当前位置:首页 > 报告详情

05-kata-4.0-yu-coco-ji-mi-rong-qi-li-ya-nan-ma-ding-.pptx

上传人: d*** 编号:1035832 2026-01-04 25页 7.60MB

1、Kata4.0与CoCo机密容器,蚂蚁集团、阿里云,2025/11/15,李亚南、马丁,李亚南嘉宾职位:高级软件开发工程师,个人简介:李亚南是蚂蚁集团云原生容器基础设施团队的软件开发工程师,目前专注于安全容器 Kata 和 CoCo(机密计算)等开源项目。同时他也是 Kata Containers 社区的 Maintainer,负责 runtime(rs)、kata-agent 等核心组件的开发与维护工作。,形象照,马丁嘉宾职位:阿里云高级开发工程师,个人简介:目前主要从事机密计算生态、技术方案及开源社区标准化建设,目前是Confidential Containers云原生机密容器社区Main

2、tainer之一,也是Initdata、AAEL等远程证明标准化格式定制者,同时也是IETF RATS COSERV标准化定制者之一。,形象照,CONTENT,目录,01,Kata Containers 4.0:Runtime-rs,02,Runtime-rs is The Future,03,The Next Layer of Cloud Security,04,Full CoCo Support in Runtime-rs,此区域不写实际内容,Kata Containers,Kata ContainersOpenInfra 基金会的顶级开源项目解决传统容器的安全和隔离缺陷 结合容器的轻量级

3、特性与虚拟机的强大隔离能力,解决的关键问题传统容器的脆弱性:共享内核 安全边界模糊性能与安全的权衡:虚拟机 VS 容器,Kata Containers,架构演进-Runtime-rs,Kata-agent RssAnon:11MB 300KB(10 x improvement)Runtime-rs RssAnon Drop?,Kata 4.0,Startup&Memory Usage Per Kata Pod,Runtime-rs is the Future,Kata release 3.17 with default_vcpu=1,default_memory=2Gctr run-runti

4、me io.containerd.kata.v2-rm-t alpine:latest$CONTAINER_NAME/bin/sh-c uname-r,Startup:10.9%vs QEMU,Memory:24.0%vs QEMU,Builtin Dragonball VMM,RssAnon Memory,Runtime-rs is the Future,RssAnon(Resident Set Size-Anonymous):当前驻留在 RAM 中匿名内存(非文件支持内存)的大小衡量进程实际内存使用量的一个良好且可靠的指标测量 shim-kata-v2 进程所使用的 RssAnon,Run

5、time-rs RssAnon Drop:17.5MB 4.49MB(3.9x improvement),Kata release 3.17 with default_vcpu=1,default_memory=2Gnerdctl run-runtime io.containerd.kata.v2-ti-rm-net=none-name=qemu-rs-test$IMAGE cat/proc/$SHIM_PROCESS_PID/status|grep RssAnon,Confidential Containers,The Next Layer of Cloud Security,一个 CNCF

6、 沙箱项目(2022 年)旨在解决传统安全措施未能保护在用数据(正在内存中处理的数据)的问题这是一个构建在 Kata Containers 之上的机密计算解决方案它通过一整套安全加固技术来扩展 Kata,从而在云原生环境中实现机密计算,Foundation&Evolution,The Next Layer of Cloud Security,Kata 作为基础(Kata as Foundation)提供隔离的运行时基础,在带有专用内核的独立 VM 中运行 Pod/容器。防止容器逃逸,并确保故障隔离等。保护宿主机和集群内的其他容器免受破坏CoCo 作为演进(CoCo as Evolution)建

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
客服
商务合作
小程序
服务号
折叠