Миналата седмица Microsoft пусна нова функция, която позволява на клиентите да изпълняват модерни приложения на Azure Kubernetes Service (AKS) в изолирана и защитена форма. Първоначално обявена на последния KubeCon, функцията в момента е достъпна в публичен преглед.
Сигурност
Pixabay
Kubernetes се превърна в златен стандарт за стартиране на съвременни приложения в облака. Едно от ключовите предизвикателства обаче е липсата на функции за много наематели, което затруднява SaaS приложенията и корпоративните работни натоварвания, изискващи стриктна изолация. Инфраструктурните архитектури препоръчват внедряване на приложения на Kubernetes в специални пространства от имена и прилагане на ролеви контрол на достъпа, за да се добави слой на сигурност. Но този подход става сложен и се превръща в административен кошмар. Другата възможност е предоставянето на специален клъстер за работно натоварване не е рентабилно решение.
Съвременните приложения, проектирани като микроуслуги и пакетирани като контейнери, споделят една и съща основна операционна система. Технически, всеки контейнер се преобразува в процес на операционна система на хоста без почти никаква строга изолация между контейнери, принадлежащи към различни работни натоварвания. Един механизъм е да се изпълнява един контейнер на хост, но не е технически и финансово изгодно да се изпълнява един контейнер на хост – физически или виртуален.
Тъй като виртуалните машини предлагат по-добра изолация и сигурност от контейнерите, индустрията работи за сближаване на тези технологии, за да донесе най-доброто от двете. Основната единица за внедряване в Kubernetes е pod – колекция от един или повече контейнери. Поставянето на всеки под в специална виртуална машина изолира контейнерите от други подове. Но стартирането на виртуална машина и поставянето на подове по време на изпълнение може да се превърне в излишни разходи за производителност.
За да преодолее това предизвикателство, родната общност на облака е изградила лека инфраструктура за виртуална машина, оптимизирана за контейнери. Известен като Kata Containers, този проект беше стартиран от OpenInfra Foundation през 2017 г., след като Intel дари подобен технологичен проект, наречен Clear Containers. Предимството на Kata Containers е съвместимостта с Kubernetes и съществуващите спецификации на интерфейса за изпълнение на контейнера (CRI). Технически, Kubernetes третира подовете, насочени към Kata контейнери, като всеки друг контейнер, с изключение на това, че работният процес включва стартиране на лека виртуална машина и поставяне на контейнерите в нея.
ПОВЕЧЕ ОТ FORBES Защо контейнерите Kata са добри за индустрията и клиентите От Janakiram MSV
Към момента Kata Containers работи както с хост, така и с гост Linux. Той поддържа изображения на Clear Linux, Fedora и CentOS 7 веднага. Клиентите могат да донесат своя собствена операционна система чрез персонализирани изображения.
Microsoft прие Kata Containers, за да осигури изолиране на работното натоварване в Azure Kubernetes Service. Въз основа на Hyper-V, собствения хипервизор на Microsoft и CBL-Mariner Linux, домашна дистрибуция на Linux, Microsoft е в състояние да оптимизира производителността на изпълнението на Kata Containers в AKS.
Управлението на Hyper-V VM е друг проект с отворен код, Cloud Hypervisor, лек инструмент за управление на контейнери, създаден съвместно от компании като Alibaba, AMD, ARM, ByteDance, Intel и Microsoft.
Миналата година Microsoft обяви, че стандартизира операционната система Linux за стартиране на AKS клъстери на CBL-Mariner, който е направен с прост изглед, фокусиран върху облака. Модни пакети като мениджъри на прозорци и други графични програми се премахват, което прави системата по-малко уязвима на атаки. Освен това прави системата по-малка, като помага на клиентите да бъдат в крак с актуализациите.
Разработчиците и инженерите на DevOps, насочени към Kata Containers в AKS средата, трябва да анотират своята дефиниция на работното натоварване, намеквайки за времето на изпълнение за осигуряване на VM, вместо директно да изпълняват контейнерите на хоста.
Microsoft не е единственият доставчик на облак, предлагащ възможността да изпълнява контейнеризирани работни натоварвания в специални виртуални машини. Google поддържа тази функция чрез технология с отворен код, наречена gVisor. Той осигурява същото ниво на изолация като Kata Containers чрез прихващане и блокиране на системните повиквания, без всъщност да изпълнява отделни виртуални машини.
Въпреки че Amazon е инвестирал във Firecracker – лека, оптимизирана за контейнери операционна система – тепърва предстои да я интегрира безпроблемно с Elastic Kubernetes Service (EKS), за да стартира изолирани подове.
