امیر کشاورز
امیر کشاورز
خواندن ۲ دقیقه·۶ سال پیش

آشنایی با Kata Containers

پروژه‌ی Kata Containers از سال ۲۰۱۷ کار خودش رو شروع کرده و هم‌اکنون توسط بنیاد OpenStack پشتیبانی میشه. Kata Containers درواقع کار Clear Containers رو داره ادامه میده که پروژه‌ای از شرکت Intel بود که حالا توسعه‌اش متوقف شده. ایده‌ی Kata Containers آشتی دو دنیای ماشین‌های مجازی و کانتینرها هست که در ادامه بیشتر باهاش آشنا میشیم.

شرح مشکلات موجود

مشکلات کانتینرها

امنیت، امنیت و امنیت! همانطور که می‌دانید کانتینرهای در لینوکس همگی به‌صورت مشترک از کرنل، شبکه، I/O و مموری میزبان استفاده می‌کنند. ترکیب کرنل مشترک و آسیب‌پذیری‌های احتمالی در لینوکس میتونه منجر به فرار یک کاربر از محدودیت‌های موجود بشه و عملا به هاست دسترسی پیدا کنه.

در بسیاری از موارد که تنها یک کاربر در یک هاست موجود است شاید این مشکل زیاد حس نشه اما در محیط‌های multi-tenant مثل public cloud ها که کاربران زیادی از یک هاست مشترک استفاده می‌کنند این مسئله یکی از دغدغه‌های اصلی است.

کانتینرهای لینوکسی از چیزی به نام cgroups برای تخصیص و مدیریت منابع و namespace ها استفاده می‌کنند. برای ایجاد محدودیت و ایزوله کردن محیط کانتینر موارد زیادی اعمال میشن که شامل استفاده از SELinux و AppArmor، دراپ کردن syscall ها با استفاده از seccomp و ... میشه. این روزها بحث sandbox کردن خیلی داغ شده که برای مثال gvisor رو ببینید.

کانتینرهای سنتی
کانتینرهای سنتی

مشکلات ماشین‌های مجازی

توی زمینه‌ی مورد بحث ما میشه گفت اصلی‌ترین مشکل ماشین‌های مجازی سنگین‌وزن بودن آن‌ها و overhead بیش‌تر نسبت به کانتینرها هست.

راه حل Kata Containers

راه حل Kata Containers برای این قضیه ترکیب کانتینرها و ماشین‌های مجازی هست! درواقع ما با ماشین‌های مجازی‌ای طرف هستیم که قیافه‌ی کانتینر به خودشون گرفتن، باشگاه رفتن وزن کم کردن و حالا سرعت و چابکی کانتینرها رو دارند.

کانتینرها در Kata Containers
کانتینرها در Kata Containers

در Kata Containers هر کانتینر روی یک ماشین مجازی سبک‌وزن اجرا میشه و اینطوری دسترسی به کرنل هاست نداره و توسط مجازی‌سازی سخت‌افزاری از بقیه‌ی کانتینرها ایزوله شده. ( در Kubernetes هر Pod روی یک ماشین مجازی مجزا اجرا میشه )

این معماری به Public Cloud ها این امکان رو میده که بدون نگرانی (نسبتا!) چندین کاربر رو روی یک کلاستر یا روی یک هاست میزبانی کنند.

شرح ارتباطات در Kata Containers
شرح ارتباطات در Kata Containers

همونطور که در تصویر بالا می‌بینید Kata Containers یک OCI-compatible runtime داره که به شما اجازه میده به راحتی از ابزارهای موجود مربوط به Docker و کلا OCI برای مدیریت Kata Containers استفاده کنید.

در مورد Kubernetes هم Kata Containers به شما امکان استفاده از طریق CRI میده ولی برای کوتاه نگه داشتن این پست وارد این بخش نمیشیم.

من توی این پست سعی کردم مطالبی که به نظرم برای آشنایی خوب بودن رو از چند منبع جمع‌آوری کنم که البته اگر می‌خواستید جزئیات بیشتری در رابطه با Kata Containers بخونید میتونید از چندتا لینک زیر شروع کنید.

لینک‌ها

A Minimalistic Guide to Kata Containers

10 Things You Need to Know about the Kata Containers Project

Why Kata Containers doesn’t replace Kubernetes

Kata Containers Documentations



کانتینرcontainerkubernetesامنیتلینوکس
شاید از این پست‌ها خوشتان بیاید