Visão geral
Uma área restrita é um ambiente altamente controlado para execução de aplicações. Ambientes em área restrita impõem restrições permanentes aos recursos e são normalmente usados para isolar e executar programas não confiáveis que ainda não foram testados, sem colocar em risco a máquina ou o sistema operacional host. Containers em área restrita adicionam um novo ambiente de execução às plataformas em containers, isolando seu programa do resto do sistema com máquinas virtuais lightweight que, em seguida, inicializam os containers dentro desses pods.
Em geral, containers em área restrita auxiliam as funcionalidades de segurança dos containers Linux.
Como o Red Hat OpenShift funciona com containers em área restrita?
Os containers em área restrita do Red Hat OpenShift, baseados no projeto open source Kata Containers , oferecem uma camada adicional de isolamento para aplicações com requisitos de segurança restritos. Para isso, eles usam um ambiente de execução de containers em conformidade com a Open Container Initiative (OCI) por meio de máquinas virtuais lightweight executando cargas de trabalho em kernels isolados próprios. Para fazer isso, o Red Hat OpenShift utiliza nosso framework de operador certificado que gerencia, implanta e atualiza o operador de containers em área restrita do Red Hat OpenShift.
O operador de containers em área restrita do Red Hat OpenShift disponibiliza e atualiza continuamente todos os componentes necessários para que o Kata Containers seja uma opção viável de ambiente de execução no cluster. Isso inclui, entre outros:
- a instalação dos RPMs do Kata Containers e do QEMU como extensões do Red Hat CoreOS no nó.
- a configuração do ambiente de execução do Kata Containers no nível do ambiente de execução usando manipuladores de ambiente de execução do CRI-O e no nível do cluster adicionando e configurando um RuntimeClass dedicado ao Kata Containers.
- uma configuração declarativa para personalizar a instalação, como selecionar em quais nós o Kata Containers será implantado.
- verificações da integridade da implantação geral e relatório de problemas durante a instalação.
Os containers em área restrita do Red Hat OpenShift já estão disponíveis.