gVisor 和 KataContainers

最新推荐文章于 2025-09-11 07:42:52 发布
原创 最新推荐文章于 2025-09-11 07:42:52 发布 · 851 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes

本文介绍了KataContainers和gVisor两种容器技术,KataContainers通过轻量化虚拟机提供安全保障,gVisor则利用用户态内核隔离容器。文章详细讲述了这两种技术的工作原理及如何在Docker和Kubernetes环境中进行配置。

目前的容器技术仍然有许多广为人知的安全挑战,其中一个主要的问题是,从单一共享内核获得效率和性能意味着容器逃逸可能成为一个漏洞。

所以在 2015 年,几乎在同一个星期,Intel OTC (Open Source Technology Center) 和国内的 HyperHQ 团队同时开源了两个基于虚拟化技术的容器实现,分别叫做 Intel Clear Container 和 runV 项目。而在 2017 年,借着 Kubernetes 的东风,这两个相似的容器运行时项目在中立基金会的撮合下最终合并,就成了现在大家耳熟能详的 Kata Containers 项目。 由于 Kata Containers 的本质就是一个精简后的轻量级虚拟机,所以它的特点,就是“像虚拟机一样安全,像容器一样敏捷”。

2018 年,Google 公司则发布了一个名叫 gVisor 的项目。gVisor 项目给容器进程配置一个用 Go 语言实现的、运行在用户态的、极小的“独立内核”。这个内核对容器进程暴露 Linux 内核 ABI,扮演着“Guest Kernel”的角色,从而达到了将容器和宿主机隔离开的目的。

KataContainers

首先,我们来看 KataContainers。它的工作原理可以用如下所示的示意图来描述。

Kata Containers 的本质,就是一个轻量化虚拟机。所以当你启动一个 Kata Containers 之后,你其实就会看到一个正常的虚拟机在运行。这也就意味着,一个标准的虚拟机管理程序(Virtual Machine Manager, VMM)是运行 Kata Containers 必备的一个组件。在我们上面图中,使用的 VMM 就是 Qemu。

Docker使用KataContainers

安装参考链接:https://github.com/kata-containers/documentation/tree/master/install/docker

首先节点需要支持以下四种任意一种cpu虚拟化技术:

  • Intel VT-x technology
  • ARM Hyp mode
  • IBM Power Systems
  • IBM Z manframes
    如果部署在VMware虚拟机中,需要在宿主机开启嵌套虚拟化的功能,开启步骤见链接:https://blog.51cto.com/11434894/2389180?source=dra

安装kataContainer:

ARCH=$(arch)
BRANCH="${BRANCH:-master}"
sudo sh -c "echo 'deb http://download.opensuse.org/repositories/home:/katacontainers:/releases:/${ARCH}:/${BRANCH}/xUbuntu_$(lsb_release -rs)/ /' > /etc/apt/sources.list.d/kata-containers.list"
curl -sL  http://download.opensuse.org/repositories/home:/katacontainers:/releases:/${ARCH}:/${BRANCH}/xUbuntu_$(lsb_release -rs)/Release.key | sudo apt-key add -
sudo -E apt-get update
sudo -E apt-get -y install kata-runtime kata-proxy kata-shim

设置docker配置文件:

cat > /etc/docker/daemon.json << EOF 
{
  "default-runtime": "kata-runtime",
  "runtimes": {
    "kata-runtime": {
      "path": "/usr/bin/kata-runtime"
    }
  }
}
EOF

systemctl daemon-reload
systemctl restart docker

运行一个容器,可以看到显示的内核版本和宿主机是不一样的:

root@cr7-ubuntu:~# docker run busybox uname -a

Kubernetes使用kataContainer

配置containerd使用kataContainer:

cat > /etc/containerd/config.toml << EOF
disabled_plu
最低0.47元/天 解锁文章
深入探索 Kubernetes 安全容器Kata Containers 与 gVisor
yonggeit的博客
11-17 376
Kata Containers通过虚拟化技术实现容器的强隔离,而gVisor则通过用户态的独立内核来隔离容器进程。是一种基于虚拟化技术的容器运行时,它结合了容器的敏捷性虚拟机的安全性。Kata Containers通过创建一个轻量级的虚拟机来运行容器,从而实现了对容器的强隔离。通过本文的深入剖析,希望你能对Kata ContainersgVisor有更清晰的理解,并能够在实际应用中做出合适的选择。是Google推出的一个项目,它通过在用户态运行一个用Go语言实现的独立内核来隔离容器进程。
[Kubernetes] 容器运行时 Container Runtime
959
06-09 1975
容器运行时 Container Runtime
Kubernetes(k8s)容器运行时(CRI)
weixin_30617737的博客
01-13 523
Kubernetes节点的底层由一个叫做“容器运行时”的软件进行支撑,它负责比如启停容器这样的事情。最广为人知的容器运行时当属Docker,但它不是唯一的。事实上,容器运行时这个领域发展迅速。为了使Kubernetes的扩展变得更容易,我们一直在打磨支持容器运行时的K8s插件API:容器运行时接口(Container Runtime Interface,CRI)。 CRI是什么? 每种容器运...
微隔离新范式:gVisor网络策略与服务网格无缝集成
最新发布
gitblog_00047的博客
09-11 268
你是否正面临容器网络隔离难题?还在为多租户环境下的流量控制焦头烂额?本文将带你一步到位掌握gVisor网络治理的实战方案,通过网络策略与服务网格的深度整合,构建安全可控的容器通信边界。读完本文你将获得: - gVisor网络栈的安全隔离原理 - 基于iptables/nftables的策略配置指南 - Istio服务网格集成的实操步骤 - 生产环境零信任网络的部署案例 ### gVisor网络架...
Kubernetes容器运行时(CRI)简介
karamos的专栏
12-26 3341
Kubernetes节点的底层由一个叫做“容器运行时”的软件进行支撑,它负责比如启停容器这样的事情。最广为人知的容器运行时当属Docker,但它不是唯一的。事实上,容器运行时这个领域发展迅速。为了使Kubernetes的扩展变得更容易,我们一直在打磨支持容器运行时的K8s插件API:容器运行时接口(Container Runtime Interface, CRI)。CRI是什么?每种容器运行时各有...
容器运行时
weixin_39246554的博客
03-07 1208
首先我们要明确一个知识点就是容器本质上就是一个进程,一个特殊的进程,是通过 Namespace 实现资源(网络、文件系统等)隔离,通过 Cgroups 实现资源(CPU、内存)限制,让我们使用起来就感觉像在操作虚拟机一样,但其虚拟机有本质上的区别,那就是容器宿主机是共享同一个内核的。为了将我们的应用进程运行在容器中,当然就需要有一些方便的接口或者命令去调用 Linux 的系统功能来实现,而容器运行时就是用来运行管理容器进程、镜像的工具。容器运行时目录原文链接推荐文章1、容器运行时分类2、Docker的
kata containers and gvisor
04-10
从描述中可以看到,kata containersgvisor均支持OCI兼容的容器运行时标准,这意味着它们能够与Docker、Kubernetes、Zun(华为容器服务)等容器管理编排系统协同工作。它们都提供了额外的隔离层,确保容器应用...
47 绝不仅仅是安全:Kata Containers 与 gVisor.pdf
09-18
Kata Containers项目在2017年合并了Intel的Clear ContainersHyperHQ的runV项目,这些项目分别在2015年由Intel Open Source Technology CenterHyperHQ团队开源。Kata Containers的特点在于其提供了类似虚拟机的...
47 _ 绝不仅仅是安全:Kata Containers 与 gVisor1
08-04
在本文中,我们将深入探讨两种增强容器安全性的重要技术——Kata Containers gVisor,它们都是为了解决传统容器在安全性上的局限性而诞生的。容器技术如DockerKubernetes在云原生领域广泛应用,但它们依赖于宿...
k8s的容器运行时(Container Runtime)解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-25 2380
容器运行时(Container Runtime)是 Kubernetes 集群中负责管理执行容器的核心组件,它实现了对容器生命周期的控制,包括创建、启动、停止、删除以及资源隔离、网络配置、存储挂载等功能。在Kubernetes环境中,容器运行时通过遵循Kubernetes定义的Container Runtime Interface (CRI) 来与kubelet(节点代理)交互,确保容器能够在节点上按照Kubernetes的调度管理要求运行。
容器化】容器运行时
weixin_30414155的博客
09-24 293
容器运行时 docker rkt gvisor containerd ============================================================================== Docker? Rkt? Lxd? 细说K8S容器进行时的又一选项Containerd 简介:容器运行时是执行容器并在节点上管理容器镜像的软件,目前,...
浅析 k8s 容器运行时演进
Dragon的博客
02-09 862
目录 典型的K8S Runtime架构 容器历史小叙 OCI, CRI ContainerdCRI-O 强隔离容器KatagVisor,Firecracker 在docker/k8s时代,经常听到CRI, OCI,containerd各种shim等名词,看完本篇博文,您会有个彻底的理解。 典型的K8S Runtime架构 从最常见的Docker说起,kubeletDocker的集成方案图如下:当kubelet要创建一个容器时,需要以下几步: Kubelet ...
容器运行时 AND Docker
lbdking的博客
11-17 1178
Docker 使用 Google 公司推出的 Go 语言 进行开发实现,基于 Linux 内核的 cgroup,namespace,以及 AUFS 类的 Union FS 等技术,对进程进行封装隔离,属于 操作系统层面的虚拟化技术。由于隔离的进程独立于宿主其它的隔离的进程,因此也称其为容器。最初实现是基于 LXC,从 0.7 版本以后开始去除 LXC,转而使用自行开发的 libcontainer,从 1.11 开始,则进一步演进为使用 runC containerd。
什么是容器运行时?
开源云中文社区
09-23 946
现在是深入研究容器运行时的时候了,这样你就可以了解容器环境是如何构建的。本文中的信息部分是从Open Container Initiative(OCI)的官方文档中提取的,OCI是容器的开...
浅析容器运行时
woshihlf的博客
08-18 682
容器运行时是管理容器生命周期的软件组件,主要分为三类:低级运行时(如runc)仅负责进程隔离资源限制,依赖内核Namespace/CGroup;高级运行时(如Containerd)在此基础上整合镜像管理、网络存储等功能,支持OCI规范;沙盒/虚拟化运行时(如Kata)通过轻量级虚拟化增强隔离性,适合高安全场景。三类运行时在功能复杂度、隔离性性能开销上存在显著差异,适用于不同场景。低级运行时轻量灵活但功能单一,高级运行时功能全面但较复杂,沙盒运行时安全性强但性能损耗大。
Kubernetes(k8s)CRI(容器运行时)简介
知道自己不要什么,不管多么大的诱惑(欢迎关注:职谷智享)
04-14 3916
CRI概述 节点的底层由一个叫做“容器运行时”的软件进行支撑,它负责比如启停容器这样的事情。最广为人知的容器运行时当属Docker,但它不是唯一的。事实上,容器运行时这个领域发展迅速。为了使Kubernetes的扩展变得更容易,我们一直在打磨支持容器运行时的K8s插件API:容器运行时接口(Container Runtime Interface, CRI)。 从1.5版本引入CRI接口规范,通过插件接口模式,k8s无需重新编译就可以使用更多的容器运行。CRI包括Protocol Buffers、gRPC
容器运行时详解
2301_78537542的博客
03-02 937
容器运行时是容器技术的核心组件,负责容器的创建、管理运行。常见的运行时包括 Docker Engine、containerd、CRI-O runc。每种运行时都有其特点适用场景,用户可以根据需求选择合适的运行时。在 Kubernetes 环境中,推荐使用原生支持 CRI 的运行时(如 containerd 或 CRI-O),以获得更好的性能兼容性。
Kata Containers与gVisor:性能对比与技术解析
"kata containers gvisor 是两种在云原生环境中提供增强安全性隔离性的容器技术。本文将对它们进行性能对比分析,并探讨它们的架构未来发展趋势。" Kata Containers gVisor 都是针对容器安全性的解决方案...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值