Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 653

Kata Containers

审核人Cybersecurity entrepreneur & security researcher

Kata Containers 是什么?

Kata ContainersKata Containers 是一个开源运行时,通过为每个容器或 Kubernetes Pod 启动一个轻量虚拟机来提供硬件级隔离。


Kata Containers 是 OpenInfra 基金会的项目,为每个容器或 Pod 启动一个最小化的 Linux 客户机,运行在 QEMU、Cloud Hypervisor 或 Firecracker 等 hypervisor 之上。每个工作负载拥有独立内核,因此某个容器中的内核漏洞无法触达宿主机或同节点的其他工作负载。Kata 通过 containerd/CRI-O 的 shim 实现 OCI 与 Kubernetes CRI 接口,现有镜像和 Pod 定义无需修改即可使用。代价是相较 runc 略高的启动时间与内存开销,换来的是 VM 级强隔离边界,适用于多租户或不可信负载,而仅靠 namespace 与 seccomp 显然不够。

示例

  1. 01

    Serverless 平台通过 Kata + Firecracker 将各租户函数隔离在 microVM 中。

  2. 02

    Kubernetes RuntimeClass 将不可信 Pod 调度到 kata-qemu,可信 Pod 仍使用 runc。

常见问题

Kata Containers 是什么?

Kata Containers 是一个开源运行时,通过为每个容器或 Kubernetes Pod 启动一个轻量虚拟机来提供硬件级隔离。 它属于网络安全的 云安全 分类。

Kata Containers 是什么意思?

Kata Containers 是一个开源运行时,通过为每个容器或 Kubernetes Pod 启动一个轻量虚拟机来提供硬件级隔离。

如何防御 Kata Containers?

针对 Kata Containers 的防御通常结合技术控制与运营实践,详见上方完整定义。

Kata Containers 还有哪些其他名称?

常见的别称包括: Kata, Kata 运行时。

相关术语