概述
沙盒是一种受到严密控制的环境,可以安全地在隔离状态下运行应用程序。沙盒环境能够长久地限制应用能存取的资源,因此通常用于隔离和执行未经测试或不受信任的程序,而不用担心其危及主机或操作系统。沙盒容器会给容器平台增添新的运行时,利用轻量型虚拟机将您的程序与系统的其余部分隔开,而后在这些容器集内启动容器。
沙盒容器常用来进一步增强 Linux 容器内的安全防护。
沙盒容器为何重要?
对于需要极为严格的应用级隔离和安全性的工作负载(比如运行不受信任或未经测试的代码的特权工作负载和 Kubernetes 原生体验等),沙盒容器是理想的选择。借助沙盒容器,您可以通过对以下对象进行隔离,进一步保护应用,以免遭受远程执行、内存泄漏或非特权访问等风险:
- 开发人员环境和特权作用域
- 传统的容器化工作负载
- 第三方工作负载
- 资源共享(CI/CD 任务和 CNF 等)和安全交付多租户工作负载
红帽 OpenShift 如何使用沙盒容器?
红帽 OpenShift 沙盒容器脱胎于 Kata Containers 开源项目,可借助符合开放容器计划(OCI)规范的容器运行时来满足严格的安全防护要求,并利用轻量化虚拟机在独立内核中运行工作负载,为应用提供一层额外的隔离保护。为此,红帽 OpenShift 能利用我们的认证 Operator 框架来管理、部署和更新红帽 OpenShift 沙盒容器 Operator。
红帽 OpenShift 沙盒容器的 Operator 可提供所有必需的零碎功能并持续更新它们,使 Kata Containers 可作为集群上的可选运行时来供用户使用。其中包括但不限于:
- 将 Kata Containers RPM 以及 QEMU 作为红帽 CoreOS 扩展安装到节点上。
- 配置 Kata Containers 运行时(在运行时级别使用 CRI-O 运行时处理程序,在集群级别则通过为 Kata Containers 添加和配置专用的 RuntimeClass 来进行)。
- 进行声明式配置来自定义安装,例如选择要在哪些节点上部署 Kata Containers。
- 检查总体部署的健康状态,并报告安装期间的问题。
红帽 OpenShift 沙盒容器现已正式推出。
