《OS2ATC 2025 - 安全容器统一架构.pdf》由会员分享,可在线阅读,更多相关《OS2ATC 2025 - 安全容器统一架构.pdf(13页珍藏版)》请在三个皮匠报告上搜索。
1、安全容器统一架构1分享人:谈鉴锋2025.03背景:容器运行时VMrunvSandboxgVisorgVisor,Nabla,QuarkContainerMicroVM KATA,Firecracker,Cloud HypervisorLinux Containersruncrunc,crun,youki2背景:安全容器源于安全Wang,Xu,and Samuel Ortiz.Kata Containers:Hypervisor-Based Container Runtime.KubeCon North America,2017,HyperHQ&Intel.Chen,Dawn,and Zhen
2、gyu He.Container Isolation at Scale(Introducing gVisor).KubeCon Europe,May 2018,Google.Barr,Jeff.Firecracker Lightweight Virtualization for Serverless Computing.AWS re 2018,26 Nov.2018.Wang,Xu.Kata and gVisor:A Quantitative Comparison.hyper.sh,1013 Dec.2018.3AppsAppsAppsHost Linux KernelDaemonsetsSe
3、cure Container Runtime(Kata&gVisor&Firecracker)System servicesAppsL0:Final bastion,e.g.,Live-patch&eBPF-based LSML1:Jailer Barrier,e.g.,cgroup/chroot/namespace/capabilityL2:Sandbox,e.g.,Lock-in-Pop or VirtualizationGuest KernelL3:Customized kernel,e.g.,mem-safe,KSPCIPU/IPU/DPUDevice passthroughSecur
4、echannelL-1:IaaS security背景:安全容器不止于安全4性能隔离故障隔离定制内核“software interrupts a conglomerate of mostly unrelated jobs,which run in the context of a randomly chosen victimw/o the ability to put any control on them.”-Thomas Gleixner(Linux developer)安全容器是云原生基础设施必要组件!5蚂蚁的云原生节点架构节点组件L2:Virtualization&Sandbox,e.
5、g.,KVM,NanoVM,PVM MemDDR,HBM,CXL调度和资源管理可观察性内存管理调度网络安全CPUSIMD,QoS,E-coresAppsAppsPODs(kata)Functions(NanoVisor)AppsAppsPODs(NanoVisor)文件系统NICRDMA,TSOBusPCIe,QPI,NVLink在线APPSidecarsSidecarsSidecarsLinux KernelHardwarexPUGPU,NPU,LPU,离线APPAppsAppsPODs(rune)APPL3:Customized kernel,e.g.,mem-safe,KSPL1:Jai
6、ler Barrier,e.g.,cgroup/chroot/namespace/capabilityL0:Node EDR,e.g.,monitor,threat detection,authentication 6深度防御、最小攻击面、最小权限机密容器离线容器架构困境7普通容器隔离技术(runc)Unikernel隔离技术轻量级虚拟机(rund)gVisor(runsc)共享内核攻击面太大性能隔离差兼容性差镜像制作麻烦兼容性好资源灵活性启动时间/开销问题Note:Kata has improved this a
0731-84720580
商务合作:really158d
友链申请 (QQ):1737380874
最新报告
中英对照
全文搜索
报告精选
PDF上传翻译
多格式文档互转
入驻&报告售卖
会员权益
机构报告
券商研报
财报库
专题合集
英文报告
数据图表
会议报告
其他资源
研搜
新质生产力
DeepSeek
低空经济
大模型
AI Agent
AI Infra
具身智能
自动驾驶
宠物
银发经济
人形机器人
企业出海
算力
微短剧
薪酬
白皮书
创新药
行业分析
个股研究
年报财报
IPO招股书
会议纪要
宏观策略
政策法规
其他
人工智能
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医疗健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
行业聚焦
芯片产业
热点概念
全球咨询智库
人工智能
500强
新质生产力
会议峰会
新能源汽车
企业年报
互联网
公司研究
行业综观
消费教育
科技通信
医药健康
人力资源
投资金融
汽车产业
物流地产
电子商务
传统产业
传媒营销
其它
2026年存储芯片/基因芯片/半导体芯片/芯片技术报告合集(共22套打包)
2026具身智能报告合集(共43套打包)
AI、科技与通信
广告、传媒与营销
消费、零售与支付
HR、文化与旅游
金融、保险与投资
能源、环境与工业
医疗制药与大健康
物流、地产与建筑
其他行业
AI ▪ 科技 ▪ 通信
数字化
金融财经
智能制造
电商传媒
地产建筑
医疗医学
能源化工
其他行业
收藏
下载
2026-06-22
AI查数
行业数据
政策法规
商业模式
产业链
竞争格局
市场规模
产业概述
自研数据
其它
2026年
AI读财报
年报
一季报
半年报
三季报
IPO招股书
社会责任报告
A股
IPO申报
港股
美股&全球
新三板
微信扫码登录
手机快捷登录
账号登录
