Kubecon告訴你,你的容器安全嗎?
您的容器安全嗎?您是否對(duì)將 Linux 名稱空間作為安全邊界感到滿意?在本次KubeCon大會(huì)上,將會(huì)有來自阿里巴巴的高級(jí)技術(shù)專家Lei Zhang 和來自HyperHQ 的工程師Fupan Li來為大家分享他們關(guān)于容器安全方面的寶貴經(jīng)驗(yàn)。
他們希望通過與 containerd 的集成,集中討論如何利用基于硬件虛擬化的運(yùn)行期(特別是 KataContainers)在 Kubernetes 集群中的設(shè)計(jì)和實(shí)現(xiàn)。并將演示他們是如何將 KataContainers 重構(gòu)為containerd 的插件的,運(yùn)行時(shí)插件如何通過容器運(yùn)行期接口來處理網(wǎng)絡(luò),并通過自定義卷插件解決基于管理程序的容器運(yùn)行時(shí)的低性能問題。
在這之前,我們有必要先詳細(xì)了解一下containerd 和KataContainers這兩個(gè)概念。把基礎(chǔ)知識(shí)夯實(shí)更有利于大家汲取更高級(jí)的知識(shí)。
關(guān)于containerd
containerd的發(fā)音是“container-dee”,正如它的名字,它是一個(gè)容器守護(hù)進(jìn)程,而不是“收集-迷,contain-nerd”。它最初是作為 OCI 運(yùn)行時(shí)(就像 runC一樣)的集成點(diǎn)而構(gòu)建的,然而在短短一年中它增加了許多特性,使其達(dá)到了像 Docker 這樣的現(xiàn)代容器平臺(tái)以及像 Kubernetes 這樣的編排平臺(tái)的需求。
近年來,containerd 被用于 Docker、Kubernetes CRI、以及一些其它的項(xiàng)目,在這些平臺(tái)中事實(shí)上都使用了 containerd,而許多人并不知道 containerd 存在于這些平臺(tái)之中。
那么,使用 containerd 能做些什么呢?你可以擁有推送或拉取功能以及鏡像管理??梢該碛腥萜魃芷?API 去創(chuàng)建、運(yùn)行、以及管理容器和它們的任務(wù)。一個(gè)完整的專門用于快照管理的 API,以及一個(gè)其所依賴的開放治理的項(xiàng)目。如果你需要去構(gòu)建一個(gè)容器平臺(tái),基本上你不需要去處理任何底層操作系統(tǒng)細(xì)節(jié)方面的事情。關(guān)于 containerd 中最重要的部分是,它有一個(gè)版本化的并且有 bug 修復(fù)和安全補(bǔ)丁的穩(wěn)定 API。
由于在內(nèi)核中沒有一個(gè) Linux 容器這樣的東西,因此容器是多種內(nèi)核特性捆綁在一起而成的,當(dāng)你構(gòu)建一個(gè)大型平臺(tái)或者分布式系統(tǒng)時(shí),你需要在你的管理代碼和系統(tǒng)調(diào)用之間構(gòu)建一個(gè)抽象層,然后將這些特性捆綁粘接在一起去運(yùn)行一個(gè)容器。而這個(gè)抽象層就是 containerd 的所在之處。它為穩(wěn)定類型的平臺(tái)層提供了一個(gè)客戶端,這樣平臺(tái)可以構(gòu)建在頂部而無需進(jìn)入到內(nèi)核級(jí)。因此,可以讓使用容器、任務(wù)、和快照類型的工作相比通過管理調(diào)用去 clone() 或者 mount() 要友好的多。與靈活性相平衡,直接與運(yùn)行時(shí)或者宿主機(jī)交互,這些對(duì)象避免了常規(guī)的高級(jí)抽象所帶來的性能犧牲。結(jié)果是簡(jiǎn)單的任務(wù)很容易完成,而困難的任務(wù)也變得更有可能完成。
圖:containerd
關(guān)于KataContainers
kata containers是由OpenStack基金會(huì)管理,但獨(dú)立于OpenStack項(xiàng)目之外的容器項(xiàng)目。它是一個(gè)可以使用容器鏡像以超輕量級(jí)虛機(jī)的形式創(chuàng)建容器的運(yùn)行時(shí)工具。
kata containers整合了Intel的 Clear Containers 和 Hyper.sh 的 runV,能夠支持不同平臺(tái)的硬件(x86-64,arm等),并符合OCI(Open Container Initiative)規(guī)范,同時(shí)還可以兼容k8s的 CRI(Container Runtime Interface)接口規(guī)范。目前項(xiàng)目包含幾個(gè)配套組件,即Runtime,Agent, Proxy,Shim,Kernel等。目前Kata Containers的運(yùn)行時(shí)還沒有整合,即Clear containers 和 runV 還在獨(dú)立的組織內(nèi)。
如果大家了解Docker技術(shù),就會(huì)知道,真正啟動(dòng)Docker容器的命令工具是RunC,它是OCI運(yùn)行時(shí)規(guī)范 (runtime-spec)的默認(rèn)實(shí)現(xiàn)。
Kata containers其實(shí)跟RunC類似,也是一個(gè)符合OCI運(yùn)行時(shí)規(guī)范的一種實(shí)現(xiàn)(即Clear Container和runV 都符合OCI規(guī)范),不同之處是,它給每個(gè)容器(在Docker容器的角度)或每個(gè)Pod(k8s的角度)增加了一個(gè)獨(dú)立的linux內(nèi)核(不共享宿主機(jī)的內(nèi)核),使容器有更好的隔離性,安全性。
容器技術(shù)發(fā)展如火如荼,其安全問題也隨之變得愈發(fā)重要。本次會(huì)議上,專家們還將介紹容器運(yùn)行期接口的設(shè)計(jì)和實(shí)施,這已經(jīng)引發(fā)了 Kubernetes 社區(qū)容器運(yùn)行時(shí)的第二次風(fēng)靡時(shí)期。最后,將解釋為什么管理程序運(yùn)行時(shí)不僅僅是關(guān)于安全性:舊版應(yīng)用程序和硬件多租戶,它已為世界 containerd + KataContainers 做好準(zhǔn)備。
本期則隆重推薦:
Lei Tang , Google軟件工程師
Lei Tang博士是谷歌的軟件工程師。他目前在做的項(xiàng)目包括云服務(wù)網(wǎng)格和云服務(wù)的安全系統(tǒng)。他獲得萊斯大學(xué)(Rice University)計(jì)算機(jī)科學(xué)博士學(xué)位。他榮獲第十二屆移動(dòng) Ad Hoc 網(wǎng)絡(luò)和計(jì)算 ACM 國(guó)際研討會(huì)(ACM MobiHoc 2011)最佳論文獎(jiǎng)。他是“IEEE Transactions on Industrial Informatics”期刊的副編輯。已經(jīng)在國(guó)際期刊和大會(huì)發(fā)表了 15 份研究論文,他的論文被國(guó)際研究論文引用超過 740 次。
Scott Nichols , Google軟件工程師
Scott Nichols 是一名谷歌人,從事 CloudEvents 等相關(guān)執(zhí)行工作。Scott Nichols曾在 2018 年參加哥本哈根大會(huì)的演講,演講關(guān)于使用 OSBAPI 控制家居自動(dòng)化。
KubeCon + CloudNativeCon 2018即將開始,請(qǐng)立即購(gòu)票,勿失良機(jī)!
余票所剩無幾,欲購(gòu)從速,票價(jià)如下:
標(biāo)準(zhǔn)注冊(cè)2400元;
貴賓注冊(cè)6000元;
學(xué)術(shù)或愛好者注冊(cè)500元;
更多精彩內(nèi)容請(qǐng)搜索 KubeCon 前往官網(wǎng)進(jìn)行了解!
下周二,我們與您在上海見面!
———————————感謝活動(dòng)贊助商———————————
鉆石贊助商
阿里云
華為云
IBM Cloud
Tencent Cloud
鉑金贊助商
靈雀云
才云
Google Cloud
英特爾
京東
Microsoft Azure
Rancher
VMware
黃金贊助商
SUSE
白銀贊助商
BoCloud
Cloud Foundry
DaoCloud
EasyStack
Eclipse Foundation
Elastic
GitLab
Mesosphere
NGINX
PingCAP
Red Hat
YAHOO! JAPAN
初創(chuàng)企業(yè)贊助商
Aljabr
AMPERE
CStack
EMQ
Giant Swarm
諧云科技
inwinSTACK
KONTENA
藍(lán)燈數(shù)據(jù)
LF DEEP LEARNING
PlanetScale
時(shí)速云
睿云智合
媒體合作伙伴
開源中國(guó)社區(qū)
極客邦科技/ InfoQ
TFIR
THE NEW STACK
社區(qū)合作伙伴
ServiceComb
ArcBlock
容器時(shí)代
中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院
中國(guó)開源軟件(OSS)推進(jìn)聯(lián)盟
異步社區(qū)
掘金
開源社
Ladies Who Tech
開源中國(guó)社區(qū)
云計(jì)算開源產(chǎn)業(yè)聯(lián)盟
WOMEN WHO CODE
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 為什么年輕人不愛換手機(jī)了
- 柔宇科技未履行金額近億元被曝已6個(gè)月發(fā)不出工資
- 柔宇科技被曝已6個(gè)月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
- 第六座“綠動(dòng)未來”環(huán)保公益圖書館落地貴州山區(qū)小學(xué)
- 窺見“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
- 清潔家電新老玩家市場(chǎng)定位清晰,攜手共進(jìn),核心技術(shù)決定未來
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。