Kata容器關鍵技術研究

［林園致 楊新章 何震葦 嚴麗云 黃丹池］

1 引言

容器技術作為一種輕量級的資源提供技術因其輕量、彈性伸縮、快速部署、可移植等優勢，大大推動和簡化了軟件的開發、部署和運營，受到各大互聯網企業廣泛青睞與應用。然而，隨著容器技術的發展與普及，人們在使用過程中發現傳統容器技術Docker所帶來安全問題不容忽視。相對于當前成熟的虛擬機（VM）技術，Docker的安全隔離徹底性遠遠不如VM。

針對傳統容器技術Docker的隔離不徹底而帶來的安全性挑戰，以及借鑒Docker容器技術中鏡像管理的思想，于是有人提出了融合虛擬化技術的容器思想，帶來了如Kata、gVisor等提升容器安全性的容器技術演進方案。目標是讓用戶充分享受容器技術帶來的輕量級快速部署能力的同時，擁有如虛擬機技術般的隔離徹底性，提供一種安全容器。區別于傳統容器Docker，我們稱這類新型安全加固的容器技術演進方案為Hyper容器。

本文主要梳理與分析了業界主流的Hyper容器技術方案，并對明星項目Kata容器技術展開了技術分析，針對運營商基于SDN及NFV技術全面云化的需求，初步探討了Kata容器在電信行業的發展前景，助力加速電信云化進程。

2 主流Hyper容器技術對比

目前業界主流的Hyper容器技術的理念都是在引入獨立內核增加安全性的前提下兼容現有的容器標準，基于獨立內核的技術方案主要分為3種：微虛機容器、模擬內核容器、庫系統容器。微虛機容器是基于經過定制化裁剪的微型虛機承載容……