمة (كانياس) يمكن تشغيلها على الحاويات المعدنية العارية. منذ الأجهزة بين العزلة حاوية، والحاويات كاتا وعدم السماح للمستخدمين باستخدام نفس المجموعة من المعلومات، بشرط أن يكون هناك استراتيجية أمن الشبكات لتوفير العزلة شبكة بين المستأجرين داخل الكتلة.

كيف تكون متوافقة مع الحاوية النظام البيئي سفينة كاتا

حاوية في مكون وقت التشغيل من دورة الحياة معالجة الحاويات، التي تنفذ مثل خلق، بداية، توقف، والحاويات إزالة عبء العمل. في مبادرة الحاويات المفتوحة (OCI)، وقد وصفت مواصفات وقت التشغيل في التفاصيل لفي وقت التشغيل API OCI المتوافقة.

runC هو OCI وقت التشغيل حل القياسية، وصفت بأنها "الحاوية لبناء وتشغيل أداة CLI وفقا مواصفات OCI". runC استخدام لينكس سيغروبس namesapces وتوفير العزلة.

كاتا هو عضو في أوراسكوم للإنشاء حاوية، والحاويات، ومدة عرضه كاتا (كاتا -runtime) سوف تكون متوافقة مع أوراسكوم للإنشاء

في Kubernetes، المشار وقت التشغيل الحاويات واجهة وقت التشغيل (CRI)، والتي هي على مستوى أعلى من التجريد، لا ينبغي الخلط بينه وبين وقت OCI متوافق

عامل الميناء تتفاعل مع محرك

للعامل الميناء عليه، كاتا-وقت التشغيل هو الاستخدام المحتمل آخر من خيارات وقت التشغيل المتوافقة مع أوراسكوم للإنشاء

في التكوين الافتراضي، إذا قمت بتثبيت وتشغيل عامل الميناء، ومحرك عامل الميناء:

1. إنشاء تكوين الحاويات

2. هذا النجاح التكوين لrunC

3. runC إنشاء حاوية اعتمادا على تكوين وعبء العمل محرك عامل الميناء قدم

وقت التشغيل كاتا الحاويات في حال تثبيته، وهي كاتا-وقت التشغيل، يمكنك تكوين لعامل الميناء اثنين من أوقات التشغيل الحاويات، مما يسمح للمستخدمين اختيار أي واحد لاستخدام على حجم كل حاوية، يكمل كاتا-وقت التشغيل ويعزز تقدم runC عامل الميناء الحلول.

لمزيد من المعلومات، راجع وثائق وقت تشغيل عامل الميناء

https://docs.docker.com/engine/reference/commandline/dockerd/#docker-runtime-execution-options

سيتم تشغيل كل حاوية عامل الميناء في VM خفيفة الوزن من نوعها في استخدام كاتا-وقت التشغيل

كاتا حاوية Kubernetes

Kubernetes 1.5 يدخل CRI (الحاويات واجهة وقت التشغيل)، مثل أن أوقات التشغيل الوصول بسهولة حاويات مختلفة. وقبل ذلك، Kubernetes عامل الميناء فقط استخدام مكتبة الصور الافتراضية والافتراضية وقت OCI متوافق مع: runC. منذ وقت التشغيل كثيرا ما تستخدم في المناقشة التالية، فإننا ندعو CRI أنبوب وقت التشغيل: CRI الرقائق، وقت التشغيل كما وقت OCI متوافق مع وصفه

منذ إدخال CRI، وأدخلت بعض الحشوات CRI، وصرخة-containerd، CRI-س، dockershim، وfrakti. بعضهم يدعو وقت التشغيل على أساس OCI، والبعض الآخر الحل الشامل. يظهر الشكل التالي نظرة عامة على مستوى عال من تنفيذ الحل عن طريق CRI. يرجى ملاحظة، dockershim حاليا يعتمد فقط runC، لا يدعم كاتا-runtim.

تقدم كاتا حاوية واجهات اثنين لالحشوات CRI، لإدارة الأجهزة الظاهرية على أساس جراب-Kubernetes:

1. وقت OCI متوافق، أي كاتا-وقت التشغيل. وهو متوفر حاليا CRI الحل: صرخة-containerd وCRI-O.

2. مكتبة وقت التشغيل API الأجهزة الافتراضية لالحشوات CRI الاستخدام، ويوفر بعض تطبيقات-CRI الأصلي، Frakti عينة.

على الرغم من أن مفهوم ما زال يعمل رمل الأمن في مستوى Kubernetes، ولكن بعض التطبيقات CRI التشغيل بالفعل على عقدة واحدة تدعم أوقات التشغيل متعددة. على سبيل المثال، عن ثقته في CRI-O الدعم والحماية غير موثوق بها. وبناء على التعليقات وجراب من التكوين الافتراضي CRI-O، يمكنك خلط تشغيل VM والقرون القائم على مساحة الاسم.

يستكشف المقالة التالية في عمق كيفية استخدام CRI-O لتحقيق هذا اليوم.

https://medium.com/cri-o/intel-clear-containers-and-cri-o-70824fb51811

VM العزلة في مستوى جراب كاتا-وقت تقدم. لعزل وإدارة النطاقات وسيغروبس في عملية في حاوية كاتا، على غرار العمل runC.

يمكنك محاولة حاوية كاتا

لم يتم نشر 1.0 كاتا الحاويات، واللاعبون هم مشغول استكمال خصائص كاتا-وقت التشغيل، ولكن يمكنك استخدام runV أو مسح حاويات أوقات التشغيل في محاولة لمعاينة حاوية كاتا.

انظر في دليل المطور:

https://github.com/kata-containers/documentation/wiki/Developer-Guide

كاتا الحاويات هو مشروع مفتوح المصدر تماما - نأمل أن تتمكن من الانضمام: كاتا حاويات على جيثب

katacontainers.io

جيثب: الشبكي: //github.com/kata-containers

الركود: رابط: https://katacontainers.slack.com، دعوة:

IRC: # كاتا-ديف على فرينود

القائمة البريدية:

الرابط الأصلي:

https://katacontainers.io/posts/why-kata-containers-doesnt-replace-kubernetes/

المترجم مقدمة:

ليو فو، الحالية الافتتاحية بكين هايون Jiexun وتشغيل وصيانة إقامة منغ