AI 助理
备案控制台
开发者社区 云原生 容器服务 文章 正文

Kata3.0.0 x LifseaOS x 龙蜥内核三管齐下!带你体验最新的安全容器之旅

2022-11-21 538
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 袋鼠RunD正式成为安全容器上游社区最新3.0.0标准,龙蜥也已推出最新体验包,带给大家更完整的安全容器体验。

vcg_VCG211258128180_RF.jpg

文/云原生SIG


北京时间 2022 年 10 月 10 日,袋鼠 RunD 安全容器(Rust Kata runtime + Dragonball VMM)正式作为安全容器上游 Kata Container 3.0.0 release 版本的重要特性发布

龙蜥体验包

安全容器作为龙蜥云原生重要项目,我们在第一时间基于上游 3.0.0 版本打造了 Kata Container 龙蜥体验包。同时,龙蜥丰富的产品能力也能给到 Kata3.0.0 更好的能力加成,在体验包中我们牵手 LifseaOS 和龙蜥内核分别作为龙蜥 Kata Container 包默认的 rootfs 和 guest kernel,带给大家更完整的安全容器体验。


龙蜥版本Kata Container 3.0.0 默认使用 LifseaOS 为 rootfs,LifseaOS 作为 Anolis OS 针对云原生场景而垂直优化的操作系统发行版,此次专为 Kata 场景推出了 rootfs 镜像。LifseaOS 软件包与 Anolis OS 同源,在兼顾兼容性与功能性的同时,通过软件包与系统服务的裁剪优化,相比其他 rootfs,系统更加轻量化、启动更加快速。


除此之外,LifseaOS 采用 json 格式的配置文件对系统的软件包与服务进行声明式的配置管理,您可以通过对配置文件的简单修改达到对系统的细粒度控制。容器化的编译方式让 LifseaOS 的打包制作方便且灵活。未来,我们将支持以 dockerfile 的方式对系统进行定制化,将 rootfs 镜像的自定义方式彻底云原生化。关于 LifseaOS 更多信息也可以查看容器优化 OS SIG了解详情(链接见文末)


为了让您更好体验到 Kata Container 3.0.0,我们为您准备了手把手教程在龙蜥上轻松跑起安全容器(链接见文末),方便开启您的安全容器第一步。

RunD 开源组件

在此次 Kata Container 3.0.0 中,RunD 开源了两大创新组件:

  1. 异步 Rust Runtime(社区中称为runtime-rs)。通过 Rust 语言消除了 Go 语言的额外开销,进一步降低 Kata runtime 层整体的资源消耗。
  2. 轻量级虚拟机管理器 Dragonball。Dragonball 是针对安全容器场景优化设计的虚拟机管理器,针对安全容器场景做了诸多优化,例如使用原创的 upcall 机制进行 CPU、设备热插拔替代传统 ACPI 链路,精简了众多安全容器场景不需要的虚拟化开销等。


在这两大组件的基础上,RunD 将其彼此融合,设计到同一个二进制文件里,大幅降低了原本 Kata 运行时与虚拟机管理器传统的 RPC 通信开销,同时将每个安全容器的进程数精简至仅有一个进程。融合设计可以让安全容器的启动速度、内存开销、高密部署竞争力再上一个台阶,同时对于运维而言也变得更为简单,用户不用处理同一个安全容器内多个进程之间的复杂通信关系。


关于 RunD 设计的更多细节您可以参考:多年锤炼,迈向 Kata3.0!走进开箱即用的安全容器体验之旅,也可以直接查看上游社区 Kata3.0.0 的架构设计文档(链接见文末)

袋鼠 RunD 成长旅程

袋鼠安全容器 RunD 一路成长,细心钻研探索出来了 Rust Runtime 和轻量级虚拟机管理器 Dragonball 成长道路,并将两者融合打造出了一个独特架构。而这份融合架构不断征服云原生领域工业界和学术界的高峰——RunD 在 Serverless 函数计算支撑了每日高达上百亿的调用流量,ECI 弹性容器上实现了 6 秒扩容 3000 实例,而 RunD 相关的高密、极致弹性等技术创新工作也中选了系统领域顶级会议 ATC'22


而如今,RunD 再次站在了世界的舞台上,其架构正式成为安全容器上游社区最新的 3.0.0 标准,开始帮助书写安全容器生态的未来,袋鼠将带着这些年积累的经验与成长帮助安全容器在云原生的浪潮中开启新的精彩旅程。


龙蜥云原生 SIG 期待与您有更多的技术交流,入群二维码见下~


相关链接地址:

龙蜥云原生 SIG 地址:

https://openanolis.cn/sig/cloud-native

容器优化 OS SIG 地址:

https://openanolis.cn/sig/container-os

Anolis 8 上轻松使用 Kata 安全容器文档:

https://openanolis.cn/sig/cloud-native/doc/643131209707819976

Kata3.0.0 的架构设计文档:

https://github.com/kata-containers/kata-containers/tree/main/docs/design/architecture_3.0


—— 完 ——

加入龙蜥社群

加入微信群:添加社区助理-龙蜥社区小龙(微信:openanolis_assis),备注【龙蜥】与你同在;加入钉钉群:扫描下方钉钉群二维码。欢迎开发者/用户加入龙蜥社区(OpenAnolis)交流,共同推进龙蜥社区的发展,一起打造一个活跃的、健康的开源操作系统生态!

640 (50).png

文章标签:
云虚拟主机
Go
容器
Cloud Native
运维
虚拟化
安全
Serverless
数据格式
Rust
Anolis
关键词:
容器安全
安全容器
龙蜥容器
内核容器
龙蜥内核容器
龙蜥社区(OpenAnolis)
目录
相关文章
阿里云基础设施.
|
1月前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
针对软件供应链的攻击事件在以每年三位数的速度激增,其中三方或开源软件已经成为攻击者关注的重要目标,其攻击方式和技术也在不断演进。通过供应链的传播,一个底层软件包的漏洞的影响范围可以波及世界。企业亟需更加标准和完善的供应链风险洞察和防护机制。本文将结合最佳实践的形式,面向容器应用完整的生命周期展示如何基于容器服务ACK/ACR/ASM助力企业构建云原生软件供应链安全。
阿里云基础设施.
72 10
阿里云云原生
|
1月前
|
云安全 安全 Serverless
Serverless 安全新杀器:云安全中心护航容器安全
Serverless 安全防护能力除了支持目前既定的等保合规(漏洞扫描、入侵检测、基线检测等)、安全隔离的能力外还支持 WAF 防火墙、支持通信加密、操作审计、权限管控等能力,也正是有了这些能力的加持,SAE 才能很好的服务了金融、政企、医疗等行业的客户;Serverless(SAE)未来还计划规划更多安全能力为企业保驾护航,包括:代码安全扫描、加密、堡垒机、最小权限、身份与访问管理、以及更多的攻击防护等能力的建设。
阿里云云原生
139 1
热爱技术的小郑
|
2月前
|
安全 算法 Java
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
这篇文章讨论了Java集合类的线程安全性,列举了线程不安全的集合类(如HashSet、ArrayList、HashMap)和线程安全的集合类(如Vector、Hashtable),同时介绍了Java 5之后提供的java.util.concurrent包中的高效并发集合类,如ConcurrentHashMap和CopyOnWriteArrayList。
热爱技术的小郑
25 0
【Java集合类面试二】、 Java中的容器,线程安全和线程不安全的分别有哪些?
今天是几号
|
4月前
|
Cloud Native 安全 Docker
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
今天是几号
108 5
今天是几号
|
4月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
今天是几号
117 3
技术蜜糖罐
|
4月前
|
安全 数据安全/隐私保护 Docker
Docker 容器连接:构建安全高效的容器化网络生态
Docker 容器连接:构建安全高效的容器化网络生态
技术蜜糖罐
71 0
以山向海
|
2天前
|
存储 Docker 容器
docker中挂载数据卷到容器
【10月更文挑战第12天】
以山向海
14 5
游客sjjs6jgz4gp7m1
|
7天前
|
存储 运维 云计算
探索Docker容器化:从入门到实践
在这个快速发展的云计算时代,Docker容器化技术正在改变应用的开发、部署和管理方式。本文旨在为初学者提供一个关于Docker的全面入门指南,并通过实践案例展示Docker在实际开发中的应用。我们将一起了解Docker的核心概念、基本操作、网络和存储,以及如何构建和部署一个简单的Web应用。无论你是开发者还是运维人员,本文都会帮助你快速掌握Docker的核心技能。
游客sjjs6jgz4gp7m1
34 8
以山向海
|
3天前
|
存储 测试技术 开发者
docker中将数据卷挂载到容器
【10月更文挑战第11天】
以山向海
15 3
余生H想飞的雪糕
|
4天前
|
缓存 运维 Docker
容器化运维:Docker Desktop 占用磁盘空间过大?教你轻松解决!
Windows Docker Desktop 使用过程中,因镜像、容器数据及构建缓存的累积,可能导致磁盘空间占用过高。通过删除无用镜像与容器、压缩磁盘以及清理构建缓存等方法,可有效释放空间。具体步骤包括关闭WSL、使用`diskpart`工具压缩虚拟磁盘、执行`docker buildx prune -f`清理缓存等。这些操作能显著减少磁盘占用,提升系统性能。
余生H想飞的雪糕
34 4
云原生

容器服务

热门文章

最新文章

  • 1
    Docker CE 镜像源站
  • 2
    Minikube - Kubernetes本地实验环境
  • 3
    Docker Engine 镜像源站
  • 4
    阿里云Windows Server 2016环境Docker试用
  • 5
    阿里PB级Kubernetes日志平台建设实践
  • 6
    详解docker中容器devicemapper设备的挂载流程
  • 7
    阿里巴巴正式开源其自研容器技术Pouch
  • 8
    阿里云容器服务 - 提速云端应用部署与运维
  • 9
    阿里云工程师回顾:首本《自己动手写docker》书籍是怎么来的?
  • 10
    在容器服务kubernetes上配置https
  • 1
    容器内的Nodejs应用如何获取宿主机的基础信息-系统、内存、cpu、启动时间,以及一个df -h的坑
    13
  • 2
    拿下奇怪的前端报错(三):npm install卡住了一个钟- 从原理搞定安装的全链路问题
    28
  • 3
    拿下奇怪的前端报错(二):nvm不可用报错`GLIBC_2.27‘‘GLIBCXX_3.4.20‘not Found?+ 使用docker构建多个前端项目实践
    16
  • 4
    JVM进阶调优系列(3)堆内存的对象什么时候被回收?
    17
  • 5
    使用WASM插件扩展ASM中监控指标的维度信息
    82
  • 6
    JVM进阶调优系列(2)字节面试:JVM内存区域怎么划分,分别有什么用?
    38
  • 7
    【云故事探索】NO.10:厦门立马耀的数字化转型之路
    28
  • 8
    【云故事探索】NO.10:厦门立马耀的数字化转型之路
    27
  • 9
    搭建Kubernetes v1.31.1服务器集群,采用Calico网络技术
    113
  • 10
    敏捷开发管理/敏捷转型必备的几款敏捷项目管理工具
    65

    • 相关课程

    更多
  • 基于容器搭建企业级应用
  • 容器持久化储存训练营
  • 现代应用容器技术快速入门
  • 云计算、容器和云原生基础课程
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • 容器安全与Palo Alto Networks解决方案

    • 相关电子书

    更多
  • 阿里云文件存储 NAS 在容器场景的最佳实践
  • 何种数据存储才能助力容器计算
  • 《容器网络文件系统CNFS》

    • 相关实验场景

    更多
  • 使用操作系统智能助手OS Copilot解锁操作系统运维与编程
  • 容器中的volume卷
  • 容器的文件系统挂载
  • 容器的配置和存储
  • 容器DevSecOps全链路体验
  • 容器的共享网络模型
    • 下一篇
    AI助理直击要害,从繁复中提炼精华——使用CDN加速访问OSS存储的图片