oPENsTACK基金会发布新容器kATA项目
openstack基金会发布了一个新的容器项目,叫作kata容器,以英特尔的clear容器和hyper的runv项目为基础.kata容器兼容open container initiative(oci)和kubernetes的container runtime interface(cri),旨在提供虚拟机和容器的双重优点.
该项目以英特尔的clear容器和hyper的runv项目为基础.clear容器使用了英特尔的vt技术来启动轻量级虚拟机,最开始用于解决内核安全性问题.clear容器执行时在轻量级虚拟机上以自己的内核实例来启动容器,从而解决了共享内核的问题.hyper的runv是oci执行时的一个完成,oci是一个用于定义容器和执行时的标准规范.hyper的runv被视为“容器管理程序”,兼容xen和kvm.以上两个项目都被包含在kata中,runv用来启动容器.
在几天前举行的kubecon/cloudnativecon大会上有一场演讲提到了所谓的“虚拟容器”的底层技术,可以执行直接由超级管理程序管理的容器.在多租户环境里执行由kubernetes管理的容器时,租户之间的隔离问题是重中之重.使用不同的虚拟机来执行不同的容器可以超过一定程度的隔离.但对于hyper来说,这样做不是必需的,因为每个容器由单独的管理程序开展管理,而不是执行在单独的虚拟机上.
现有的openstack容器项目magnum和zun使用了其他容器技术和编配器.客户可以根据magnum为容器创建“湾区(bay)”.这些湾区可以根据kubernetes、docker swarm和mesos开展编配.zun则提供了一组openstack api,用于启动和管理不同种类的容器.与之不同的是,kata更注重兼容新标准和安全性性.kata容器项目由越来越多子项目组成——agent、runtime、proxy、shim、kernel和qemu 2.9,并处于openstack开放监管模型的监管之下.