Kata Containers 1.5正式发布,支持 Firecracker 和 s390x 架构

最新推荐文章于 2025-07-05 16:07:21 发布
最新推荐文章于 2025-07-05 16:07:21 发布
阅读量381 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_33943836/article/details/89148057
Kata Containers 1.5 版本引入了 Firecracker hypervisor 支持,增强了安全性与效率,同时增加了对 IBM Z-Series 的 s390x 架构支持。此外,该版本还提供了与 containerd 的集成,简化了运行时的管理和配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这是Kata迄今为止最令人兴奋的版本,其中包括对Firecracker hypervisor、s390x架构的支持,并提供了与containerd项目集成的方法。

Firecracker支持

因为知道在功能、资源占用和安全性之间总是存在权衡,Kata Containers项目在设计时就考虑到要支持多个hypervisor。在1.4版本中增加了NEMU,比QEMU更加轻量级。11月底,AWS宣布推出他们的Firecracker hypervisor。Firecracker GitHub主页上写道:“Firecracker采用了简约设计,去除了不必要的设备和面向客户的功能,以减少每个微虚拟机的内存占用和攻击表面积。这样可以提高安全性,缩短启动时间,并提高硬件利用率。”

这对于Kata社区来说是一件令人兴奋的事情,因为它解决了最终用户对简单使用场景下的最小hypervisor解决方案的需求。

Kata Containers1.5版本引入了对Firecracker hypervisor的支持,这是对现有QEMU的补充。考虑到Firecracker可用功能的权衡,我们希望人们将Firecracker用于功能受限的工作负载,并在更高级的工作负载上使用最小的QEMU(例如,如果需要设备分配,可以使用QEMU)。

例如,在单个集群中使用runc、kata-qemu(kata-runtime的QEMU配置)和kata-fc(kata-runtime的Firecracker配置)是很典型的,如下图所示:

\"\"

要实现这样的配置,必须将集群配置为使用CRI-O或containerd,以及Kubernetes的runtimeClass功能。containerd正在开发当中,现在只有CRI-O支持devicemapper存储驱动器。通过在Kubernetes和CRI-O中配置runtimeClass,最终用户可以在每个工作负载上选择他们喜欢的隔离类型。使用CRI-O、Kata Containers和Firecracker VMM的设置可以在这个截屏视频中看到:https://asciinema.org/a/219790

为了帮助开发人员快速开始在Kubernetes中使用Kata + runtimeClass,这里提供了一个沙盒https://github.com/clearlinux/cloud-native-setup/blob/master/clr-k8s-examples/

Firecracker hypervisor采用了极简设计。因此,在使用Kata + Firecracker时,在Kubernetes的功能方面总是会存在差距,导致无法动态调整pod的内存和CPU定义。同样,由于Firecracker只支持基于块的存储驱动器和卷,现在需要用到devicemapper。这在Kubernetes + CRI-O和Docker 18.06版本中可用。开发人员正在添加更多的存储驱动器选项。有关Kata + Firecracker的当前限制,请参阅https://github.com/kata-containers/documentation/issues/351

我们很高兴能与Firecracker团队合作,并继续改进对Firecracker VMM的支持,以及与Kubernetes的集成。

s390x架构支持

在来自IBM的社区成员的帮助下,Kata Containers1.5版本增加了对IBM Z-Series的支持。

containerd集成

去年六月,Michael Crosby开始了一个向containerd添加填充API的讨论,以便更好地支持基于VM的运行时,比如Kata Containers。Kata Containers1.5版本提供了可以满足该填充API的初始实现,极大简化了Kata Containers与containerd的集成方式,如下所示:

\"\"

除了明显减少了组件之外,API还为Kata Containers带来了更好的接口,比如可以直接从Kata运行时访问容器级别的统计信息,这在之前的命令行界面中是不可能的。同样,因为存储器挂载是由containerd-shim来完成的,所以实现基于块的containerd-shim-kata-v2快照程序支持应该会更加简单。

Kata社区一直非常积极地使用CRI-O项目来定义和利用类似的接口,不过这项工作仍然在进行中,目标是在1.6版本中发布。

期待

从1.5版本开始,我们有很多令人兴奋的工作要做,以便更好地融入生态系统。我们也有很多不是那么亮眼的工作:降低复杂性、提升安全性、提升测试覆盖率和稳定性,以及为在生产环境中使用Kata的用户提供帮助。我最热衷于那些不起眼的工作!

读者可以通过以下渠道与社区取得联系:

英文原文:https://medium.com/kata-containers/kata-containers-1-5-release-99acbaf7cf34

【云原生进阶之容器】第五章容器运行时5.5--容器运行时之Kata Containers
junbaozi的专栏
04-04 859
Kata Containers是一个新的开源项目,它提供了与虚拟机工作负载隔离的Linux容器的速度性能。它被设计为与OCI镜像兼容的体系结构,并与Kubernetes的容器运行时接口(CRI)兼容。Kata Containers托管在Apache 2许可下的Github上,并由OpenStack基金会管理。Kata Container项目是两个现有的开源项目合并——Intel Clear ContainersHyper runV。
run-on-arch-action:一个在非x86 cpu架构(ARMv6,ARMv7,aarch64,s390x,ppc64le)上执行作业命令的Github Action
01-30
弧上运行GitHub操作 在非x86 CPU架构(armv6,armv7,aarch64,s390x,ppc64le)上执行命令的GitHub Action。 用法 此操作需要三个输入参数: arch :CPU体系结构: armv6 , armv7 , aarch64 , s390x或ppc64le 。 有关完整矩阵,请参见。 distro :Linux发行名称: ubuntu16.04 , ubuntu18.04 , ubuntu20.04 , buster , stretch , jessie , fedora_latest或alpine_latest 。 有关完整矩阵,请参见。 run :在容器中执行的Shell命令。 该操作还接受一些可选的输入参数: githubToken :您的GitHub令牌,用于在项目的公共包注册表中缓存Docker映像。 通常,这只是${{ github.token }} 。 这会加快后续构建的速度,因此强烈建议您这样做。 env :要传播到容器的环境变量。 YAML,但必须以|开头字符。 这些变量将在运行设置中均可用。 shell
Containerd 1.5 发布:重磅支持 docker-compose!
云原生实验室
05-04 2377
20215 月 4 日,Containerd 1.5 正式发布[1],该版本默认启用了 OCIcrypt 解密功能,并引入了对 NRI、zstd FreeBSD jails 的支...
Firecracker-containerd 入门指南:基于轻量级虚拟化的容器运行时
gitblog_00622的博客
06-24 752
Firecracker-containerd 入门指南:基于轻量级虚拟化的容器运行时 前言 Firecracker-containerd 是一个创新的容器运行时项目,它将轻量级虚拟化技术 Firecracker 与容器管理工具 containerd 相结合,为容器提供了虚拟机级别的隔离性。本文将详细介绍如何搭建使用这一技术栈。 系统要求 在开始之前,请确保您的系统满足以下要求: 硬件要求: ...
linux1 s390x系统x86系统扫盘
hellfu的博客
04-09 736
正常扫盘命令无效 1. partprobe是一个可以修改kernel中分区表的工具。可以使kernel重新读取分区表。 2. suse11有个自带的脚本rescan-scsi-bus.sh 3. suse12重启可以扫到盘 x86扫盘 echo "- - -" > /sys/class/scsi_host/host0/scan echo "- - -" > /sys/class/...
s390x 架构docker安装mysql
QianKun
07-21 925
s390x 架构docker安装mysql
新版本Kubernetes 容器 Containerd 保姆级中文教程
sinat_41542983的博客
08-16 3319
在学习 Containerd 之前我们有必要对 Docker 的发展历史做一个简单的回顾,因为这里面牵涉到的组件实战是有点多,有很多我们会经常听到,但是不清楚这些组件到底是干什么用的,比如libcontainer、runc、containerd、CRI、OCI等等。 Docker 从 Docker 1.11 版本开始,Docker 容器运行就不是简单通过 Docker Daemon 来启动了,而是通过集成 containerd、runc 等多个组件来完成的。虽然 Docker Daemon...
kata容器:Kata Containers版本2.x存储库。 Kata Containers是一个开源项目社区,致力于构建轻量级虚拟机(VM)的标准实现,这些虚拟机的感觉性能类似于容器,但提供了工作负载隔离VM的安全优势。 https:katacontainers.io
02-02
Kata Containers是一个开源项目社区,致力于构建轻量级虚拟机(VM)的标准实现,这些虚拟机的感觉性能类似于容器,但提供了工作负载隔离VM的安全优势。 入门 请参阅。 文献资料 请参阅(包括,,等)。 社区 ...
Kata Containers 2.x版本发布:轻量级虚拟机的开源实现
- **qemu**:QEMU是一个通用的开源机器模拟器虚拟化器,Kata Containers支持QEMU作为其虚拟化解决方案的一部分。 - **cri**:Container Runtime Interface,是Kubernetes定义的一个容器运行时的接口,Kata ...
容器安全运行时:Kata Containers实践
最新发布
AI云原生与云计算技术学院
07-05 1245
随着容器技术在云计算、微服务架构中的广泛应用,容器安全问题成为企业上云的核心关注点。传统容器运行时(如Docker、CRI-O)基于操作系统级虚拟化,存在共享内核带来的安全风险。本文旨在通过Kata Containers这一前沿技术,探讨如何在保持容器易用性的同时,实现接近虚拟机的安全隔离级别,为企业级容器部署提供安全增强方案。背景介绍:明确容器安全挑战及Kata Containers的技术定位核心概念与联系:解析Kata技术架构与关键组件核心算法原理 & 具体操作步骤:基于OCI标准的运行时实现逻辑。
Kubernetes + CRI + Kata + Firecracker
百川汇海
03-16 1337
liumihust 2019-03-03 13:20:34 浏览3782 docker 容器 kubernetes OCI ECI Firecracker kata CRI Kata Kata源自希腊文Καταπίστευμα(ka-ta-PI-stev-ma),原意是值得信任的人,kata container正是解容器安全的问题而诞生的。传统的容器是基于namespacecg...
在s390x架构机器上构建frps/frpc镜像 —— 筑梦之路
筑梦之路
04-03 724
【代码】在s390x架构机器上构建frps/frpc镜像 —— 筑梦之路。
aarch64armel、armhf、ppc64le、s390x、x86_64分别是啥?
曼陀罗的博客
08-06 6215
全称:ARM 64-bit (Advanced RISC Machines 64-bit)描述:这是 ARM 的 64 位架构,也称为 ARMv8-A。它是现代 ARM 处理器(如 ARM Cortex-A 系列 Apple 的 M1、M2 芯片)使用的架构。用途:用于高性能服务器、桌面计算机移动设备。示例设备:Raspberry Pi 4 (运行 64 位 OS)、Apple M1/M2 芯片、许多 Android 设备。
nginx基础架构
多看多听多总结
11-20 1565
nginx基础架构
Docker安装
花有重开日,人无再少年。
05-13 648
主要讲解了Docker入门的一些概念知识。通过本章的学习,读者可以对Docker的概念及其体系架构有一个初步的了解,并能够掌握在Ubuntu系统上安装Docker的几种方式。
云原生爱好者周刊:使用 AWS 开源的 FireCracker 来创建管理 K8s 集群
KubeSphere
07-18 1963
开源项目推荐 KubeFire 这个项目比较有创意,它使用 AWS 开源的轻量级虚拟化项目 FireCracker 来创建管理 Kubernetes 集群,摒弃了传统的 qcow2 vhd 等虚拟机镜像,直接从 OCI 镜像中提取 rootfs kernel。它还支持多种不同的 Kubernetes 集群部署方式,比如 Kubeadm,K3s,RKE2 K0s。例如: $ kubefire cluster create demo --bootstrapper=kubeadm $ kubefi
Container系列 kata vs gVisor vs Firecracker and k8s runtime (1)
SpanningWings的博客
03-14 2778
gVisor and Firecracker
基础架构的未来 是 K8s,那么 K8s 的未来在何方?
2401_83916394的博客
04-12 1106
面试前一定少不了刷题,为了方便大家复习,我分享一波个人整理的面试大全宝典Java核心知识整理Java核心知识Spring全家桶(实战系列)其他电子书资料Step3:刷题既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。以下是我私藏的面试题库:《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值