Leicht, sicher und vor allem Open Source

Kata Containers Version 2.0 bietet verbesserte Sicherheit

Sunny Cai

© Shutterstock / jeandum

Die Container-Runtime Kata Containers ist in Version 2.0 erschienen. Bei dem Open-Source-Projekt geht es darum, leichtgewichtige virtuelle Maschinen zu erstellen, die sich nahtlos in Container-Ökosysteme implementieren lassen. Im Fokus des Updates stand diesmal die Sicherheit.

In einem im August 2020 veröffentlichten Whitepaper schrieb die IDC-Analystin Archana Venkatraman:

IDC prognostiziert in drei Jahren eine vermehrte Verlagerung hin zu Containern. 80 % der Arbeitslasten insgesamt werden diese Technologie im Zusammenspiel mit Microservices nutzen – das beinhaltet Migrationen als auch Neuentwicklungen. Gleichzeitig sinkt der Infrastruktur-Bedarf pro Anwendung um 60 % und verbessert die Ausfallsicherheit digitaler Dienste um 70 %. Laut einer Umfrage der Cloud Native Computing Foundation (CNCF) aus dem Jahr 2019 setzen bereits 84% der Befragten Container in der Produktion ein…. Das Interesse an Containern verlagert sich inzwischen eindeutig auf die nächste Ebene. IDC ist der Ansicht, dass Innovationen in angrenzenden Bereichen wie Datenspeicherung und IT-Sicherheit eine Schlüsselrolle bei der Realisierung dieses Interesses spielen werden.

Durch die quasi explosionsartige Zunahme der Verwendung von Containern und containerbasierten Plattformen wie Kubernetes wird die Bedeutung der IT-Sicherheit von Containerarbeitslasten umso kritischer. Kata Containers und deren wachsenden Open-Source-Gemeinschaft adressiert diese Aufgabe.

Kata Containers isoliert containerisierte Arbeitslasten in einer Weise, die bezüglich IT-Sicherheit mit virtuellen Maschinen (VMs) vergleichbar ist. Dabei fällt die Mehrbelastung der klassischen Virtualiserung weg. Kata Containers stellt so eine sichere, leichte, schnelle und agile Containerverwaltungstechnologie für verschiedene Technologie-Stacks und Plattformen bereit.

Seit seiner Einführung im Dezember 2017 haben zahlreiche Großunternehmen Kata Containers in Produktion implementiert, darunter Baidu (der chinesische Suchmaschinen-Gigant) und Ant Group. Baidu hat ein Whitepaper über seine konkreten Anwendungsfall – Unterstützung von KI und Edge-Computing – veröffentlicht. Die Ant Group präsentierte kürzlich auf dem Open Infrastructure Summit in einem Vortrag ihre Verwendung von Kata Containers.

Kata Containers 2.0 bringt bedeutende Verbesserungen für den Aufbau einer sicheren Container-Infrastruktur

Die Open-Source-Gemeinschaft hinter dem Projekt hat im Oktober die Version 2.0 ihrer Open-Source-Container-Sicherheitssoftware herausgegeben. Wesentliche Merkmale sind die verbesserte Sicherheit und Leistung bei einer 10-fachen Reduzierung des Bedarfs an Ressourcen.

Eine der grundlegendsten Änderungen in Kata Containers 2.0 ist die Neuimplementierung des Kata-Containers-Agenten. Dabei kam die Sprache Rust zum Einsatz, um die Angriffsfläche zu verringern und den allgemeinen Speicherverbrauch zu reduzieren. Der Hauptvorteil für die Benutzer besteht in einer 10-fachen Verbesserung des Ressourcenbedarfs: von beispielsweise 11MB auf 300KB. Der neue Code benutzt nun ttRPC anstelle von GRPC, was ebenfalls die Größe der Binärdatei an sich und den Zusatzaufwand auf Protokoll-Ebene reduziert.

Kata Containers 2.0 bietet auch bedeutende Verbesserungen hinsichtlich Überwachung und Verwaltung. So lassen sich jetzt Metriken über die Laufzeit selbst, der Virtualisierungsschicht sowie des Gast-Kernels auslesen. Diese Daten liegen in einem Format vor, dass man direkt in der Software Prometheus weiterverwenden kann. Dies hilft Administratoren, die Auswirkungen der Ausführung von Kata Containers auf die Infrastruktur nachzuvollziehen. Es erlaubt den Benutzern und Entwicklern, das Leistungspotenzial der Anwendung im Kata Containers besser zu verstehen.

Zu den weiteren Verbesserungen der Version 2.0 gehört die zusätzliche Unterstützung des Cloud-Hypervisors, der auf rust-vmm basiert. So hat der Anwender eine Auswahl an Virtualisierungs-Stacks, die explizit für Cloud-Anwendungen ausgelegt sind. Die Stichworte lauten: Cloud-Native und Serverless. Ebenfalls neu in Version 2.0 ist das Werkzeug Kata-agent-ctl: es dient zur Problemanalyse der Agenten-APIs.

Die Kata-Containers-Gemeinschaft wächst weiter

Im Laufe der Entwicklungszeit von Kata Containers 2.0 fügte die Kata Containers-Community fast 4.000 Änderungen von 167 Mitwirkenden und 26 Organisationen hinzu. Dazu gehörten Adobe, Alibaba, ARM, Atlassian, Baidu, CrayGoogle, Microsoft, NVIDIA und Orange.

Dem Architekturausschuss von Kata Containers gehören Mitglieder von Ant Group, Apple, Intel und Red Hat an. Zu den derzeitigen Sponsoren von Infrastruktur gehören AWS, Google Cloud, Microsoft, PackageCloud, Packet und Vexxhost.

Die Entwickler von Kata Containers arbeiten regelmäßig bei anderen Projekten im Bereich Infrastruktur- und Container-Orchestrierung mit. Dazu gehören Kubernetes, containerd / CRI-O, Docker, OCI, CNI, QEMU, rust-vmm, cloud-hypervisor, KVM und OpenStack.

Was kommt als Nächstes für Kata Containers?

Mit der Veröffentlichung von Kata Containers 2.0 konzentriert sich die Gemeinschaft auf die weitere Entwicklung und Verbesserungen dieser neuen Codebasis. Konsequenterweise haben die Mitglieder des Architektur-Ausschusses beschlossen, die Unterstützung für 1.x-Versionen (derzeit 1.11 und 1.12) abzuschaffen. Der Zeitrahmen dafür ist sechs Monate ab Veröffentlichung von Version 1.12.

Laut Projekt sollen zukünftige Versionen von Kata Containers eine Art Sandbox enthalten. Die Benutzer können dort Container-Abbilder unter erhöhten Sicherheitsbedingungen und stärker isoliert untersuchen. Außerdem wird die Verarbeitung der E/A-Ströme besser sein.

Neueinsteiger in der Kata-Community sollten das sogenannte Onboarding-Deck lesen. Diese Dokumentation enthält Abschnitte darüber, was Kata Containers ist, wie es funktioniert und wer davon profitiert. Dazu kommen Informationen über Funktionen, technische Details, Regelungen und Verfahren des Kata-Projektes an sich und wie man sich beteiligen kann.

Verwandte Themen:

Geschrieben von
Sunny Cai

Sunny arbeitet für die Open Infrastructure Foundation als Marketing Associate und Kata Containers Community Manager. Sie unterstützt die Entwickler- und Anwendercommunity von Kata Containers beim Projekt- und Release-Management, kümmert sich um die Community-Kommunikation, die Erstellung von Multimedia-Content, Partner Engagement und pflegt die Beziehungen zu neuen Anwendern.

Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: