活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
热门活动
免费活动
  • 活动
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 算力套餐
  • 支持与服务
  • 了解天翼云
searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

Kata Container

计算安全中间件容器
2023-05-19 09:03:30
62
0

介绍

Kata Containers 是一个开源社区,致力于使用轻量级虚拟机构建安全的容器运行时,这些虚拟机感觉和执行类似于容器,但使用硬件虚拟化技术作为第二层防御提供更强大的工作负载隔离。

自 2017 年 12 月推出以来,该社区成功地将 Intel Clear Containers 的最佳部分与 Hyper.sh RunV 合并,并进行了扩展,以支持除 x86_64 之外的主要架构,包括 AMD64、ARM、IBM p 系列和 IBM z 系列。 Kata Containers 还支持多种管理程序,包括 QEMU、Cloud-Hypervisor 和 Firecracker,并与 containerd 项目等集成。

架构

https://github.com/kata-containers/kata-containers/tree/main/docs/design/architecture

使用方式

前提:准备一个以containerd为运行时的k8s集群,可根据k8s+containerd部署指引进行部署

参考:https://github.com/kata-containers/kata-containers/blob/main/tools/packaging/kata-deploy/README.md

kubectl apply -f https://raw.githubusercontent.com/kata-containers/kata-containers/main/tools/packaging/kata-deploy/kata-rbac/base/kata-rbac.yaml
kubectl apply -f https://raw.githubusercontent.com/kata-containers/kata-containers/main/tools/packaging/kata-deploy/kata-deploy/base/kata-deploy.yaml
 
kubectl -n kube-system wait --timeout=10m --for=condition=Ready -l name=kata-deploy pod
 
kubectl apply -f https://raw.githubusercontent.com/kata-containers/kata-containers/main/tools/packaging/kata-deploy/runtimeclasses/kata-runtimeClasses.yaml
# 官网示例需要在较新的k8s版本上执行,在1.18.9上要修改apiVersion
kubectl apply -f - <<EOF
---
kind: RuntimeClass
apiVersion: node.k8s.io/v1beta1
metadata:
    name: kata-qemu
handler: kata-qemu
overhead:
    podFixed:
        memory: "160Mi"
        cpu: "250m"
scheduling:
  nodeSelector:
    katacontainers.io/kata-runtime"true"
---
kind: RuntimeClass
apiVersion: node.k8s.io/v1beta1
metadata:
    name: kata-clh
handler: kata-clh
overhead:
    podFixed:
        memory: "130Mi"
        cpu: "250m"
scheduling:
  nodeSelector:
    katacontainers.io/kata-runtime"true"
---
kind: RuntimeClass
apiVersion: node.k8s.io/v1beta1
metadata:
    name: kata-fc
handler: kata-fc
overhead:
    podFixed:
        memory: "130Mi"
        cpu: "250m"
scheduling:
  nodeSelector:
    katacontainers.io/kata-runtime"true"
EOF

验证

kubectl apply -f - <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: busybox
  name: busybox
spec:
  replicas: 1
  selector:
    matchLabels:
      app: busybox
  template:
    metadata:
      labels:
        app: busybox
    spec:
      runtimeClassName: kata-qemu
      containers:
      - image: docker.io/library/busybox:latest
        imagePullPolicy: Always
        name: busybox
        command: ["top"]
      restartPolicy: Always
EOF

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

0条评论
0 / 1000
卖肥料的老父亲
4文章数
1粉丝数
卖肥料的老父亲
4 文章 | 1 粉丝
Ta的热门文章查看更多
goland配置与使用建议网络插件Terway原理浅析Kata Containercontainerd介绍
卖肥料的老父亲
4文章数
1粉丝数
卖肥料的老父亲
4 文章 | 1 粉丝
原创

Kata Container

计算安全中间件容器
2023-05-19 09:03:30
62
0

介绍

Kata Containers 是一个开源社区,致力于使用轻量级虚拟机构建安全的容器运行时,这些虚拟机感觉和执行类似于容器,但使用硬件虚拟化技术作为第二层防御提供更强大的工作负载隔离。

自 2017 年 12 月推出以来,该社区成功地将 Intel Clear Containers 的最佳部分与 Hyper.sh RunV 合并,并进行了扩展,以支持除 x86_64 之外的主要架构,包括 AMD64、ARM、IBM p 系列和 IBM z 系列。 Kata Containers 还支持多种管理程序,包括 QEMU、Cloud-Hypervisor 和 Firecracker,并与 containerd 项目等集成。

架构

https://github.com/kata-containers/kata-containers/tree/main/docs/design/architecture

使用方式

前提:准备一个以containerd为运行时的k8s集群,可根据k8s+containerd部署指引进行部署

参考:https://github.com/kata-containers/kata-containers/blob/main/tools/packaging/kata-deploy/README.md

kubectl apply -f https://raw.githubusercontent.com/kata-containers/kata-containers/main/tools/packaging/kata-deploy/kata-rbac/base/kata-rbac.yaml
kubectl apply -f https://raw.githubusercontent.com/kata-containers/kata-containers/main/tools/packaging/kata-deploy/kata-deploy/base/kata-deploy.yaml
 
kubectl -n kube-system wait --timeout=10m --for=condition=Ready -l name=kata-deploy pod
 
kubectl apply -f https://raw.githubusercontent.com/kata-containers/kata-containers/main/tools/packaging/kata-deploy/runtimeclasses/kata-runtimeClasses.yaml
# 官网示例需要在较新的k8s版本上执行,在1.18.9上要修改apiVersion
kubectl apply -f - <<EOF
---
kind: RuntimeClass
apiVersion: node.k8s.io/v1beta1
metadata:
    name: kata-qemu
handler: kata-qemu
overhead:
    podFixed:
        memory: "160Mi"
        cpu: "250m"
scheduling:
  nodeSelector:
    katacontainers.io/kata-runtime"true"
---
kind: RuntimeClass
apiVersion: node.k8s.io/v1beta1
metadata:
    name: kata-clh
handler: kata-clh
overhead:
    podFixed:
        memory: "130Mi"
        cpu: "250m"
scheduling:
  nodeSelector:
    katacontainers.io/kata-runtime"true"
---
kind: RuntimeClass
apiVersion: node.k8s.io/v1beta1
metadata:
    name: kata-fc
handler: kata-fc
overhead:
    podFixed:
        memory: "130Mi"
        cpu: "250m"
scheduling:
  nodeSelector:
    katacontainers.io/kata-runtime"true"
EOF

验证

kubectl apply -f - <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: busybox
  name: busybox
spec:
  replicas: 1
  selector:
    matchLabels:
      app: busybox
  template:
    metadata:
      labels:
        app: busybox
    spec:
      runtimeClassName: kata-qemu
      containers:
      - image: docker.io/library/busybox:latest
        imagePullPolicy: Always
        name: busybox
        command: ["top"]
      restartPolicy: Always
EOF

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

文章来自个人专栏
容器运行时
4 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
2
1
售前咨询热线
400-810-9889转1
关注天翼云
  • 天翼云微信公众号
  • APP
    天翼云APP
服务与支持
账户管理
快速入口
云网生态
了解天翼云
热门产品
热门推荐
更多推荐
友情链接
©2024 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
备案京公网安备11010802043424号京ICP备 2021034386号