Kata Containers
Что такое Kata Containers?
Kata ContainersKata Containers — открытая среда выполнения, которая упаковывает каждый контейнер или под Kubernetes в лёгкую виртуальную машину, обеспечивая аппаратный уровень изоляции.
Kata Containers, проект OpenInfra Foundation, запускает минимальный Linux-гостя внутри гипервизора (QEMU, Cloud Hypervisor или Firecracker) для каждого контейнера или пода. У каждой нагрузки своё ядро, поэтому эксплойт ядра в одном контейнере не достанет хост и соседей. Kata реализует интерфейсы OCI и Kubernetes CRI через шимы containerd/CRI-O, поэтому существующие образы и спецификации Pod работают без изменений. Цена — несколько большее время загрузки и расход памяти по сравнению с runc; взамен получают границу изоляции уровня VM, подходящую для мультитенантных или недоверенных нагрузок, где namespaces и seccomp недостаточны.
● Примеры
- 01
Серверлесс-платформа изолирует функции арендаторов в microVM Firecracker через Kata.
- 02
RuntimeClass Kubernetes направляет недоверенные поды в kata-qemu, доверенные — на runc.
● Частые вопросы
Что такое Kata Containers?
Kata Containers — открытая среда выполнения, которая упаковывает каждый контейнер или под Kubernetes в лёгкую виртуальную машину, обеспечивая аппаратный уровень изоляции. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Kata Containers?
Kata Containers — открытая среда выполнения, которая упаковывает каждый контейнер или под Kubernetes в лёгкую виртуальную машину, обеспечивая аппаратный уровень изоляции.
Как работает Kata Containers?
Kata Containers, проект OpenInfra Foundation, запускает минимальный Linux-гостя внутри гипервизора (QEMU, Cloud Hypervisor или Firecracker) для каждого контейнера или пода. У каждой нагрузки своё ядро, поэтому эксплойт ядра в одном контейнере не достанет хост и соседей. Kata реализует интерфейсы OCI и Kubernetes CRI через шимы containerd/CRI-O, поэтому существующие образы и спецификации Pod работают без изменений. Цена — несколько большее время загрузки и расход памяти по сравнению с runc; взамен получают границу изоляции уровня VM, подходящую для мультитенантных или недоверенных нагрузок, где namespaces и seccomp недостаточны.
Как защититься от Kata Containers?
Защита от Kata Containers обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Kata Containers?
Распространённые альтернативные названия: Kata, Kata runtime.
● Связанные термины
- cloud-security№ 455
gVisor
gVisor — открытое ядро уровня приложения от Google, перехватывающее системные вызовы контейнеров в пользовательском пространстве и сокращающее поверхность атаки на ядро хоста.
- cloud-security№ 838
Pod Security Standards
Pod Security Standards (PSS) — определённые в Kubernetes профили безопасности Privileged, Baseline и Restricted, фиксирующие безопасную конфигурацию подов вместо устаревшего PodSecurityPolicy.
- cloud-security№ 597
Admission Controller Kubernetes
Admission controller — плагин API-сервера Kubernetes, перехватывающий аутентифицированные запросы до сохранения, чтобы по политике валидировать, изменять или отклонять объекты.
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper — контроллер политик CNCF, использующий Open Policy Agent и язык Rego для применения политик допуска и аудита к ресурсам Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
- cloud-security№ 599
Kubernetes NetworkPolicy
Kubernetes NetworkPolicy — ресурс уровня namespace, который по IP, порту и протоколу определяет, какие поды могут общаться с какими подами или внешними точками.