Kata Containers 3.0.0 版本正式发布
开源项目Kata Containers 今日正式发布3.0.0 版本。Kata Containers 是一个安全容器运行时,依靠硬件虚拟化技术提供强业务隔离性,把虚拟机的轻量化优势融入到容器的使用体验中。Kata Containers 提供了一套安全而高效的部署方案,在强监管业务、不可信三方代码、公有云和私有云、容器服务与边缘计算等诸多场景中有广泛应用。
自2017 年项目成立以来,Kata Containers “快如容器,稳似虚机” 的设计吸引了众多用户。Kata Containers 3.0.0 版本延续了对几大主要功能的关注,进一步强化了安全,高效,广泛的运行场景和硬件兼容性等性能优势。
https://github.com/kata-containers/kata-containers/releases
Kata Containers 3.0.0 主要特性:
新增Rust 语言重写的容器运行时组件,以及一个可选的集成虚拟机管理组件,进一步降低了Kata Containers的资源开销,简化了管理流程
Rust语言消除了 GO 语言运行时的额外开销
集成的虚拟机管理组件使得Kata Containers 为每个POD 只需要创建一个宿主机进程
符合Linux 社区采用Rust 语言重写核心软件栈的趋势
虚拟化能力增强,用户可以在更广泛的环境中运行 Kata Containers
新增 GPU如VFIO(Virtual Funcion I/O)直通能力,支持更安全的用户态驱动,以及通用的PCI(e) 设备 Cloud-hypervisor更新到v26.0 版本,增加了多项Intel TDX 相关支持
支持最新的Linux 内核稳定版本
Kata Containers 使用定制的内核来增强安全性和隔离性。Kata Containers 3.0.0 的内核支持更新到了最新的v5.19.2
更好的云原生生态支持
Kata Containers 3.0.0 支持主流的云原生生态组件,包括但不限于Kubernetes, CRI-O, Containerd 以及OCI v1.0.0-rc5 容器运行时标准
进一步增强安全性,包括
基于image-rs 和离线文件系统密钥中间人服务的镜像验签机制
Rust runtime 静态资源管理功能 Linux cgroupv2 支持
更多Kata Containers 3.0.0 特性请查看新版公告:
https://github.com/kata-containers/kata-containers/releases
Treva Williams,OpenInfra基金会社区技术经理评论道:“Kata Containers 3.0.0 中引入了很多令人兴奋的虚拟化相关性能的增强,包括各种环境配置以及GPU 等硬件技术的适配。Kata社区的同学们不畏挑战,不断地寻求进步,致力于用Rust 语言重写Kata Containers 项目。切换到Rust 语言极大地提升了Kata Containers 的运行速度,性能和安全性,这些努力让广大的Kata 用户和未来的贡献者大为受益。”
“我们已经把Kata Containers 集成到了浪潮云海服务器虚拟化系统InCloud Sphere 和超融合系统InCloud Rail 中。未来我们会继续向用户推荐Kata Containers ,与Kata 社区共同成长。”
– 颜秉珩,浪潮数据云计算研发总监
“很高兴我们团队和我自Kata Containers 项目成立以来就一直是社区的活跃贡献者和用户。Kata Containers 3.0.0版本功能特性的改进非常令人兴奋,比如用Rust 语言重写的那些功能组件,内嵌的沙箱能力以及TDX 支持等。在Kata 3.0.0 的开发周期中,我们把它部署到了我们的生产集群里,这帮助我们团队获得了今年的超级用户大奖。希望大家为下一个版本继续加油努力。”
– 王旭,蚂蚁集团资深技术专家
“我们已在实际生产应用中大规模部署Kata 3.0.0,Kata Containers兼顾安全性和隔离性,我们不仅将Kata用于安全隔离,还将Kata用于故障隔离、性能隔离及配置隔离。在应用Kata技术的同时,我们也积极参与Kata社区贡献,帮助优化Kata,向社区贡献的一些代码已成功合并至Kata 3.0.0版本,与社区的合作经历十分有趣。此外,我们还将Kata推广到龙蜥社区,期待与大家共同努力,将Kata推向更广阔的应用天地。”
- 马涛
阿里巴巴首席工程师,操作系统团队负责人
扩展阅读:
相关应用案例:
https://www.youtube.com/watch?v=-9LtBfwj03Y&t=1221s
https://medium.com/kata-containers/kata-containers-inspur-case-study-757a9e8e21ef?source=collection_home---6------0-----------------------
https://medium.com/kata-containers/kata-containers-cysec-case-study-40e7a03084f3
https://medium.com/kata-containers/kata-containers-exotanium-case-study-7771ceaa91d5
https://katacontainers.io/collateral/ApplicationOfKataContainersInBaiduAICloud.pdf
蚂蚁集团用户案例
https://katacontainers.io/collateral/kata-containers-ant-group_whitepaper.pdf
Kata Containers 社区持续发展
在Kata Containers 3.0.0 的开发周期中,Kata Containers 社区中的235名贡献者提交了超过 4000 项改动。这些贡献者来自 26 个不同的公司/组织,包括Adobe,阿里巴巴,ARM,Atlassian,百度,字节跳动,浪潮,Google,Microsoft,NVDIA,Orange,Red Hat 和中兴等,以及Kata 社区架构委员会成员所在的蚂蚁集团,Apple,Intel和Rivos 公司。当前,AWS,Google Cloud,Microsoft,PackageCloud,Packet和Vexxhost 为Kata 社区提供了基础设施赞助。
自2017 年 12 月在KubeCon 大会上宣布项目成立以来,Kata Containers 社区一直十分欢迎并鼓励关注容器安全的开源贡献者们参与项目发展。贡献者们能够在上游社区与包括Kubernetes,containerd/CRI-O,Docker,OCI,CNI,QEMU,rust-vmm,cloud-hypervisor,KVM 以及OpenStack 等在内的各种基础设施和容器生态社区密切合作。欢迎了解或加入Kata Containers社区。
机密容器项目发布第一个版本
在开发Kata Containers 3.0.0 版本的过程中,Kata社区的多名成员同时帮助开发了机密容器项目的第一个版本。机密容器项目目前是 CNCF 沙箱项目,集成了当前的 TEE(Trusted Execution Environments)基础设施和云原生技术。
机密容器作为Kata Containers 的容器隔离性能的延展,集成了 TEE基础设施和其他几项安全特性,为云原生应用提供更强的安全标准,使用硬件TEE 能力保护应用数据不被基础设施访问。在一群富有激情和技术的开发者专注开发数月之后,CoCo团队完成了机密容器的Kubernetes 控制器的开发。机密容器 v0.1.0 版本包含了对Kata Containers 3.0.0 版本的支持,可在项目的GitHub 主页下载。
欢迎下载最新的机密容器 v0.1.0 版本:
https://github.com/confidential-containers/documentation/releases
https://github.com/confidential-containers/documentation/blob/v0.1.0/quickstart.md
关于 Kata Containers 项目
Kata Containers 是OpenInfra基金会的一个开源基础设施项目,不仅可为用户提供容器的速度和性能,还可兼顾虚拟机的安全性。Kata Containers 的设计与体系架构无关,兼容OCI 标准以及Kubernetes 容器运行时(CRI)接口。Kata Containers 项目遵循Apache 2.0 协议,代码托管在GitHub 上。欢迎通过以下方式与Kata Containers 社区联系:
Freenode IRC:#kata-dev
主页:katacontainers.io
开发者邮件列表:lists.katacontainers.io
Twitter:@KataContainers
Slack:slack channel
关于开源基础设施基金会