Kata Containers

【7月30日-8月1日首届线上开源峰会邀请】快和身边的小伙伴一起报名参会吧！（门票免费） 日期和时间： 2020年7月22日上午10点（时区：北京） 题目： 基于 Kubernetes 与 OAM 构建统一、标准化的应用管理平台 讲者： 张磊 CNCF云原生大使 阿里云高级技术专家 个人简介： 张磊 是Kubernetes社区的成员和共同维护者，现在阿里巴巴集团共同领导Kubernetes和OSS工作。 张磊 自2015年以来一直从事Kubernetes项目，也是KataContainers社区的成员。 本次网络研讨会将以中文进行。 在本次演讲中，我们将分享基于 Kubernetes 构建应用管理平台的各种实践与背后的原则。我们将尝试基于我们从整个社区所学习到实践来回答如下几个问题： 构建这样一个平台我们需要 K8s 提供哪些能力？又应该从哪里开始做起？ 哪些能力是 K8s 原生就已经提供的，哪些是暂时缺失的（或者社区里有更好的替代方案）？ 我们只要简单的把这些能力组装起来就得到一个应用平台了吗？还是说必须要做改造和二次开发工作？ 我们如何让这个平台提供更好的最终用户体验？ CI/CD 系统如何构建？GitOps 是这个故事的一部分吗？ 注意： 参会请通过https:// zoom.us /download#client_4meeting下载Zoom会议客户端： 点击文末

导读：从2010年到2020年，OpenStack项目整整走过了十个春夏秋冬。不管是OpenStack基金会，还是积极参与OpenStack社区的厂商、企业乃至开发者，想必都有肺腑之言想对OpenStack倾诉。 翻开记忆中OpenStack项目十年的故事，会不会别有一番滋味在心头？ 故事1： 改变从OpenStack开源云开始 OpenStack之所以能有今天的行业影响力，与OpenStack基金会的成功运作是密不可分的。OpenStack项目十周年故事的第一个讲述人便是OpenStack基金会首席运营官Mark Collier（柯理怀）。 2010年，OpenStack项目启动时仅有少数几个组织的支持。十年后的今天，OpenStack拥有：来自187个国家的600多个组织，以及105000位社区成员的支持；OpenStack与 Linux kernel、Chromium（Chrome浏览器和Chrome OS的上游项目）已成为全球最活跃的三大开源项目；数千名开发者在上游贡献了代码，按时发布了20个OpenStack版本；全球组织及机构的OpenStack部署总规模已达到1000万个计算核心，涉及零售、金融服务、电信、研究机构、政务等多个行业和领域；OpenStack已是开源私有云领域的事实标准，同时全球还有几十个公有云平台基于OpenStack部署；社区已启动四个新的开源项目

2019年12月15日，蚂蚁金服研究员兼系统部负责人何征宇在OS2ATC 2019上分享了蚂蚁在金融级系统软件上的实践经验，以及对开源协作的理念和做法。以下为演讲整理： 我今天想和大家分享一下我在蚂蚁的一些工作，以及在金融级系统软件中开源协作的探索和实践。 金融行业实际上是一个非常注重科技的行业，因为技术的价值可以得到很直观的展现，然后它是非常注重极致，非常追求技术的先进性的，技术上的先进性可以很快的转化为业务的领先性。 蚂蚁金服作为国内金融企业的领头羊，对于技术的追求是永无止境的。蚂蚁的梦想是服务20亿的消费者，1亿的全球小微经营者，这是一个非常大的愿景，而我们相信只有不断发展的技术才能让这些不可能成为可能。例如我们的310贷款能力，就是建立在一流的金融级大规模数据智能的技术能力之上的。 那么我们系统软件的挑战和做软件的压力是什么？如果用一句话来总结的话，就是在海量数据压力下的服务连续性保障和资损风险监控。首先是要达到一个非常高的可用率，这个跟我们常说高可用系统，例如电信级系统不一样，这个后面除了5个9之外，还有金融机构非常严格的一些要求，比如100%保证资金安全，这是蚂蚁金服一直在追求的能力。 蚂蚁金服与系统软件 蚂蚁金服也确实在各个系统软件的方向上追求极致。首先从数据库的角度来讲，OceanBase 在 TPC-C 评测中打破了 Oracle 多年的垄断，这一结果是

Kubernetes曝漏洞！可取得管理员权限 近期Kubernetes爆出信息安全漏洞，Kubernetes 产品安全团队表示，近日在 Kubernetes API Server 内存在权限扩张漏洞，发现此漏洞的开发者为 Rancher 共同创办人兼首席架构师 Darren Shepherd 。 目前 Kubernetes 开发团队已经发布 V1.10.11、V1.11.5 及 V1.12.3 ，以解决该漏洞带来的风险。参与 Kubernetes 安全团队的 Google 高级工程师 Jordan Liggitt 建议，在集群内执行先前版本 Kubernetes 的企业用户，得尽速择一版本进行更新。 此漏洞编号为 CVE-2018-1002105 ，让攻击者可以发送特殊的系统请求，经由 Kubernetes API Server ，与企业内部后端服务器进行连线，借由取得 Kubernetes API Server 的认证，攻击者就能利用既有连线，任意向后端服务器发送请求。 红帽云端平台副总裁 Ashesh Badani 表示，此权限扩张漏洞的影响非常重大，可让不法人士在任何运算节点、Kubernetes Pod 取得管理员权限，黑客可以盗取机密资料、注入恶意程序码，或者瘫痪企业正式环境内的应用程序。而红帽使用 Kubernetes 作为核心调度引擎的产品线，包含容器平台

docker容器，性能高，不安全；VM虚拟机，安全性好，性能损耗大；Kata Container轻量级虚拟机的容器，即安全，性能也高。 开源容器项目Kata Containers，旨在将虚拟机（VM）的安全优势与容器的速度和可管理性统一起来。 Kata Container 是两个现有的开源项目合并：Intel Clear Containers和Hyper runV。 Intel Clear Container项目的目标是通过英特尔®虚拟化技术（VT）解决容器内部的安全问题，并且能够将容器作为轻量级虚拟机（VM）启动，提供了一个可选的运行时间，专注于性能（<100ms启动时间），可与Kubernetes 和Docker 等常用容器环境互操作。英特尔®Clear Container表明，安全性和性能不必是一个折衷，将硬件隔离的安全性与容器的性能可以兼得。 hyper runV优先于技术无关支持许多不同的CPU架构和管理程序。 安全：提供了隔离性以达到安全，两个内核不会对击 使用Docker轻量级的容器时，最大的问题就是会碰到安全性的问题，其中几个不同的容器可以互相的进行攻击，如果把这个内核给攻掉了，其他所有容器都会崩溃。如果使用KVM等虚拟化技术，会完美解决安全性的问题，但是会影响速度。 单单就Docker来说，安全性可以概括为两点： 　　1. 不会对主机造成影响 　　2.

由华为云、CNCF联合主办的“创原会•云原生技术精英沙龙”今日成功举办，云原生的新时代已经到来。 2011年，Netscape公司创始人马克·安德森提出：“软件正在吞噬世界”；2014年，OpenStack基金会创始人Jonathan Bryce又补充说：“世界的一切源于开源”；随后，业内普遍认同“云计算已改变了天空的颜色”；如今，“云原生正在吞噬世界”已经成为一种新趋势。 近年来，云原生的发展与普及，使得容器、Kubernetes、微服务等在各行业加速落地。来自Gartner的预测显示，到2022年全球75%的企业将在生产系统中使用容器，其中50%是以混合云容器形态使用；无独有偶，IDC也预计，到2022年，90%的新应用将采用微服务架构，35%的生产环境应用是云原生。 如今，几乎所有的主流IT企业都已经加入到云原生浪潮中来，技术的进化和应用的普及也推动云原生从1.0进入2.0时代。 在云原生2.0时代，云原生与底层计算、网络、存储等资源的融合日趋深入，通过构筑弹性、敏捷、可靠的IT基础设施，也将进一步推动云原生的落地，从而加速企业数字化转型，并给华为云与英特尔在云原生领域开辟新的合作空间。 从1.0到2.0 云原生将如何进化？ 在企业加速推进数字化转型的今天，上云与否已经不是问题，如何最大程度释放云的价值成为企业关注的焦点。 来自中国信通院《云原生发展白皮书（2020）》指出

kata-containers 环境需求 # 必须开启虚拟化，如果是kvm 下面虚拟机虚拟机化 请升级内核到4版本以上同时开启 # 首先检查 KVM host（宿主机/母机）上的kvm_intel模块是否打开了嵌套虚拟机功能（默认是开启的）： [root@ceph-2-52 ~]# modinfo kvm_intel | grep nested parm: nested_early_check:bool parm: nested:bool [root@ceph-2-52 ~]# cat /sys/module/kvm_intel/parameters/nested Y # 如果上面的显示结果不是 Y 的话需要开启 nested： [root@ceph-2-52 ~]# modprobe -r kvm-intel [root@ceph-2-52 ~]# modprobe kvm-intel nested=1 [root@ceph-2-52 ~]# cat /sys/module/kvm_intel/parameters/nested Y #然后创建虚拟机即可 #使用qemu打开一个虚拟机在启动命令上加上“-cpu host”或“-cpu qemu64,+vmx” #默认情况下,系统并不支持nested #查看当前系统是否支持nested systool -m kvm_intel -v

SOFA:Channel/ ，有趣实用的分布式架构频道。 回顾视频以及 PPT 查看地址见文末。欢迎加入直播互动钉钉群 : 30315793，不错过每场直播。 本文根据 SOFAChannel#16 直播分享整理，主题：不得不说的云原生隔离性。 大家好，我是今天的讲师巴德，来自蚂蚁金服，主要从事 Kata 容器相关的开发，也是 Kata Containers 项目的维护者之一。今天我和大家分享一下云原生场景下容器隔离性的需求以及我们如何运用 Kata Containers 来提升容器的隔离性。 从 Kubernetes Pod 说起 在讲云原生隔离性之前，我们先来回顾一下历史。这张图是生产环境应用部署形态的变迁过程。从最左边的物理机上直接部署，到后来的虚拟化兴起，大家把应用部署在虚拟机里，再到 Docker 兴起，大家都把应用部署到容器里面，到现在 Kubernetes 成为主流，大家都把应用部署在 Pod 里面。 我们看一下 Kubernetes 的一个基本架构，它本身是一个容器的编排系统，主要角色是管理和调度 Pod 以及相关的资源。今天我们主要关注的就是在节点上部署的 Pod，这也是 Kubernetes 资源调度的基本单位。 Kubernetes 官方对 Pod 的定义是一个应用的逻辑主机，其中包含了一个或者多个应用容器，这些容器在资源上是相对紧密的耦合在一起的。Pod

9月26日云栖大会容器专场，阿里云智能刘奖和蚂蚁金服王旭两位资深技术专家进行了一场精彩纷呈的演讲，与各位观众分享探讨了安全容器技术的过去、今天和未来。以下文章根据演讲整理而成。 大家中午好，感谢大家在饥肠辘辘的中午不离不弃地来到我们的会场，我们带给大家的这段相声是关于安全容器技术的。我是王旭，半年前刚刚结束一段创业，和团队一起加入了蚂蚁金服，创业期间，2017年，我们在德州奥斯汀，和Intel OTC一起发布了Kata Containers安全容器项目，是这个项目的创始人之一；和我一起的是阿里云智能的奖哥，他是阿里云容器服务ECI的台柱子，也是rust-vmm开源项目的积极维护者。我们见证了容器安全和安全容器技术在争议中的发展，今天想要结合社区里和阿里云上安全容器的沿革，谈谈对安全容器技术未来发展的思考。 这次的分享分为四个部分： 当前容器技术应用和安全问题的现状 阿里云内外的安全容器技术发展的历程 阿里云服务中的安全容器 我们乃至整个社区正在做的技术努力 当前容器技术应用和安全问题的现状 众所周知，容器化、微服务化、云原生化是当前IT系统演进的趋势。 根据Portworks和Aqua Security的调查报告显示，被调查的大多数企业都不是正在使用容器，就是考虑使用容器。 上午过来空闲时和刚才演讲的Chris聊天的时候，他也提到，今年年底San

本文根据云栖大会容器专场演讲内容整理， 大家中午好，感谢大家在饥肠辘辘的中午不离不弃地来到我们的会场，我们带给大家的这段相声是关于安全容器技术的。我是王旭，半年前刚刚结束一段创业，和团队一起加入了蚂蚁金服，创业期间，2017 年，我们在德州奥斯汀，和 Intel OTC 一起发布了 Kata Containers 安全容器项目，是这个项目的创始人之一；和我一起的是阿里云智能的奖哥，他是阿里云容器服务 ECI 的台柱子，也是 rust-vmm 开源项目的积极维护者。 （图左为蚂蚁金服资深技术专家 王旭，图右为阿里云操作系统资深技术专家 刘奖） 我们见证了容器安全和安全容器技术在争议中的发展，今天想要结合社区里和阿里云上安全容器的沿革，谈谈对安全容器技术未来发展的思考。 这次的分享分为四个部分： 当前容器技术应用和安全问题的现状 阿里云内外的安全容器技术发展的历程 阿里云服务中的安全容器 我们乃至整个社区正在做的技术努力 当前容器技术应用和安全问题的现状 众所周知，容器化、微服务化、云原生化是当前 IT 系统演进的趋势。根据 Portworks 和 Aqua Security 的调查报告显示，被调查的大多数企业都不是正在使用容器，就是考虑使用容器。 上午过来时和刚才演讲的 Chris 聊天的时候，他也提到，今年年底 San Diego 的 KubeCon 预计会有一万两千人来参会