您的容器安全嗎?您是否對將 Linux 名稱空間作為安全邊界感到滿意?在本次KubeCon大會上,將會有來自阿里巴巴的高級技術專家Lei Zhang 和來自HyperHQ 的工程師Fupan Li來為大家分享他們關於容器安全方面的寶貴經驗。
他們希望通過與 containerd 的集成,集中討論如何利用基於硬件虛擬化的運行期(特別是 KataContainers)在 Kubernetes 集群中的設計和實現。並將演示他們是如何將 KataContainers 重構為 containerd 的插件的,運行時插件如何通過容器運行期接口來處理網絡,並通過自定義卷插件解決基於管理程序的容器運行時的低性能問題。
在這之前,我們有必要先詳細瞭解一下 containerd 和 KataContainers 這兩個概念。把基礎知識夯實更有利於大家汲取更高級的知識。
關於containerd
containerd的發音是"container-dee",正如它的名字,它是一個容器守護進程,而不是"收集-迷,contain-nerd"。它最初是作為 OCI 運行時(就像 runC一樣)的集成點而構建的,然而在短短一年中它增加了許多特性,使其達到了像 Docker 這樣的現代容器平臺以及像 Kubernetes 這樣的編排平臺的需求。
近年來,containerd 被用於 Docker、Kubernetes CRI、以及一些其它的項目,在這些平臺中事實上都使用了 containerd,而許多人並不知道 containerd 存在於這些平臺之中。
那麼,使用 containerd 能做些什麼呢?你可以擁有推送或拉取功能以及鏡像管理。可以擁有容器生命週期 API 去創建、運行、以及管理容器和它們的任務。一個完整的專門用於快照管理的 API,以及一個其所依賴的開放治理的項目。如果你需要去構建一個容器平臺,基本上你不需要去處理任何底層操作系統細節方面的事情。關於 containerd 中最重要的部分是,它有一個版本化的並且有 bug 修復和安全補丁的穩定 API。
由於在內核中沒有一個 Linux 容器這樣的東西,因此容器是多種內核特性捆綁在一起而成的,當你構建一個大型平臺或者分佈式系統時,你需要在你的管理代碼和系統調用之間構建一個抽象層,然後將這些特性捆綁粘接在一起去運行一個容器。而這個抽象層就是 containerd 的所在之處。它為穩定類型的平臺層提供了一個客戶端,這樣平臺可以構建在頂部而無需進入到內核級。因此,可以讓使用容器、任務、和快照類型的工作相比通過管理調用去 clone() 或者 mount() 要友好的多。與靈活性相平衡,直接與運行時或者宿主機交互,這些對象避免了常規的高級抽象所帶來的性能犧牲。結果是簡單的任務很容易完成,而困難的任務也變得更有可能完成。
圖:containerd
關於KataContainers
kata containers是由OpenStack基金會管理,但獨立於OpenStack項目之外的容器項目。它是一個可以使用容器鏡像以超輕量級虛機的形式創建容器的運行時工具。
kata containers整合了Intel的 Clear Containers 和 Hyper.sh 的 runV,能夠支持不同平臺的硬件(x86-64,arm等),並符合OCI(Open Container Initiative)規範,同時還可以兼容k8s的 CRI(Container Runtime Interface)接口規範。目前項目包含幾個配套組件,即Runtime,Agent, Proxy,Shim,Kernel等。目前Kata Containers的運行時還沒有整合,即Clear containers 和 runV 還在獨立的組織內。
如果大家瞭解Docker技術,就會知道,真正啟動Docker容器的命令工具是RunC,它是OCI運行時規範 (runtime-spec)的默認實現。
Kata containers其實跟RunC類似,也是一個符合OCI運行時規範的一種 實現(即Clear Container和runV 都符合OCI規範),不同之處是,它給每個容器(在Docker容器的 角度)或每個Pod(k8s的角度)增加了一個獨立的linux內核(不共享宿主機的內核),使容器有更好的隔離性,安全性。
容器技術發展如火如荼,其安全問題也隨之變得愈發重要。本次會議上,專家們還將介紹容器運行期接口的設計和實施,這已經引發了 Kubernetes 社區容器運行時的第二次風靡時期。最後,將解釋為什麼管理程序運行時不僅僅是關於安全性:舊版應用程序和硬件多租戶,它已為世界 containerd + KataContainers 做好準備。
本期則隆重推薦:
Lei Tang , Google軟件工程師
Lei Tang 博士是谷歌的軟件工程師。他目前在做的項目包括雲服務網格和雲服務的安全系統。他獲得萊斯大學(Rice University)計算機科學博士學位。他榮獲第十二屆移動 Ad Hoc 網絡和計算 ACM 國際研討會(ACM MobiHoc 2011)最佳論文獎。他是"IEEE Transactions on Industrial Informatics"期刊的副編輯。已經在國際期刊和大會發表了 15 份研究論文,他的論文被國際研究論文引用超過 740 次。
Scott Nichols , Google軟件工程師
Scott Nichols 是一名谷歌人,從事 CloudEvents 等相關執行工作。Scott Nichols 曾在 2018 年參加哥本哈根大會的演講,演講關於使用 OSBAPI 控制家居自動化。
KubeCon + CloudNativeCon 2018即將開始,請立即購票,勿失良機!
餘票所剩無幾,欲購從速,票價如下:
標準註冊2400元;
貴賓註冊6000元;
學術或愛好者註冊500元;(需要發送電子郵件至[email protected]申請批准)
更多精彩內容請搜索 KubeCon 前往官網進行了解!
下週二,我們與您在上海見面!
———————————感謝活動贊助商———————————
鑽石贊助商
阿里雲
華為雲
IBM Cloud
Tencent Cloud
鉑金贊助商
靈雀雲
才雲
Google Cloud
英特爾
京東
Microsoft Azure
Rancher
VMware
黃金贊助商
SUSE
白銀贊助商
BoCloud
Cloud Foundry
DaoCloud
EasyStack
Eclipse Foundation
Elastic
GitLab
Mesosphere
NGINX
PingCAP
Red Hat
YAHOO! JAPAN
初創企業贊助商
Aljabr
AMPERE
CStack
EMQ
Giant Swarm
諧雲科技
inwinSTACK
KONTENA
藍燈數據
LF DEEP LEARNING
PlanetScale
時速雲
睿雲智合
媒體合作伙伴
開源中國社區
極客邦科技 / InfoQ
TFIR
THE NEW STACK
社區合作伙伴
ServiceComb
ArcBlock
容器時代
中國電子技術標準化研究院
中國開源軟件(OSS)推進聯盟
異步社區
掘金
開源社
Ladies Who Tech
開源中國社區
雲計算開源產業聯盟
WOMEN WHO CODE
閱讀更多 互聯網熱點爆料 的文章
